Ufficio del DPO ed esigenze di “contaminazione reciproca”

Autore: Stefano Gazzella

La condizione necessaria ma non sufficiente per svolgere in modo adeguato un incarico di DPO è la conoscenza specialistica della norma in materia di protezione dei dati personali, con particolare riferimento al settore di attività dell’organizzazione presso cui si è stati designati.

Necessaria in quanto prevista espressamente dalla norma (art. 37.5 GDPR) ma non sufficiente in quanto esiste una componente dinamica e prevede che nello svolgimento dei compiti si debba fare riferimento ai “rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo” (art. 39.2 GDPR).

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Pertanto, occorre che per tenere in debita considerazione tali fattori, tutte le conoscenze e competenze si devono adattare al contesto operativo e declinare adeguatamente nell’assetto di cui si è dotata l’organizzazione.

Ciò comporta dunque che l’ufficio del DPO svolge una funzione non di carattere statico, che deve essere presente ed inserita nell’organizzazione, coinvolta adeguatamente in tutte le questioni riguardanti la protezione dei dati personali (art. 38.1 GDPR) e deve poter ricevere il necessario supporto (art. 38.2 GDPR) a livello tecnico e organizzativo perché i compiti siano svolti in modo indipendente (art. 38.3 GDPR) e in assenza di conflitti d’interesse (art. 38.6 GDPR).

Ma è proprio all’interno delle dinamiche applicative che il DPO e il suo ufficio si debba andare ad interfacciare con altri referenti di funzione, che nei sistemi di gestione privacy vengono comunemente designati ai sensi dell’art. 2-quaterdecies Cod. Privacy per svolgere compiti specifici all’interno di determinate aree quali ad esempio il marketing, le risorse umane o l’IT.

Ed è proprio in questa cooperazione che possono realizzarsi occasioni di reciproca “contaminazione” virtuose. In questo modo le esperienze, competenze e soft skill possono evolversi e migliorare la capacità di intervento della funzione del DPO e, soprattutto, aumentare la capacità di diffusione della consapevolezza e cultura di data protection nei vari livelli dell’organigramma. Non solo: in questo modo è possibile andare a comporre (o adattare) in modo efficace i flussi informativi necessari per l’azione di monitoraggio e reporting, garantendo così un’effettiva continuità di sorveglianza.

La contaminazione è reciproca dal momento che il DPO non si limiterà ad un ruolo attivo per facilitare la comprensione degli obblighi normativi e la sensibilizzazione e formazione del personale sulle politiche in materia di compliance e sicurezza, ma sarà anche recettivo per quanto riguarda la comprensione delle dinamiche interne e le prassi di settore (richiamate dall’art. 37.5 GDPR).

I limiti da attenzionare in tale ambito sono innanzitutto lo svolgimento efficace dei compiti senza incorrere in situazioni di conflitto d’interessi e l’obiettivo di conseguire un miglioramento della comunicazione interna dell’organizzazione sia nei confronti dei vertici che – più diffusamente – degli operatori.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore