Le strategie di sicurezza richiedono sinergie e proattività fra DPO e funzioni IT
Come deve agire il DPO nelle strategie di sicurezza, tenendo conto delle ulteriori funzioni che inevitabilmente sono coinvolte nella stessa? Di certo non può chiedersi a un professionista, o ad un ufficio, che agisca come one-man band ed estenda (o spesso, improvvisi) il proprio campo d’azione a tematiche così complesse come la sicurezza delle informazioni ed attendersi che tale azione possa essere efficace.
(Nella foto: Stefano Gazzella, speaker al Cyber & Privacy Forum 2023)
Inoltre, è bene ricordare che la natura del profilo del DPO è eminentemente legale, ma questo già lo dice chiaramente la norma. Ben venga poi se ha competenze tecniche, ma queste devono essere funzionali all’attività di advisoring in quanto non può entrare nelle decisioni operative.
Altrimenti, ne emergerebbe un quasi certo conflitto d’interessi e una conseguente inidoneità a svolgere tale ruolo. Attenzione però ad evitare l’errore di identificare il DPO automaticamente con il profilo un avvocato, altrimenti si potrebbe ricadere nel medesimo conflitto d ’interessi qualora il legale rappresenti in giudizio l’organizzazione designante (ad es. nei confronti degli interessati, o del Garante Privacy). Ciò che più si avvicina al DPO, molto probabilmente, è il profilo di un auditor con competenze specifiche in ambito di normativa e prassi in materia di protezione dei dati personali. E poiché tale figura si avvale emblematicamente di esperti tecnici per la conduzione delle attività di controllo, ciò può valere come spunto anche per la funzione di DPO.
Considerato ciò, è evidente che l’azione sinergica del DPO con le funzioni IT (CED, sysadmin, etc.) dell’organizzazione non sia solo strumentale a colmare il gap di competenze, ma comporta un impatto diretto e significativo sulla capacità di svolgimento dei compiti indicati dall’art. 39 GDPR stesso. Il rispetto di alcune disposizioni specifiche del GDPR, principalmente nelle declinazioni operative della sicurezza, non può prescindere da reciproco coinvolgimento e contaminazione. Anche nella gestione fornitori e i controlli di supply chain, la gestione interna degli operatori con tutti i presidi tecnici e organizzativi, o anche la governance e l’analisi dei rischi è richiesto che una funzione di garanzia e sorveglianza quale quella del DPO sappia quando e come avvalersi della collaborazione di altre funzioni ed esperti.
E se l’organizzazione, in ragione di accountability, deve promuovere questo tipo di integrazioni e sinergie allocando le risorse necessarie e garantendo la posizione e il coinvolgimento del DPO, certamente anche quest’ultimo deve dimostrarsi in grado svolgere il proprio ruolo avvalendosi di soft skill quali ad esempio capacità comunicative, gestione dei conflitti e problem solving. Non solo. Deve agire in modo proattivo in concerto e reciprocità con i propri interlocutori, altrimenti limitarsi ad un ruolo di mera reazione porta con sé il germe dell’incompletezza e tutti gli inevitabili rischi. Che nella sicurezza comportano vulnerabilità e conseguenze ben negative nei confronti prima degli interessati dunque dell’organizzazione.
