La figura del Data Protection Officer prevista e disciplinata dal Regolamento Generale sulla Protezione dei dati è oggi una realtà per molte organizzazioni. La nomina non è un provvedimento di facciata o di sola compliance normativa e non deve esserlo. A tal fine, i compiti del DPO sono elencati nell’articolo 39 del regolamento GDPR e prevedono specifiche responsabilità a titolo diretto. Svolge invece, un ruolo meramente consultivo, se si considera la responsabilità di attuazione delle misure di sicurezza e quindi l’applicazione pratica delle prassi di sicurezza informatica ai fini della resilienza dei sistemi informatici e della business continuity dell’organizzazione che sono invece sotto la piena responsabilità del Titolare del trattamento e di eventuali Responsabili del trattamento.

Funzione e DPO compiti

Il Data Protection Officer (DPO) è una figura introdotta dal GDPR (Regolamento generale sulla protezione dei dati) divenuto definitivamente applicabile ed operativo in tutti gli stati membri UE dal 2018, la sua figura è disciplinata dall’art. 39 del GDPR, e prevede almeno i seguenti compiti: “- informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi previsti dalle norme in materia: - verificare l’attuazione e l’applicazione delle norme; - se richiesto, fornire pareri ed assistere il titolare in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti; - cooperare con le autorità di controllo; - fungere da punto di contatto, non solo per l'autorità di controllo ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all'esercizio dei loro diritti; - consultare l'autorità di controllo anche di propria iniziativa.” La designazione del DPO e la sua nomina formale sono indicate nell’art. 37 del GDPR che elenca anche tutte le tipologie di organizzazione che devono provvedere alla sua nomina sistematica e formalizzata, a partire dalla quale il DPO curerà i rapporti con l’Autorità Garante per la Protezione dei dati personali per conto dell’organizzazione. Per facilitare l’utenza nella consultazione di sintesi su responsabilità, compiti del DPO e condizioni di designazione, il Garante per la protezione dei dati personali ha pubblicato, una scheda informativa dettagliata.

Significato e attuazione della business continuity in ottica GDPR

La definizione formale di “business continuity” è fornita nella norma ISO 22301 del 2012, secondo cui la continuità del business è una capacità aziendale che ha luogo ogni volta che le organizzazioni possono continuare a fornire i loro prodotti e servizi a livelli predefiniti accettabili anche dopo che si sono verificati incidenti dirompenti. Nell’ambito digitale, la business continuity è riferita alla capacità dei sistemi informatici di assolvere alle loro attività e performance anche se si è verificato un incidente informatico. Affinché questa resilienza possa avere luogo, ogni organizzazione dovrebbe implementare procedure apposite, per verificare che le misure di sicurezza implementate siano appropriate a garantire continuità anche in condizioni critiche.  L’art. 32 del GDPR elenca alcune misure tecniche e organizzative adeguate, che il titolare del trattamento e il responsabile del trattamento, devono mettere in pratica per garantire un livello di sicurezza adeguato al rischio, al fine di proteggere i dati personali. Tali misure sono: “a) la pseudonimizzazione e la cifratura dei dati personali;
  1. b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  2. c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
  3. d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.”
 L’attinenza con la valutazione del rischio è sancita dal punto n.2 dell’art. 37 che precisa: “nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”. Quindi la business continuity di una rete o di un sistema informatico è la capacità di resistere, a eventi imprevisti, atti illeciti dolosi o colposi che possano compromettere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali.

Coinvolgimento del DPO nella Business Continuity

La figura del DPO non è direttamente responsabile dell’implementazione delle misure tecniche che sono formalmente in carico al titolare del trattamento e al responsabile del trattamento come da art. 32. e specificate come Responsabilità del titolare del trattamento nell’art.24. Dunque, il DPO risponde solo per lo svolgimento dei suoi obblighi di consulenza ed assistenza nei confronti del titolare, che è l'unico soggetto responsabile del rispetto della normativa eventualmente in solido col responsabile del trattamento. Il titolare, quindi, nei confronti del DPO può solo avanzare pretese risarcitorie basate sulla responsabilità contrattuale.  Scritto da Nicola Vanin    New call-to-action