La protezione dei dati e la sicurezza informatica sono il fulcro delle attività in carico al Data Protection Officer. La figura, identificata dal Regolamento Generale per la protezione dei dati è preposta a sovrintendere tutti gli interventi necessari alla compliance normativa e regolatoria. All’interno dell’organizzazione collabora con il Titolare del trattamento in relazione a: valutazione del rischio di trattamento dei dati, strategia di salvaguardia, organizzazione e procedure deputati alla prevenzione contro le esfiltrazioni dolose o colpose di dati soggetti a privacy. Spesso identificato solo come una figura giuridica, il DPO deve invece possedere skill e competenze di Sicurezza informatica inerenti alle tecniche e modalità per la tutela e difesa delle informazioni “personali”, “sensibili” e “particolari”.

Regolamento GDPR e la figura del DPO

 La figura del Data Protection Officer (DPO) (o Responsabile della Protezione dei dati – RPD) è stata istituita con l’entrata in vigore a maggio 2016 del General Data Protection Regulation (GDPR) UE 2016/679 divenuto definitivamente applicabile ed operativo in tutti stati membri Ue dal 25 maggio 2018. Il Garante per la protezione dei dati personali ha pubblicato una scheda informativa dettagliata che esplicita i requisiti e i compiti del DPO, indicando anche le tipologie di organizzazioni e le condizioni per cui la sua nomina è necessaria.

Il DPO non rappresenta una figura di facciata per la compliance normativa. Il Garante, infatti, specifica che “il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti”.

Protezione dei dati : tipologie da proteggere e principi applicabili al trattamento

 Il GDPR disciplina e spiega le tipologie di dati soggetti alla normativa della privacy, quali siano le caratteristiche del dato che devono essere preservate, le tipologie e finalità di trattamento (articoli da 5 a 11). Non potendo trattare nella sua estensione completa, tutti i principi regolatori, è tuttavia importante sottolineare che il regolamento si applica a tutti i dati considerati “personali”, “sensibili” e “particolari”, che di questi dati è necessario preservare la Riservatezza, Integrità e Disponibilità (RID) e prevedere per il loro trattamento digitale, la “privacy by design”, (la protezione dei dati fin dalla progettazione delle modalità di elaborazione e gestione) e la “privacy by default” secondo il principio di minimizzazione dei dati, (richiede di elaborare tutti e soli i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità di trattamento).

Le responsabilità e competenze del DPO

La figura del Data Protection Officer è disciplinata dall’art. 39 del GDPR: insieme alle attività di cooperazione con le autorità di controllo, egli è chiamato operativamente a considerare i rischi inerenti al trattamento dei dati, tenuto conto della loro natura, del loro ambito di applicazione, del contesto e delle finalità per cui sono trattati digitalmente. Fornisce anche un parere su richiesta, per la valutazione di impatto risultante dalla (Data Protection Impact Analysis, DPIA).  Nel contesto aziendale significa saper implementare la Data Protection: conoscere il tipo di dato da tutelare, gli strumenti e i processi di backup e restore, il controllo degli accessi, per ogni ambito dove i dati risiedono (on premise oppure on cloud, su macchine fisiche o virtuali). Egli deve poter delineare e implementare una strategia di data management coerente con l’organizzazione di ruoli, responsabilità aziendali e coadiuvata dalla formazione al personale.

Chi svolge la funzione di DPO anche se ha una estrazione formativa giuridica, deve conoscere bene gli aspetti di cybersecurity per la protezione dei dati personali che rappresentano sempre più l’altra faccia della medaglia della privacy

Se le organizzazioni presentano gap da colmare in ambito security, nelle competenze strategiche, di definizione di policy e piani di security, nella gestione della sicurezza delle informazioni e dei dati, nella messa in atto di programmi di informazione e formazione, il DPO, per quanto possa avere un profilo prevalentemente giuridico, dovrà studiare e conoscere anche la cybersecurity anche per dialogare efficacemente in un’ottica sinergica con l’esperto in materia.

Ad oggi non esistono titoli abilitanti o attestati formali che determinino l'idoneità di un Responsabile della Protezione dei Dati. Il Garante, infatti, chiarisce che le certificazioni sono sempre volontarie ma non sono mai obbligatorie per svolgere il ruolo di DPO.

A questo proposito Sebbene l’Articolo 37 del Regolamento non specifichi le qualità professionali che dovrebbero essere considerate al momento della designazione, emerge che il livello necessario di conoscenza specialistica del DPO dovrebbe essere determinato in particolare in base ai

trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati (considerando 97 del GDPR).

Il Titolare del trattamento o il Responsabile del trattamento dovrebbe essere assistito, dunque, da una persona che abbia una conoscenza specialistica della normativa e le competenze necessarie per vigilare che gli elementi essenziali del GDPR

  Scritto  da Nicola Vanin pmi-sicurezza-informatica