Il DPO è per sempre?

Recentemente il Garante per la protezione dei dati personali ha ordinato al Mise il pagamento di una sanzione di 75mila euro per non avere nominato il Responsabile della protezione dati (Rpd), o – come forse è più conosciuto – il DPO (Data Protection Officer), entro il 28 maggio 2018 (data di piena applicazione del GDPR), e per avere diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager.

Questa notizia, accanto alle ormai quotidiane notizie di data breach sempre più spesso determinate da scarsa consapevolezza sulla protezione dei dati personali, mi hanno portato a sviluppare una serie di riflessioni sul ruolo del DPO che provo a sintetizzare qui di seguito.

Il vero DPO

Prima di tutto il ruolo del DPO è fondamentale per garantire consapevolezza diffusa sulle politiche di trattamento dei dati personali negli enti pubblici e privati. È fondamentale garantire informazione e formazione capillare su questi argomenti, perché non c’è misura di sicurezza informatica che tenga di fronte all’approssimazione e al semplicismo dei comportamenti umani! Abbiamo avuto la prova “certificata” di questa necessità per enti pubblici e privati attraverso un servizio del Tg3 sulla Protezione Civile nel contenimento del virus, dove incredibilmente sono state esposte le password di un presidio sanitario. Così come è emblematica in tal senso l’esperienza delle tre strutture sanitarie coinvolte in recenti provvedimenti sanzionatori del Garante.

In realtà, non è importante solo avere il DPO quando è obbligatorio (o è comunque consigliabile dotarsi di questa figura in azienda), ma è essenziale sceglierlo bene, tra professionisti (o propri dipendenti) che siano preparati, indipendenti e abbiano esperienza adeguata in quel settore di riferimento in cui dovranno operare.

Avere invece – come troppo spesso accade – un “DPO fantoccio”, sottopagato, acquisito per dovere formale all’ultimo minuto – scegliendo così professionisti che replicano quel delicato incarico su più enti senza ritegno e cognizione di causa – è peggio che non averlo!

Credo che sia indispensabile riferire con forza oggi questi concetti e spero pertanto che la nostra Autorità Garante per la protezione dei dati personali possa avviare verifiche approfondite sia su enti pubblici privi ancora oggi di DPO, sia verso DPO totalmente inadeguati e incompetenti che moltiplicano alla rinfusa incarichi sottopagati, contribuendo così ad alimentare una cultura della protezione del dato burocratica, formale e ovviamente non compliant rispetto a ciò che il GDPR pretenderebbe.

Non solo il singolo

Mi occupo di diritto applicato all’informatica, digitalizzazione dei processi (aziendali e amministrativi) e protezione dei dati personali da circa 20 anni. Lo faccio con grande entusiasmo e con quell’attenzione alla qualità che la delicatezza di tali argomenti meritano. Credo fermamente che queste materie vadano affrontate, anche quando si rivestono incarichi di DPO, non in modo solitario ed elitario, ma favorendo lo sviluppo di team aperti al confronto, quindi in modo interdisciplinare tra professionalità diverse, determinando così la specifica comprensione delle singole e complesse sfaccettature che la “digitalità” porta con sé.

Amo ripetere che non ci può essere processo di innovazione digitale senza attenzione alla protezione del dato personale e mai come in questo periodo stiamo avvertendo sia le innegabili opportunità, sia purtroppo i pesanti rischi che sta comportando l’ingresso del digitale in ogni granello della nostra esistenza. Infatti, il GDPR non sarebbe entrato così prepotentemente nel nostro ordinamento giuridico se non fossimo stati investiti da una profonda trasformazione sociale, culturale, economica e, quindi, giuridica, frutto dell’epocale passaggio verso l’era dei big data.

Per mia scelta consapevole rivesto il ruolo di Responsabile per la protezione dei dati personali in favore di pochissimi Clienti. Del resto, credo convintamente che il ruolo di DPO sia delicato e complesso e, secondo il principio dell’accountability, si possa portare avanti solo pienamente e con attenzione meticolosa verso i singoli processi di trattamento di ogni titolare o responsabile del trattamento in favore del quale si sviluppa tale ruolo. Per poterlo fare si deve essere in grado di rivestire contemporaneamente il ruolo di abile consulente, di motivatore di team, di ottimo docente e auditor capace.

Un DPO non è per sempre

Tale ruolo per una PA, quando viene sviluppato esternamente, deve avere un principio e anche una fine. Non può assolutamente “essere per sempre”. Questo sia per ovvie ragioni giuridiche, ma soprattutto perché un buon DPO che riveste il suo ruolo esternamente in favore di una PA deve essere soprattutto in grado di costruire un team interno all’ente che sia in grado di sostituirlo, in modo da rendere gradualmente il suo apporto non più indispensabile. Altrimenti la scommessa rivestita dalla nomina di un DPO esterno è persa in partenza, perché si ritornerebbe a considerare la protezione dei dati personali come la vecchia “privacy” di qualche anno fa e, cioè, come un fastidioso, inutile orpello formale con cui svogliatamente fare i conti e magari da affidare a un cavilloso consulente esterno al quale consegnare un po’ di indigesta e ulteriore “burocrazia”.

Il GDPR ha invece voluto voltare pagina inesorabilmente e l’approccio “GDPR compliant” (termine che tante volte sento purtroppo ripetere in modo stantio nei convegni) su questo punto dovrebbe essere dirompente e deciso.

Un esempio concreto

Come responsabile della protezione dei dati personali motivo, insegno, verifico, assisto un team a me affidato al fine di rendere sempre più libere, capaci e autosufficienti nella gestione dei loro dati e del loro patrimonio informativo pubbliche amministrazioni, ma anche imprese, che mi scelgono come loro autonomo e indipendente interlocutore (questo il DPO deve obbligatoriamente essere). Questo, a mio avviso, è l’unico modo per poter rendere il servizio DPO davvero “di sostanza”, utile e proattivo. Come il GDPR vorrebbe. Così è stato, ad esempio con ENEA, in favore del quale ho prestato questa funzione per due intensi anni, e che oggi ha invece una valida Collega che mi ha sostituito internamente ed efficacemente nel delicato ruolo. Successivamente la mia assistenza legale in favore di ENEA è anche continuata, ma in forma completamente diversa e meno pervasiva. Come è giusto che sia.

Conclusioni

Insomma, affidarsi a un DPO dovrebbe significare oggi adottare una metodologia che garantisca a enti pubblici e privati comprensione piena delle tante, innumerevoli “problematiche privacy” in modo che in futuro si possa anche fare a meno di tale “ufficio in outsourcing”. Perché il modo migliore per proteggere un dato personale non è essere affiancati da esperti esterni e da tecnologie sicurissime, ma è essere direttamente competenti e responsabili dei processi sottoposti alla propria attenzione, acquisendo il metodo corretto per affrontare delle scelte consapevoli che impattano sul trattamento di dati personali.

Del resto, l’anello debole di qualsiasi catena della protezione di dati personali è sempre l’elemento umano e un bravo Responsabile per la protezione dei dati dovrebbe intervenire, quindi, sulle risorse umane e prima di tutto su se stesso.

GDPR, cosa aspettarsi dalle ispezioni AgID e G.D.F.

Vedi il Talk del POST DIG.eat con l'avv. Andrea Lisi e il Colonnello Marco Menegazzo

“Quando arriva il fisco, salta più di un DPO” è la dura realtà dei fatti messa in luce dal Colonnello Menegazzo nel Talk dedicato agli inadempimenti al GDPR che possono davvero costare salati alle aziende. Ma in questa attuale situazione qual è il ruolo del DPO?

Per accedere al contenuto è necessario registrarsi alla piattaforma, con una semplice iscrizione in due passaggi (e pochi dati richiesti).
Si avrà così accesso al palinsesto completo gratuitamente e on demand.

GUARDA IL TALK

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Il DPO è per sempre?

Il vero DPO

Non solo il singolo

Un DPO non è per sempre

Un esempio concreto

Conclusioni

GDPR, cosa aspettarsi dalle ispezioni AgID e G.D.F.

Vedi il Talk del POST DIG.eat con l'avv. Andrea Lisi e il Colonnello Marco Menegazzo

Mind the gap – Il digitale contro le disuguaglianze

Information Security e Digital Forensics

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Di

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA