DPO as a Service: cos’è, cosa offre, i vantaggi per l’azienda - Cyber Security 360

ADEMPIMENTI PRIVACY

DPO as a Service: cos’è, cosa offre, i vantaggi per l’azienda

Qualora l’azienda abbia difficoltà a reperire internamente o assumere una figura dedicata esclusivamente al ruolo di DPO o voglia sfruttare l’esperienza di un team multidisciplinare, può valutare l’opportunità di affidarsi a un servizio di DPO as a Service. Vediamo di cosa si tratta e i vantaggi

15 Giu 2021
B

Il Data Protection Officer (DPO) è un ruolo introdotto dal regolamento europeo GDPR in materia di protezione dati personali, una figura a cui sono richieste competenze multidisciplinari e la cui nomina è obbligatoria per alcune organizzazioni nei casi previsti dalla normativa europea. “Anche quando l’inserimento del DPO è facoltativo, la scelta denota l’attenzione al rispetto del Regolamento e la volontà dell’azienda di dotarsi di una figura che ha il compito di verificare l’adeguatezza delle azioni intraprese per garantire i diritti delle persone a cui si riferiscono i dati personali trattati dall’azienda”, sostiene Andrea Reghelin, responsabile della practice Audit&Compliance di P4I.

Secondo il GDPR, la competenza giuridica e la conoscenza del contesto normativo nazionale e internazionale in materia di protezione dei dati sono necessarie ma non sufficienti per definire l’ambito di competenze di un DPO, il quale, per partecipare alla valutazione sull’adeguata protezione dei diritti e della libertà degli interessati, deve avere anche competenze organizzative per sapere come la normativa si debba concretamente tradurre all’interno di dell’organizzazione.

Sono inoltre indispensabili competenze in materia di analisi dei rischi e sicurezza dei dati e dei sistemi, coerentemente con l’approccio risk-based introdotto dal GDPR nella valutazione delle misure di sicurezza da adottare.

È difficile identificare questo mix di competenze (legali, organizzative e tecnologiche) in un’unica persona e ancor più trovare una risorsa interna in grado di svolgere le funzioni del DPO ed evitare al contempo i conflitti di interesse con altri ruoli ricoperti in azienda. La scelta risulta problematica per tutte le organizzazioni, ma molto difficile soprattutto per le PMI che spesso non dispongono del budget da dedicare a una figura interna dedicata.

 “Tuttavia anche le grandi imprese che spesso al loro interno hanno le risorse per creare un team DPO, difficilmente potrebbero raggiungere il livello di competenza di una società di consulenza che ha maturato la propria esperienza in diverse organizzazioni e diversi settori – precisa Reghelin – I team DPO di P4I mettono ad esempio a fattor comune l’esperienza maturata nei diversi incarichi con una competenza che continua a crescere di pari passo con l’esperienza dei team in settori e aziende con dimensioni ed esigenze diverse”.

HWG - white paper - Cyber rischio: prevenire e rispondere agli incidenti

DPO as a Service: multidisciplinare, flessibile, personalizzabile

In tutti i casi in cui l’organizzazione abbia difficoltà a reperire una figura aziendale, non abbia la possibilità di assumere una figura dedicata esclusivamente al ruolo di DPO o voglia sfruttare l’esperienza di un team multidisciplinare, può valutare l’opportunità di affidarsi a un soggetto esterno, eventualmente una persona giuridica, come il GDPR consente.

Il servizio di esternalizzazione DPO as a Service offerto da P4I garantisce il supporto di una società di consulenza, dotata di un mix di competenze tali da consentire al DPO esterno di compiere al meglio il proprio ruolo nei confronti dell’organizzazione cliente. Il contratto mette a disposizione le risorse quando e per quanto servono e offre una personalizzazione sulla base delle esigenze e dei rischi dell’azienda.

A svolgere il compito di DPO non sarà un singolo professionista, ma un’organizzazione in grado di mettere a disposizione un team di competenze per rispettare i requisiti specifici della funzione. Nel corso della durata del mandato, potranno essere rese disponibili anche ulteriori risorse che dovessero risultare necessarie come, ad esempio, persone specializzate nella gestione dei data breach.

Un servizio a misura di organizzazione, anche in termini di costi

Come la normativa GDPR stessa prevede, fra il Titolare del trattamento e il DPO esterno va stipulato un accordo contrattuale che può avere una durata variabile, tipicamente pluriennale, in base alle esigenze dell’organizzazione cliente. “L’obiettivo del DPO as a Service è creare un rapporto continuativo fra cliente e DPO – spiega Reghelin – La progressiva conoscenza che il DPO acquisisce presso l’organizzazione con cui collabora facilita e semplifica la gestione del rapporto nel corso del tempo”.

Differenti fattori influiscono sulla complessità del servizio DPO as a Service e sul costo conseguente; fra questi, l’articolazione dell’organizzazione e le sue dimensioni, i rischi e l’impatto della normativa sull’azienda, valutazioni da svolgere in fase di analisi preliminare. Il successo del DPO as a Service deriva soprattutto dalla sua capacità di essere adattabile alle esigenze dell’azienda anche sotto il profilo dei costi e dell’effort.

In ogni caso, l’azienda, avvalendosi del servizio DPO as a Service, beneficerà anche della capacità del team DPO di effettuare i controlli, di prevedere un piano di verifiche e gestire autonomamente gli audit sul rispetto della normativa in materia dei dati personali. In definitiva, il team è in grado di gestire ogni aspetto legato alla compliance.

DPO as a Service: principali vantaggi in sintesi

Di seguito, riassumiamo i vantaggi per l’organizzazione che si affida al servizio di DPO as a service per essere GDPR compliant:

  • non si deve preoccupare della selezione e del mantenimento di una risorsa interna;
  • può contare su un servizio con un costo parametrato alle sue specifiche esigenze e ai rischi che deve affrontare in materia protezione dati personali;
  • ha a disposizione un team multidisciplinare altamente qualificato in grado di supportare l’azienda in tutti i compiti che la normativa affida al DPO;
  • si può avvalere di un soggetto che ha acquisito competenze in settori anche molto diversi da quelli oggetto della specifica attività (oltre che su altri clienti della stessa industry);
  • non si deve preoccupare della schedulazione e della pianificazione delle attività del DPO, visto all’interno del team c’è un project manager che si assicura che tutte le attività previste siano erogate nel corso del rapporto contrattuale;
  • il DPO svolge, con autorevolezza, il ruolo di punto di contatto con l’Autorità garante; tipicamente partecipa alle eventuali ispezioni come parte in causa.

Clicca qui per scaricare l'infografica: DPO insourcing vs outsourcing

Contributo editoriale sviluppato in collaborazione con P4Ihub

@RIPRODUZIONE RISERVATA

Articolo 1 di 4