DPO, come gestire il passaggio di incarichi: ecco i tre step fondamentali - Cyber Security 360

LA GUIDA PRATICA

DPO, come gestire il passaggio di incarichi: ecco i tre step fondamentali

Predisporre adeguate misure, gestire in modo corretto l’uscita dell’ex DPO e l’ingresso del nuovo: ecco tutto ciò cui bisogna fare attenzione nella delicata fase del passaggio di consegne da un incaricato a un altro, per mantenere l’organizzazione sempre aderente alle norme

24 Ago 2021
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

Il passaggio di incarichi del DPO di un’organizzazione è un fatto tutt’altro che remoto e necessita di alcuni accorgimenti perché tale attività non produca, sotto un profilo sostanziale, alcuna interruzione o sospensione della funzione. In particolare, si possono individuare tre fasi prioritarie da affrontare. 

Le tre priorità del passaggio di incarichi del DPO

La variazione del DPO è un’incombenza che si svolge, sotto un profilo strettamente formale, tramite il ricorso alla procedura telematica provvedendo così agli obblighi di cui all’art. 37.5 GDPR. Tale passaggio è indubbio che spetti al titolare o al responsabile del trattamento che ha già provveduto alla designazione, ma non è l’unico di cui è bene tenere conto, sia nel caso di un soggetto designato interno sia nell’ipotesi dell’affidamento del servizio ad un soggetto esterno.

WHITEPAPER
Strategie e tecniche di difesa dagli attacchi: come cambia il Network Security
Sicurezza
Cybersecurity

Sarà necessario, infatti, che tanto il DPO uscente quanto quello entrante svolgano, con la competenza e professionalità propria che ci si attende dai soggetti preposti a svolgere tale funzione, alcuni passaggi essenziali coordinandosi con l’organizzazione del titolare o del responsabile designante. Su un piano operativo è dunque possibile individuare tre aspetti da approfondire e che devono necessariamente essere curati affinché l’ingresso di un diverso soggetto non comporti discontinuità e interruzioni nel sistema di gestione degli adempimenti in materia di protezione dei dati personali.

Gara pubblica per selezionare il DPO, le cause di esclusione secondo l’Anac

Step 1 – Predisporre adeguate misure

L’organizzazione del titolare o del responsabile del trattamento deve, sostanzialmente, essere in grado di garantire la continuità della funzione di DPO. Tale aspetto è fondamentale se sussiste un obbligo di designazione del DPO, dal momento che tale funzione non può essere in alcun caso lasciata in regime di vacatio, come chiarito dal Garante stesso all’interno del Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico.

Ed è proprio nel caso specifico del passaggio di incarichi in ambito pubblico, in cui potrebbero esserci dei tempi tecnici per l’affidamento, che l’Autorità suggerisce di designare un soggetto interno nelle more del procedimento “in ossequio al principio generale di continuità dell’azione amministrativa che è strettamente correlato a quello di buon andamento dell’azione stessa, al fine di non violare l’art. 37, par. 1, del Regolamento”. Occorre ricordare che anche nel caso di designazione transitoria, resta l’obbligo di dover garantire tanto i requisiti soggettivi[1] quanto la posizione della risorsa interna così individuata[2] fissati dal GDPR. Concretamente, poi, nel corso del periodo di transizione l’organizzazione deve essere in grado di tenere traccia di tutte le questioni relative alla protezione dei dati in cui è stato coinvolto tale soggetto affinché il DPO entrante possa successivamente essere informato delle decisioni assunte e, se del caso, indicare l’esigenza di un riesame delle stesse.

Dal momento che in alcune procedure deve essere coinvolto il DPO, è bene ricordare che il riferimento è alla funzione e non all’individuo, e che pertanto solo nell’ipotesi in cui non vi sia obbligo di designazione tale passaggio, solitamente consistente in una consultazione o nell’acquisizione di un parere, può subire delle variazioni operative e non essere svolto. Ovviamente, sarà comunque necessario tenere traccia di tali eccezioni e segnalarle al DPO entrante affinché possa dare un proprio parere a riguardo e indicare, se del caso, l’esigenza di revisionare alcune decisioni.

I documenti necessari

Sul piano documentale è necessario inoltre aggiornare i registri con l’indicazione del nuovo DPO e, qualora vi sia stata una variazione dei dati di contatto, anche le informative. Inoltre, poiché le procedure interne che riguardano la gestione dei dati personali richiamano tale figura, il nominativo di riferimento deve essere aggiornato. Sul piano organizzativo, l’inserimento del nuovo referente per la funzione DPO deve avvenire in modo tale che lo stesso sia noto agli operatori ed ai responsabili esterni e gli sia, per l’effetto, riconosciuta l’autorità necessaria per lo svolgimento dei propri compiti e venga collocato in una posizione adeguata[3]. Inoltre, devono essere forniti tutti gli elementi perché possa comprendere nel più breve tempo possibile la struttura dell’organizzazione e le sue dinamiche, con particolare riguardo ai flussi informativi e alle modalità di accesso alle risorse dedicate e alle comunicazioni con i vertici direzionali.

In tutti gli scenari (designazione volontaria o obbligatoria, ambito pubblico o privato), infine, l’organizzazione deve richiedere al DPO uscente una relazione di chiusura e trasmettere la stessa al DPO in entrata affinché questi possa essere in grado di predisporre il progetto di lavoro per una declinazione operativa della propria funzione.

Sistema di data protection: la documentazione da produrre, aggiornare e conservare

Step 2 – Gestire l’uscita dell’ex DPO 

L’aspetto fondamentale a cura del DPO uscente è la relazione di chiusura, ovverosia il documento rivolto all’organizzazione attraverso cui viene svolto un riepilogo storico delle attività svolte. Sebbene il livello di approfondimento sia rimesso alla libera determinazione di ciascun professionista, gli elementi fondamentali da rendicontare sono i fattori critici da monitorare, gli spunti di miglioramento rilevati e le non conformità segnalate.

È certamente possibile omettere le non conformità che hanno incontrato una risoluzione definitiva, ma tutte le situazioni pendenti devono essere chiaramente presentate, ivi incluse le non conformità risolte nell’immediato ma soggette a monitoraggio. Alcuni esempi a tale riguardo possono essere: una procedura approvata e diffusa ma la cui corretta adozione deve essere ancora oggetto di verifica; una vulnerabilità emersa risolta ma in attesa dell’esito del completamento di un’analisi di sicurezza più approfondita; formazione somministrata con un test di apprendimento da svolgere a distanza di tempo.

Parimenti al contenuto, anche la forma della relazione è libera, ma una buona tecnica di redazione favorisce innanzitutto sinteticità e leggibilità per il destinatario, ovverosia l’organizzazione nei cui confronti si è svolto l’incarico di DPO, che deve essere in grado di poter rilevare il proprio livello di conformità rispetto alla normativa in materia di protezione dei dati personali e, soprattutto, i propri punti di forza e di debolezza a riguardo. Affinché una relazione segua a tale scopo, e dunque trovi una concreta utilità per la committente, è preferibile una schematicità e l’impiego di un linguaggio puntuale, scevro da formule di stile, con l’eventuale rinvio ad allegati per documenti tecnici ed approfondimenti.

Le non conformità segnalate ed irrisolte, è bene ricordare, se acquisite dall’organizzazione rappresentano comunque un elemento di accountability in quanto rendicontano le motivazioni per cui è stata valutata come impossibile la loro immediata risoluzione, nonché fondano il conseguente piano d’azione e di intervento.

Step 3 – Occuparsi dell’ingresso del nuovo DPO

L’aspetto fondamentale a cura del DPO entrante riguarda la sua azione di inserimento operativo all’interno dell’organizzazione, per cui è fondamentale un’attività preliminare di studio e comprensione tanto della struttura quanto delle dinamiche interne ed esterne. Una particolare attenzione deve essere di conseguenza dedicata all’analisi di contesto, fattore fondamentale per una declinazione operativa dei compiti propri dell’incarico assunto[4].

Se il primo compito in positivo è l’azione per la comprensione dell’organizzazione e l’inserimento all’interno della stessa, in negativo è l’astenersi dall’operare un sovvertimento della stessa. Tale prassi, piuttosto diffusa, che prevede l’imposizione di un nuovo modello organizzativo ad ogni variazione di incarico produce infatti l’effetto di allontanare l’organizzazione dall’obiettivo di conseguire un adeguamento dinamico e, soprattutto, dalla possibilità di effettivo coinvolgimento degli operatori. Inoltre, solleva rilevanti dubbi circa l’indipendenza e l’efficacia dello svolgimento di un’attività di sorveglianza su un sistema, di fatto, formato dallo stesso DPO.

Ciò non significa che però non si debbano segnalare tutti gli interventi necessari, ma che piuttosto vadano elencati secondo priorità, così da consentire ai vertici direzionali di mantenere un potere decisionale in ordine agli interventi di valutazione, mantenimento o variazione del sistema di gestione adottato. Nell’attività di riesame documentale, la relazione del DPO uscente costituisce il punto di partenza da analizzare in coordinamento con i registri delle attività di trattamento[5], le valutazioni di impatto eventualmente svolte e il registro delle violazioni[6].

La priorità va assegnata ovviamente a tutte le questioni pending riportate nella relazione, nonché ad eventuali non conformità rilevate già per via documentale e non risolte. Successivamente, le procedure e le istruzioni operative (in senso lato: incarichi, designazioni, accordi con responsabili, regolamenti, disciplinari d’impiego etc.) possono essere oggetto di riesame, con il coinvolgimento del personale e, in particolar modo, degli eventuali referenti dell’organizzazione e dei responsabili del trattamento, per verificarne l’effettiva ed efficace adozione.

Una volta concluse tali attività, l’assunzione dell’incarico si può dire pienamente realizzata in capo al nuovo DPO il quale avrà modo così di presentare e svolgere il proprio piano di progetto evitando discontinuità.

Conclusioni

Fissare il “tempo zero” è determinante per il passaggio di incarichi per la funzione del DPO, ma richiede una sinergia di interventi da parte di organizzazione, soggetto uscente e il nuovo designato affinché possa essere garantita la continuità di svolgimento della funzione, con una concreta attuazione delle prescrizioni normative e la non compromissione dell’operatività dell’organizzazione del titolare o del responsabile del trattamento.

 

NOTE

  1. Di cui all’art. 37.5 GDPR.

  2. In particolare, evitando che si dia adito ad un conflitto d’interessi (art. 38.6 GDPR).

  3. Come prescritto dall’art. 38 GDPR.

  4. Come precisato dall’art. 39.2 GDPR.

  5. Tanto del titolare (art. 30.1 GDPR) quanto del responsabile (art. 30.2 GDPR).

  6. O qualsiasi documentazione delle violazioni ai sensi dell’art. 33.5 GDPR.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 2