LA GUIDA PRATICA

DPO in pratica: le regole per “entrare” nell’ufficio IT

Vista la trasversalità di azione dell’ufficio IT o del suo referente IT nelle differenti aree dell’organizzazione coinvolte nelle attività di trattamento di dati personali, il DPO deve essere in grado di coordinarsi con i relativi processi per un migliore svolgimento dei propri compiti sia sul piano strategico che operativo

11 Ago 2022
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

L’ufficio IT, ovverosia la funzione che comunemente viene preposta alla gestione dei sistemi informatici, rappresenta un fattore critico di successo per il raggiungimento degli obiettivi di cyber security e di compliance GDPR da parte delle organizzazioni.

Considerato il ruolo svolto in questi termini e la sua trasversalità d’azione in pressoché tutte le aree dell’organizzazione in cui sono svolte le attività di trattamento di dati personali, è necessario che il DPO abbia la possibilità – garantita e agevolata adeguatamente da parte della direzione – di poter concretamente entrare all’interno dei processi IT.

Sebbene il profilo dell’attuazione operativa non sia di spettanza del DPO, avere garantito un accesso facile e tempestivo a tutte le informazioni necessarie per una conoscenza degli interventi svolti e poterne di conseguenza valutare l’efficacia non può che agevolarne lo svolgimento dei compiti[1].

Inoltre, una sinergia può attuarsi anche grazie al supporto che l’ufficio IT o il suo referente[2] può fornire per la verifica del buon esito delle misure programmate ed attuate, migliorando la continuità di sorveglianza e soprattutto l’efficienza dei controlli riferendoli ancor più all’assetto concreto dell’organizzazione.

DPO in pratica: il rapporto con la direzione

Il ruolo dell’IT fra cyber security e compliance GDPR

È sempre opportuno tenere a mente che la consulenza ed informazione nell’ambito dei processi IT non può mai consistere in una decisione, altrimenti verrebbe meno quel ruolo di terzietà e il valore della second opinion rese sulle scelte dei titolari o dei responsabili, facendo emergere situazioni ad elevato rischio di conflitto di interessi.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

Non solo: fare ricorso esclusivamente alle risorse interne all’organizzazione può compromettere l’efficacia dei controlli stessi, motivo per cui deve essere sempre oggetto di valutazione l’opportunità di fare riferimento anche terze parti per la conduzione, ad esempio, di un vulnerability assessment.

All’esito dell’audit di sicurezza, la redazione di una roadmap di implementazione e miglioramento della sicurezza in ambito informatico deve necessariamente coinvolgere anche l’ufficio IT per cui diventa particolarmente rilevante la capacità del DPO di porsi come mediatore per favorire i cambiamenti necessari.

In maniera analoga, nel caso in cui si riscontri l’obbligo o l’opportunità di condurre una valutazione d’impatto, sarà il DPO stesso a dover suggerire ed indicare l’ampiezza e la profondità del coinvolgimento di eventuali ulteriori soggetti o se altrimenti possa essere sufficiente la rendicontazione che l’organizzazione è in grado di svolgere facendo ricorso esclusivamente a risorse interne.

Preservare tali equilibri non è un argomento che riguarda i soli costi ma soprattutto il mantenimento di quell’empowerment necessario affinché l’ufficio IT possa svolgere un ruolo proattivo dando piena attuazione alla delega di gestione funzionale predisposta dalla direzione.

Grazie all’affiancamento con la gestione delle risorse umane, l’ufficio IT è inoltre in grado di contribuire in modo significativo al miglioramento del fattore umano con particolare riguardo agli aspetti specifici della sicurezza degli operatori.

L’esempio di immediata percezione consiste nelle procedure di attribuzione, variazione o cessazione di credenziali, la conseguente regolazione dei privilegi degli operatori che hanno accesso ai sistemi informatici, la diffusione delle policy ed istruzioni di sicurezza e dei disciplinari d’impiego delle dotazioni informatiche.

Diventano particolarmente rilevanti anche tutte le azioni di sensibilizzazione che è possibile svolgere per tramite dell’ufficio IT, quali ad esempio gli alert relativi a rischi cyber emergenti o individuati, o la verifica delle vulnerabilità human-based mediante azioni di controllo quali le simulazioni di phishing.

In tutti questi casi, è fondamentale che il ruolo del DPO sia quello di promotore o facilitatore, nel delicato equilibrio di provvedere a riparare eventuali inerzie e non frustrare le iniziative intraprese.

Ovviamente, qualora emerga la necessità di adottare un’azione correttiva il DPO dovrà essere in grado di fornire tutte le indicazioni necessarie affinché la stessa possa essere valutata e, se del caso, eseguita.

Il DPO nell’attività della gestione IT

L’attività ordinaria della gestione IT riguarda una molteplicità di fasi e livelli: dalla progettazione all’implementazione e aggiornamento; dal livello fisico a quello dell’infrastruttura ed applicativo.

Premesso quanto già segnalato sull’esigenza di non incorrere in situazioni di conflitto d’interesse, l’inserimento efficace del DPO all’interno di tali processi necessita di almeno tre elementi:

  1. definizione del flusso informativo;
  2. capacità di generare report ad uso della direzione;
  3. coordinamento strategico e operativo.

La bilateralità del flusso informativo fra ufficio del DPO e ufficio IT non contribuisce solamente a garantire una tempestività di azione o reazione ma, nel caso in cui concorra con un corretto grado di consapevolezza da parte dei referenti e degli operatori nella protezione dei dati personali, può risolvere preventivamente tanto i rischi relativi alla compliance GDPR quanto quelli di sicurezza.

Ad esempio, nel caso in cui si prevede l’introduzione di una nuova tecnologia o la riorganizzazione dei metodi di lavoro attraverso l’impiego di strumenti tecnologici, l’integrazione dei principi di privacy by design e privacy by default ha un impatto rilevante in termini di sicurezza.

La progettazione dei mezzi del trattamento prevede infatti che siano definiti i dati personali oggetto di trattamento, le operazioni da svolgere sugli stessi e la regolazione degli accessi con specificazione delle attività che potrebbero coinvolgere ulteriori soggetti.

Di conseguenza, sul piano della gestione dell’information security è in tale occasione che possono essere attenzionati i fattori relativi a database, asset e attribuzione dei ruoli e delle responsabilità.

La capacità di generazione dei report prevede inoltre che il DPO possa agire come filtro fra il referente IT e la direzione, con l’espressione di pareri relativamente ad esigenze, criticità o indirizzi decisionali, e se del caso riportando direttamente ai vertici dell’organizzazione segnalazioni e valutazioni acquisite contribuendo così al miglioramento delle comunicazioni interne.

L’elemento di coordinamento strategico e operativo prevede non solo un’attività di supporto da parte dell’ufficio IT rispetto alle decisioni assunte dall’organizzazione derivanti dalla consulenza del DPO, ma anche un suo effettivo coinvolgimento all’interno dei tavoli di lavoro coordinati dal DPO che possono riguardare:

  1. l’analisi e valutazione delle tecnologie adottate;
  2. la ricerca di possibili alternative maggiormente sicure o conformi al GDPR;
  3. il controllo dei fornitori per garantire la sicurezza della supply chain;
  4. l’impostazione e il miglioramento delle procedure.

La procedura di data breach

Emblematica fra tutte le procedure e comune all’interno di tutte le organizzazioni, la procedura di data breach coinvolge l’ufficio IT nella parte di gestione dell’incidente informatico, sia per la fase di analisi che per quella di predisposizione delle misure di mitigazione.

L’intervento di sorveglianza del DPO riguarda l’adozione della procedura in conformità con le indicazioni della norma, la sua diffusione presso gli operatori (eventualmente, con addestramento e/o formazione) e soprattutto il corretto svolgimento della stessa.

Avendo riguardo agli adempimenti collegati alle violazioni di sicurezza che coinvolgono i dati personali trattati all’interno dei sistemi informatici tutte le evidenze possono essere riscontrate già all’interno dell’ufficio IT al fine di fornire le eventuali indicazioni circa la sussistenza di obblighi di notifica all’autorità di controllo[3] o di comunicazione nei confronti degli interessati[4].

Qualora emergano esigenze relative alla risoluzione di vulnerabilità scoperte e l’adozione di un approccio di tipo lesson learned, è bene che la procedura preveda già al suo interno la predisposizione di un piano di mitigazione e miglioramento precisando i ruoli (in ottica strategica, funzionale e operativa) assunti da parte del referente IT e del DPO.

Verifica e riesame della sicurezza IT

Al di là dell’incident management, il punto di convergenza comune e ricorrente fra funzione IT e DPO è riscontrabile all’interno di un’espressa previsione del GDPR relativa all’attività di verifica e riesame della sicurezza[5].

In tal senso è piuttosto comune che si faccia ricorso a due differenti criteri, che nelle best practices devono essere adottati come concorrenti: uno legato ad un parametro temporale, uno legato a parametri di contesto.

Mentre il primo richiede che venga definita la cadenza dei controlli secondo un’analisi preventiva di rischio, il secondo può ricorrere nel caso in cui le modifiche tecnologiche o organizzative comportino una possibilità di variazione dei rischi e per l’effetto l’esigenza di dover svolgere un riesame delle misure di sicurezza predisposte.

Entrambi i parametri vengono stabiliti facendo ricorso alla consulenza del DPO, il quale deve inoltre sollecitarne il riesame nelle ipotesi in cui riscontri dalle informazioni ricevute dall’ufficio IT l’esigenza che si debba procedere in tal senso.

La responsabilità per la conduzione delle attività di verifica e riesame di sicurezza IT è generalmente attribuita all’ufficio IT, con il coinvolgimento del DPO come consulente per la corretta allocazione delle priorità secondo l’approccio risk-based richiesto dalla norma in materia di protezione dei dati personali.

Come già rappresentato, in questa fase il DPO deve essere in grado di valutare l’opportunità o l’esigenza – indicando elementi oggettivi e riscontrabili – per il coinvolgimento di eventuali terze parti e rappresentarla adeguatamente alla direzione e al referente IT.

La rendicontazione delle verifiche e dei riesami svolti deve infine essere incorporata all’interno della relazione di attività del DPO, soprattutto nel caso in cui sia previsto un passaggio di incarichi, fare riferimento a tutte le evidenze riscontrate (anche con allegazione delle relazioni o di un loro estratto) ed indicare nei contenuti essenziali:

  1. l’esigenza (decorso del tempo o cambio di contesto) che ha attivato la procedura di riesame;
  2. la valutazione della sicurezza dei sistemi informatici riferita allo stato dell’arte, al rischio e al budget;
  3. l’esito del riesame con indicazione degli interventi in ordine di priorità ed urgenza.

 

NOTE

  1. Definiti dall’art. 39 GDPR.

  2. Designato ai sensi dell’art. 2-quaterdecies Cod. Privacy.

  3. Come previsto dall’art. 33 GDPR.

  4. Come previsto dall’art. 34 GDPR.

  5. Come misura di sicurezza esemplificativa è prevista “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.” (art. 32 par. 1 lett. d) GDPR).

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 5