Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA PRATICA

L’ufficio del DPO nelle PA: consigli e linee guida per promuovere una data protection efficace

Organizzare l’ufficio del DPO nelle PA richiede particolari attenzioni in merito a come dimensionarne lo staff e mapparne i processi in maniera efficiente. Ecco come declinare il ruolo del responsabile della protezione dei dati nell’ottica di promuovere una data protection efficace e non meramente formale

27 Nov 2019
M

Stefano Moni

Dirigente Superiore Tecnico della Polizia di Stato, Data Protection Officer

R

Stefano Rinauro

Commissario Capo Tecnico della Polizia di Stato, Data Protection Officer


Organizzare correttamente l’ufficio del DPO nelle PA, dimensionarne lo staff e mapparne i processi in maniera efficiente è utile nell’ottica di promuovere una data protection efficace e non meramente formale.

In effetti, la letteratura di settore e i siti specializzati quale quello che state leggendo riportano numerosi articoli e saggi, spessissimo di notevole qualità e chiarezza, i quali forniscono, con diverso livello di dettaglio, interessanti e utili spunti su quali attività affrontare prioritariamente, quali strumenti utilizzare, come effettuare un’ispezione, come interfacciarsi con l’Autorità garante e via dicendo. La disponibilità di tali informazioni dovrebbe, in ultima analisi, rappresentare un buon punto di partenza per approcciarsi al ruolo con sufficiente confidenza.

Nondimeno, ci sono ancora aspetti da approfondire. Perché se è vero che i compiti del DPO sono chiaramente indicati nelle norme e se esistono tanti approfondimenti al riguardo, ivi compresi corsi di certificazione di diversi genere e natura, è altresì vero che poco si è detto su un aspetto fondamentale, a parere di chi scrive, in carenza del quale un DPO dal temperamento vagamente ansioso potrebbe “farsi prendere dal panico” (citando la copertina della Guida Galattica per Autostoppisti): come dimensionare il proprio staff e come mapparne i processi in maniera efficiente ed efficace.

Ossia, rifrasando la questione in termini più tecnici: come costituire un data protection office di supporto al data protection officer.

L’ufficio del DPO nelle PA e il principio di accountability

Potrebbe sembrare un futile esercizio accademico, ma non lo è. Senza uno staff di supporto opportunamente organizzato, è ben difficile che un DPO, soprattutto in realtà vaste e complesse, riesca ad assolvere efficacemente al proprio mandato, caratterizzato da numerose cifre di complessità e intrinsecamente multidisciplinare.

Tale assunto, valido in qualsiasi contesto, assume particolare rilevanza nel caso delle pubbliche amministrazioni. In tali ambiti, difatti, molto spesso il titolare del trattamento, individuato per legge nel vertice dell’Amministrazione, si trova a sovrintendere ad una grande varietà di trattamenti diversi per estensione degli interessati, normativa di riferimento, tipologia di dati trattati nonché per infrastruttura tecnologica di supporto.

In siffatto contesto, per quanto il principio di accountability inquadri nel titolare il motore immobile dell’universo della data protection, il ruolo del DPO assume una particolare incidenza: non esistendo ancora delle prassi in essere sulle quali far leva, un buon DPO di una PA, piuttosto che macerare il proprio tempo in uno sterile ruolo di fornitore di pareri mai richiesti e controllore di prassi non in essere, dovrà, pur nel rispetto delle proprie mansioni previste per legge, essere creativo e supportare proattivamente il titolare che, certamente, vedrà la propria giornata lavorativa immersa in numerosissime responsabilità del tutto ortogonali alla data protection, peraltro da declinarsi su tanti trattamenti diversi.

L’organizzazione dei processi di supporto al DPO è un tema cruciale e spesso poco considerato, a ragione della natura fortemente personale del ruolo. Nondimeno, soprattutto per quei casi nei quali al DPO, come detto, si richiede un ruolo proattivo di affiancamento costante al titolare, la disponibilità di uno staff di supporto i cui processi siano efficacemente organizzati è prerequisito fondamentale per portare l’Amministrazione ad un livello adeguato di protezione dei dati personali.

La posta in gioco è molto alta. Se il titolare del trattamento non viene opportunamente supportato e coadiuvato dal proprio DPO è molto probabile che la data protection nell’Amministrazione – ma, come detto, i medesimi concetti valgono anche per il privato – si adagi molto presto, pur in contrasto con i principi ispiratori dell’architettura del GDPR/LED, in un comodo riparo di aderenza formale e documentale, riducendosi pertanto ad una raffinata collezione di documentazione: un castello di carta con la solidità e la robustezza di un castello di carte.

In questo contributo, prendendo spunto dalla concreta esperienza dell’Ufficio per la Sicurezza dei Dati della Direzione Centrale della Polizia Criminale,[1] primo caso di data protection office in ambito Forze di polizia e tra i primi in assoluto in ambito pubblico, istituito nel 2015 e già in anticipo rispetto all’approvazione del GDPR, si introduce un approccio ragionato sul come organizzare una realtà organica che, anche con pochissime risorse, sia comunque strutturata per ben supportare le multiformi incombenze del DPO in modo proattivo, concreto ed efficace.

Organizzare l’ufficio del DPO nelle PA: come procedere

Prima di ragionare sul come organizzare un Ufficio di supporto al DPO (“Begin at the beginning”, the King said, cit.), occorre innanzitutto comprendere la filosofia con la quale interpretare tale ruolo in realtà complesse e strutturate quali le amministrazioni pubbliche. Solo compresa la postura da tenere sarà possibile inferire sulle migliori soluzioni organizzative a supporto.

Se è vero che, come più volte ribadito, è auspicabile che il DPO supporti attivamente il titolare, è altresì vero che tale posizione non deve incrinare il ruolo di terzietà e indipedenza nelle attribuzioni di sorveglianza sull’osservanza dei dettati normativi.

Onde evitare l’insorgere di indesiderati cortocircuiti, sarà pertanto opportuno che il DPO predisponga e organizzi, in supporto al Titolare, quanto necessario ad assolvere alle attività più importanti o di natura più specialistica, lasciando gradi di libertà intorno alla loro finalizzazione che sarà poi oggetto della richiesta attività di monitoraggio e controllo.

In tal modo si ottiene un duplice risultato. Da un lato il DPO si assicura che tutte le attività fondamentali siano instradate e correttamente attivate e, al contempo, ha già chiara la logica con la quale le stesse sono state progettate, così da poter attuare in maniera rapida ed efficace i dovuti controlli.

Prendendo in prestito il lessico del ciclo di Deming (o ciclo di PDCA, acronimo dall’inglese Plan–Do–Check–Act, in italiano: Pianificare – Fare – Verificare – Agire), il DPO, fornendo supporto ed indirizzo nella fase di PLAN, e astenendosi dalla quella di DO, potrà mantenere indipendenza e incisività nella fase di CHECK, di sua più precipua pertinenza.

Il risultante sistema di data protection, basato sulla progettazione di alto livello di uno specialista della materia quale il DPO, si gioverà di una visione di insieme e di un approccio orientato alla completezza che viceversa si sarebbero persi laddove l’indirizzo delle tematiche di protezione dei dati personali fossero state diluite in diversi Uffici, ciascuno con altre mission istituzionali, spesso distanti, se non del tutto ortogonali alle stesse.

Va da sé che, al fine di ottenere tale risultato, il DPO e il suo staff dovranno comunque operare di continuo concerto con il titolare e con detti Uffici che, ratione materiae, saranno da quest’ultimo coinvolti nella gestione della protezione dei dati personali quali, a titolo di esempio, gli uffici IT, gli uffici giuridici, gli uffici acquisti o – per quanto attiene alla pubblicizzazione dei diritti degli interessati – gli uffici di relazioni esterne.

Un tale approccio ben si sposa con quasi tutti i più importanti adempimenti previsti dal GDPR/LED, dal registro delle attività di trattamento all’analisi dei rischi di sicurezza delle informazioni, dalle modalità di pubblicizzazione dei diritti e delle modalità di esercizio dei medesimi, alla cura dei rapporti con gli interessati, dalla valutazione di impatto sulla protezione dei dati personali, alla gestione dei processi di gestione degli incidenti e di notifica dei data breach.

In tutti questi contesti, il DPO può fruttuosamente stabilire metodologie, predisporre schemi di lavoro e promuovere strumenti e best practice, fermo restando il potere autorizzatorio del titolare che può ovviamente scegliere metodologie, schemi e strumenti di lavoro diversi.

Appurato quindi il perimetro e i limiti di un’accezione estesa e orientata al risultato del DPO, si può ragionare sul come dimensionare e organizzare un ufficio di supporto.

Come dimensionare l’ufficio del DPO

Quante risorse deve ragionevolmente attendersi un DPO? E come organizzarle?

Possiamo rispondere con un’altra citazione “musicale”: one and one and one is three. Per esperienza, con buona volontà e spirito di condivisione, uno staff iniziale di tre professionisti può essere sufficiente, almeno nelle prime fasi, anche in realtà medio grandi ed impegnate in trattamenti di dati personali estremamente critici e delicati.

Ma andiamo con ordine.

Come noto, il ruolo del DPO vive di una forte multidisciplinarietà, essendo la data protection una materia che, pur di natura giuridica nella sua origine più profonda, non può ormai prescindere da competenze (se non proprio da un approccio complessivo ab origine) dell’ICT.

In quest’ottica, indipendentemente dalla professionalità specifica del DPO, che potrà tanto avere un background più prettamente legale quanto una formazione di natura tecnico scientifica, le funzioni organizzative interne possono in prima approssimazione mapparsi nelle seguenti macroaree:

  1. giuridico-normativa;
  2. tecnologia, organizzazione e standard;
  3. monitoraggio e controllo.

La macroarea giuridico-normativa avrà il compito di analizzare le normative, i regolamenti e la giurisprudenza in tema di protezione dei dati personali e di sicurezza delle informazioni, al fine di individuarne l’ambito di impatto, gli obblighi di conformità e supportare l’individuazione delle misure organizzative, procedurali e tecnologiche che consentano di raggiungere la conformità.

Potrà altresì essere opportunamente coinvolta nella predisposizione delle attività di natura meno tecnica, quale la stesura dei registri delle attività di trattamento, l’emanazione di pareri o raccomandazioni intorno ai trattamenti in essere o la valutazione intorno alla necessità, legittimità e proporzionalità di nuovi trattamenti che il titolare intenda o sia chiamato per legge a porre in essere o la predisposizione delle informazioni da rendere all’interessato.

Da ultimo, la componente giuridica collaborerà nelle attività di monitoraggio e controllo della conformità alle normative di settore o ai provvedimenti dell’Autorità garante per la protezione dei dati personali.

La macroarea tecnologica avrà il compito di curare quegli adempimenti di natura più squisitamente tecnica oltre ad analizzare possibili soluzioni o adempimenti provenienti dalle evoluzioni degli standard e dei codici di condotta.

Nel dettaglio, il responsabile di questa area procederà a definire una linea guida per la gestione della sicurezza delle informazioni, ove già l’Amministrazione non disponga di un SGSI (Sistema Gestione Sicurezza Informazioni) preesistente, definirà e supporterà lo sviluppo di una metodologia di analisi dei rischi coerente con i sistemi di trattamento in essere, collaborerà con gli uffici preposti alla progettazione, acquisizione, sviluppo e implementazione dei sistemi di trattamento al fine di assicurare il dovuto rispetto dei principi di data protection by design e by default.

Concorrerà con la macroarea giuridica nella traduzione in requisiti tecnici degli obblighi di conformità provenienti da leggi, regolamenti o provvedimenti dell’Authority, e con la funzione di monitoraggio nella definizione di parametri prestazionali coerenti con i sistemi di trattamento.

Infine, la macroarea di monitoraggio avrà il compito di effettuare verificare lo stato di avanzamento e l’attuazione dei vari adempimenti previsti dalla norma, ivi compreso il processo di analisi e trattamento dei rischi di sicurezza delle informazioni, di definire una metodologia per la valutazione di impatto sulla protezione dei dati personali e di provvedere alle fasi di post validazione della medesima, nonché di monitorare le attività dei responsabili del trattamento secondo quanto stabilito nei data protection agreement.

Effettuerà altresì attività di auditing di natura tecnica, quali ad esempio test periodici di vulnerabilità dei sistemi, delle reti e delle applicazioni, di verifica intorno al rispetto di politiche e procedure stabilite dal titolare e definirà un insieme di parametri prestazionali di sistema, riconosciuti quali indici di possibili anomalie nel trattamento.

Ancora, potrà rappresentare il punto di contatto con le autorità di riferimento in ambito nazionale e internazionale per quanto attiene a possibili momenti di ispezione o valutazione e monitorerà i processi di incident management necessari all’attivazione delle procedure di data breach.

Congiuntamente le tre macroaree concorreranno alla stesura e all’implementazione di iniziative di formazione e sensibilizzazione del titolare e degli incaricati, ciascuna per i propri aspetti di competenza. La figura 1 riassume graficamente le predette attribuzioni.

Figura 1 – Possibili attribuzioni delle macroaree dell’Ufficio del DPO.

Le attività delle tre macroaree, come indicato nella figura 2, permettono al DPO da un lato di indirizzare compiutamente gli adempimenti previsti dalla normativa di riferimento, fornendo un utile ed efficace supporto al titolare del trattamento, e dall’altro, a ragione della suddivisione interna dello staff, assicurano al contempo la dovuta indipendenza e terzietà nelle fasi di controllo e monitoraggio.

Calando in tale organizzazione la collezione di buone prassi e gli approcci definiti in letteratura, opportunamente adattati alle specificità dei sistemi in esame, il DPO è in grado di essere promotore e dovuto organo di garanzia per una efficace compliance normativa secondo i principi ispiratori del GDPR/LED, in accordo ai quali, non si realizza una buona data protection quando si è conformi alla norma, ma si è conformi alla norma quando si può dimostrare di aver realizzato una buona data protection.

Figura 2 – L’organizzazione dell’Ufficio del DPO permette di supportare ed indirizzare il Titolare pur mantenendo salva la dovuta terzietà nei controlli.

L’organizzazione proposta, oltretutto, ben si presta, a ragione delle competenze e delle attribuzioni descritte, ad affrontare in maniera sincretica tanto gli aspetti di data protection quanto quelli di information security in un approccio a valore aggiunto che ottimizzi in una visione unitaria l’indirizzo e il controllo di entrambi tali ambiti e e garantendo l’opportuna armonizzazione dei punti di interazione.

Al riguardo, la figura 3 propone una possibile mappatura delle attività delle tre macroaree in relazione all’infrastruttura ICT dei sistemi di trattamento dati e agli uffici, di supporto al titolare, preposti alla loro gestione.

Figura 3 – Mappatura delle attività dell’Ufficio del DPO al fine di stabilire un sistema unitario di data protection ed information security.

Le tre macoraree descritte possono, in prima istanza, vedere assegnata ciascuna una singola unità di personale. Tale soluzione, per quanto estremamente parsimoniosa, abilita un potente valore aggiunto. Difatti, nel garantire una completezza di azione pur con un numero limitato di risorse allocate, compatibile con le carenze organiche della quasi totalità delle pubbliche amministrazioni nazionali, induce altresì ad un approccio graduale nella costruzione dei sistemi di data protection ove i singoli requisiti sono affrontati in maniera incrementale e concreta deflazionando il rischio di una inutile e dannosa rincorsa precipitosa alla compliance.

Esaminati gli aspetti tecnico organizzativi, rimane ancora da approfondire se tale struttura ben si presti o meno ad affrontare il ruolo di punto di contatto per gli interessati dal trattamento, parimenti demandato al DPO. Tale attribuzione, in taluni casi espressamente prevista – cfr. ad esempio il caso della Direttiva (UE) 2016/681 – in altri desunta implicitamente, rappresenta in effetti uno dei compiti più sfidanti e potenzialmente impattanti in termini di impiego di risorse.

Al netto di questioni meramente numeriche riguardanti il numero di richieste di informazioni e/o esercizio dei diritti che possono sollevarsi, il ruolo di interfaccia con i cittadini assume particolare incidenza a ragione dell’imprevedibile varietà delle questioni che in tale interlocuzione possono emergere e, soprattutto, degli esiti cui si può giungere da un’attenta analisi delle stesse.

Al fine di dare riscontro ad una richiesta di informazioni, il DPO dovrà opportunamente vagliare la normativa di riferimento, la giurisprudenza e le politiche interne, interfacciarsi con i sistemi informativi al fine di acquisire dati e o registrazioni e, eventualmente, attivare un processo di modifica o aggiornamento delle prassi in essere in risposta a quanto stabilito sul caso in esame.

Tali passaggi risultano ben mappati ed efficacemente ricompresi nella struttura organizzativa proposta – cfr. figura 4 – che risulta pertanto utile strumento di supporto nella declinazione di tale attribuzione.

Figura 4 – Le macroaree proposte permettono di gestire in maniera armonica, completa e sincretica tutti gli aspetti relativi ai rapporti con gli interessati dal trattamento.

Conclusioni

Sembra dunque esistere ancora margine per completare e irrobustire la letteratura intorno ad una corretta declinazione non solo del ruolo stesso DPO ma anche dello staff al suo supporto (All in all you’re just another brick in the wall, cit.).

Tale figura di responsabilità è innovativa e, per quanto studiata e approfondita, le esperienze pratiche si dimostrano spesso, come capita in tanti campi variegati e diversi, imprescindibili complementi ai consigli teorici.

Una interpretazione proattiva della figura del DPO è in molti contesti imprescindibile al fine di rafforzare le cinta murarie a protezione dei dati personali trattati, ma affinché tale muro risulti robusto e correttamente eretto è fondamentale che il DPO stesso sia dotato di uno staff a supporto organizzato e coerentemente indirizzato.

L’approccio qui descritto, originato dall’esperienza concreta portata avanti ormai da anni dal mondo Interforze relativamente ai trattamenti dati per finalità di polizia, si propone quale utile spunto di partenza e dimostra come, anche con uno staff di supporto in prima battuta estremamente ridotto, è possibile approcciare i compiti del DPO in maniera organica e tale da promuovere la data protection dell’organizzazione ad un efficace livello di maturità.

Tre risorse di supporto, di cui almeno una di formazione giuridica ed una di estrazione tecnica, purché opportunamente organizzate, possono risultare sufficienti, pertanto… non fatevi prendere dal panico.

NOTE

  1. La Direzione Centrale della Polizia Criminale del Dipartimento della Pubblica Sicurezza, tra le altre attribuzioni, gestisce la raccolta e l’elaborazione dei dati interforze in materia di tutela della sicurezza pubblica e di lotta alla criminalità per il tramite, all’oggi, di quattro sistemi informativi: il cosiddetto CED interforze, il Sistema Informativo Schengen, la Banca Dati Nazionale del DNA e il recentissimo Sistema Informativo PNR. Questi sistemi, ben distinti per normativa di riferimento, tipologia di dati trattati ed infrastruttura tecnologica di supporto, hanno come comune Titolare del trattamento il Dipartimento della Pubblica Sicurezza e vedono il medesimo DPO incaricato.
@RIPRODUZIONE RISERVATA

Articolo 1 di 5