Come ben sappiamo essere DPO o Responsabile della protezione dei dati non è cosa semplice in quanto sono necessarie sempre di più competenze multidisciplinari che riguardano sia la parte giuridica, la parte relativa all’organizzazione aziendale, la parte complessa legata alla compliance aziendale in tutte le sue forme (d.lgs 231/01, esg ecc) e tutta la parte legata alla sicurezza informatica.
Il tutto, ovviamente, in un’ottica di protezione dei dati.
Con l’avvento delle nuove normative informatiche (NIS2, CER, DORA, regolamento AI ecc) è FONDAMENTALE che il DPO venga qualificato previamente e che possegga, e sia in grado di dimostrare, tutte queste competenze multidisciplinari.
Non si possono più tollerare DPO inerti, che non fissano audit con i titolari del trattamento e che non abbiano né conoscenze né competenze in ambito informatico.
Il DPO, in particolare, deve verificare che:
- le aziende che rientrano tra i soggetti essenziali e/o importanti ai sensi della NIS2 si registrino nei termini di legge presso l’Agenzia per la 𝗖𝘆𝗯𝗲𝗿𝘀𝗶𝗰𝘂𝗿𝗲𝘇𝘇𝗮 𝗡𝗮𝘇𝗶𝗼𝗻𝗮𝗹𝗲 (𝗔𝗖𝗡) e che provvedano a nominare un punto di contatto tra l’azienda e l’ACN nonché individuino un 𝗖𝗜𝗦𝗢 (Responsabile della Sicurezza Informatica).
- gli incidenti informatici vengano gestiti nel rispetto sia della normativa NIS2 che del GDPR nel caso in cui vengano coinvolti dei dati personali e/o particolari;
- l’azienda nella valutazione dei rischi e nella gestione degli stessi tenga conto degli aspetti legati alle minacce informatiche che possono coinvolgere i dati. A tale scopo il DPO deve necessariamente coordinarsi con i ruoli apicali e con il Referente NIS2 al fine di valutare le implementazioni adottate o che dovranno essere adottate per tutelare i dati del titolare. Dovrà, altresì, verificare che vengano adottate le procedure di disaster recovery,e business continuity oltre alle altre procedure previste dalla NIS2;
- l’azienda abbia gestito correttamente la catena di fornitura (o catena di approvvigionamento o supply chain), abbia aggiornato le clausole contrattuali conformandole al GDPR e alla NIS2;
Altro compito fondamentale del DPO è quello di promuovere la formazione e dí sensibilizzare le risorse all’interno dell’azienda sulle problematiche legate ai dati personali e ai rischi informatici.
A tale scopo può proporre progetti di formazione integrata che tenga conto di tutti gli aspetti di compliance e li coordini tra loro.
Con la NIS2 la formazione assume un ruolo ancora più centrale e importante in quanto deve necessariamente coinvolgere non solo i dipendenti ma ancora di più i vertici aziendali che non possono più permettersi di delegare in modo passivo la conoscenza a quelli che stanno sotto di loro ma devono pro attivamente farsi carico della formazione e trasmetterla ai propri sottoposti.
Infine, il DPO deve tenere costantemente audit di verifica sulla protezione dei dati e sulla sicurezza informatica che coinvolgono i dati medesimi. Una volta tenuto l’audit dovranno verbalizzarne l’esito, mettere le evidenze a fondamento del verbale ed elencare le implementazioni necessarie per l’adeguamento alle normative.
Pare chiaro, quindi, che l’attività del DPO non si possa più considerare né come un’attività marginale né come un’attività meramente formale ma come un ruolo fondamentale e imprescindibile all’interno di ogni organizzazione anche aldilà dell’obbligo previsto dalla normativa sul trattamento dei dati.
Avv. Clementina Baroni
Commenti recenti