Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Stefano Gazzella : 1 Agosto 2022 07:00
Autore: Stefano Gazzella
Matteo Colombo, presidente di AssoDPO, con esperienza come DPO, consulenza in ambito di compliance, risk management e data protection, si è reso disponibile per un’intervista al fine di commentare rischi e opportunità riguardanti la previsione di istituire un albo dedicato alla figura dei Responsabili della protezione dei dati.
Andiamo dritti al punto: come vede l’idea di un “albo dei DPO”?
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Vedo necessariamente due temi da affrontare: se creare un albo di chi è già stato designato DPO o se altrimenti istituire un albo professionale della figura del DPO.
Nel primo caso altro non è che rendere accessibile le comunicazioni all’autorità Garante, e può essere un utile elemento di trasparenza delle designazioni consentendo così a chiunque di poter sapere chi sia il DPO di riferimento per singoli titolari o responsabili del trattamento. Sono certo che questo possa aiutare il settore ad evolversi in maniera molto differente rispetto a quanto abbiamo visto fino ad oggi. In una serie di interventi pubblici, infatti, il Garante Privacy ha più volte segnalato la presenza di “cacciatori di taglie”, ovverosia soggetti con centinaia di incarichi soprattutto in ambito pubblico. Certo, il tema andrebbe affrontato in sede di EDPB o in una futura revision del GDPR che, dal punto di vista tecnico, non escludo possa interessare già il prossimo Parlamento europeo, a beneficio della trasparenza delle designazioni.
Per quanto riguarda il secondo caso, ovverosia la costituzione di un elenco di soggetti “qualificati” può essere uno spunto per guardare alle skills richieste per la figura professionale di DPO come ad esempio ha fatto CNIL. Oggi, nei bandi, sono chieste delle attività da svolgere ma non vengono stabiliti parametri di efficacia, controllo e le selezioni sono dominate dal criterio dell’offerta economicamente più vantaggiosa. L’indicazione di una serie di skills fondamentali da parte dell’Authority non può che migliorare i processi di selezione.
A proposito di selezioni: qual è stato il compenso più basso che ha visto in una offerta di servizi di DPO?
Potrebbe sorprendere, ma ho avuto modo di vedere qualcosa che va oltre i famigerati 500 euro l’anno ovverosia dei DPO “gratis”, integrati in un pacchetto di servizi già acquistato. Molto spesso in situazioni di conflitto di interessi.
Quali sono le maggiori resistenze da superare riguardanti la figura del DPO?
La maggiore resistenza è accettare che la funzione agisca in affiancamento all’organizzazione. Il ruolo del DPO nasce per dare un valore aggiunto, ed è il soggetto che governa e supervisiona tutte le regole che l’organizzazione si è data per la compliance GDPR.
La figura può essere assimilata con il ruolo di RSPP, ma spesso viene considerata in modo astratto. Altrimenti, una carenza di effettività della funzione è la conseguenza logica.
Una delle cose più difficili da capire è che il DPO debba entrare da subito nelle scelte dell’organizzazione e dunque la necessità del suo coinvolgimento sin dall’inizio in un’ottica di privacy by design e con approfondimenti nel merito delle decisioni sin dalla fase embrionale della pianificazione.
Come superarle?
L’unico modo che vedo per scardinare questa resistenza è una integrazione della privacy all’interno dei processi dell’organizzazione, stabilendolo come parametro di valutazione dello “stato di salute” della stessa. Ad esempio, nei processi di M&A la correttezza del trattamento dei dati personali è riconducibile al rischio di contenzioso.
Dobbiamo accettare che viviamo in una realtà in cui i dati personali hanno un valore significativo e dunque occorre un controllo della regolarità dell’acquisizione degli stessi.
Esistono o sono auspicabili regole deontologiche comuni per i DPO?
Certamente. AssoDPO ha ad esempio adottato un codice etico per i propri associati e così anche altre associazioni. Ritengo che siano proprio le associazioni a dover promuovere regole e valori comuni per i propri associati e stabilire linee di condotta condivise.
Possiamo avere alcuni esempi?
La correttezza della gestione contrattuale. È necessario dichiarare sin dalla fase di contrattazione cosa il DPO potrà e dovrà fare e cosa invece non potrà fare, assicurando così che il titolare o il responsabile abbia da subito cognizione del ruolo operativo della funzione.
Alcune garanzie ulteriori, come avere un’assicurazione professionale o garantire la propria formazione continua, sono altrettanto importanti. Nel modo di comportarsi, invece, trovo particolarmente di rilievo assicurare una non discriminazione soprattutto un’integrità nello svolgimento dei propri compiti.
Cosa consiglia a chi deve o vuole provvedere alla nomina del DPO per non incorrere in gravi errori, a parte rivolgersi a chi presenta una contrattualizzazione chiara del rapporto?
Valutare la competenza specifica. In Spagna hanno addirittura costituito delle specializzazioni di settore per i DPO, e potremmo ispirarci anche a questo modello e non solo alle skill indicate da CNIL.
Ovviamente gli schemi di certificazioni così come i corsi pur non essendo abilitanti possono costituire delle evidenze valide per assolvere i criteri di selezione.
Cosa servirebbe ai DPO da parte dell’autorità di controllo?
Certamente, un Ufficio DPO presso l’Autorità Garante come accade in Francia. Avere un canale di comunicazione e possibilmente anche un funzionario dedicato può consentire di risolvere alcune problematiche in modalità autonoma e più celere rispetto al dover transitare per l’URP. Ad esempio, in caso di data breach o di valutazione d’impatto o consultazione preventiva.
Un suggerimento per i DPO in cerca di incarichi.
Studiare. Quello sempre: non si finisce mai.
Uno degli aspetti più importanti ora è approfondire il diritto comparato. In Europa pochissimi si sono specializzati in privacy comparata, eppure non è più sufficiente conoscere solamente il GDPR per svolgere il ruolo di DPO nel settore privato. Ovviamente, anche la lingua inglese è fondamentale per maturare esperienze internazionali.
Dopodiché fare rete. Coltivare contatti, formare dei team DPO per uno scambio continuo e la valorizzazione e contaminazione reciproca di esperienze che sono destinate ad essere sempre più specializzate.
Stefano GazzellaIl ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
