Nell’articolo “Le indagini condotte dal Dpo nel rispetto del principio di minimizzazione” è stato trattato il tema delle invasività delle indagini del Dpo, che deve mediare tra la ricerca di informazioni e l’applicazione del principio della minimizzazione. Tale soggetto non è però l'unico organo chiamato, in particolari circostanze, ad effettuare delle indagini; tale compito spetta anche, ma non solo, all’ Organismo di vigilanza, come previsto dal D.lgs 231/2001 - Responsabilità amministrativa delle società e degli enti - nell'esercizio delle funzioni che gli sono proprie. Valgono quindi, anche per tale ente, le considerazioni che sono già state formulate, oltre ad alcuni elementi aggiuntivi che è opportuno mettere in luce, i quali saranno trattati in questo articolo, che è da considerare la logica prosecuzione del precedente.
Per leggere l'articolo integrale devi effettuare il login!
Come deve agire il DPO nelle strategie di sicurezza, tenendo conto delle ulteriori funzioni che inevitabilmente sono coinvolte nella stessa? Di certo non può chiedersi che agisca come one-man band ed estenda (o spesso, improvvisi) il proprio campo d’azione a tematiche così complesse come la sicurezza delle informazioni ed attendersi che tale azione possa essere efficace.
Il documento "2023 Coordinated Enforcement Action – Designation and Position of Data Protection Officers" del Comitato Europeo per la Protezione dei dati presenta un'analisi approfondita e dettagliata sul ruolo, la designazione e la posizione dei DPO nelle organizzazioni, indicando raccomandazioni e punti di attenzione con le possibili soluzioni.
Il 65% degli oltre mille Data Protection Officer intervistati nel corso di un sondaggio condotto dall’Osservatorio di Federprivacy temono che una possibile situazione d’emergenza come quelle derivanti da ransomware o altri data breach possa scattare a causa dell’impreparazione o dell’incompetenza del personale che tratta dati personali in azienda, e il 58% dei DPO pensano che l’innesco potrebbe essere l’errore umano dall’interno, ovvero il cosiddetto “Insider Threat”.
All’interno del provv. n. 581 del 26 settembre 2024 in cui l’Autorità Garante per la protezione dei dati personali ha sanzionato una AST, da cui si possono apprendere spunti per garantire la corretta gestione dei certificati medici, è presente anche un obiter dictum dedicato all’importanza di garantire la continuità d’azione alla funzione del DPO.
A distanza di quasi due anni dall’introduzione del Gdpr, sono ormai praticamente svanite tutte le più rosee prospettive riguardo alla figura del Data Protection Officer, come quella di vedere un “custode della privacy” nelle organizzazioni pubbliche e private che riportasse direttamente ai vertici aziendali, che avesse autonomia e indipendenza, e che avrebbe dovuto percepire un compenso o uno stipendio adeguato a un ruolo dirigenziale.
La Privacy come un business per DPO e consulenti con il GDPR in un'intervista al presidente di Federprivacy pubblicata in uno speciale di Lucia Ingrosso sulla rivista Millionaire di febbraio 2018, che ha intervistato anche il Garante Europeo Buttarelli:"Il Regolamento UE chiede ai gestori delle informazioni in ambito pubblico e privato di conoscere la propria e realtà dal punto di vista delle risorse informative, valutare attentamente i rischi, graduare il tipo di risposte, avere un controllo indipendente al proprio interno attraverso la figura del data protection officer.
L'Agenzia per la Cybersicurezza Nazionale (ACN) ha recentemente pubblicato due rapporti monografici dedicati alle minacce cyber Ransomware (dicembre 2024) e DDoS (febbraio 2025). Va da sé che, laddove le organizzazioni trattino dati personali, la materia interessa anche Data Protection Officer e Privacy manager.
Il Garante privacy ha avviato un’indagine nei confronti di grandi enti locali per verificare il rispetto dell’obbligo di comunicazione dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data protection officer, DPO, nell’accezione inglese).
Nel 53% delle aziende i team privacy sono a corto di personale, anche perché attualmente il 41% degli stessi manager ammette di non disporre di un budget sufficiente, che nel 34% dei casi neanche verrà aumentato nel 2023.
