Nella prospettiva del Regolamento Privacy (Data Protection) Europea, la aziende che trattano dati personali dovrebbero avere ruoli e strutture organizzative idonei ad assicurare adeguati fabbisogni di sicurezza e la compliance regolamentare.
A tale fine il Ruolo di Data Protection Officer o Privacy Officer costituisce la principale funzione aziendale che le aziende devono identificare.
La missione del Data Protection Officer (DPO) è quella di essere un punto di riferimento per le persone fisiche, l’autorità Garante e le altre funzioni aziendali operative e di controllo, allo scopo di governare, indirizzare e monitorare le attività operative e di garantire la compliance alle disposizioni in vigore derivanti dai requisiti normativi legati alla Privacy.
Importanti attività della funzione DPO dovrebbero essere quelle di emanare disposizioni interne aziendali, verificare i risultati e fornire assurance della capacità aziendale di reazione in caso di individuazione di rischi o vulnerabilità.
Il DPO sarà il responsabile principale della supervisione della compliance dei sistemi di elaborazione dei dati personali.
La Governance aziendale dovrà:
- garantire l’appropriato e tempestivo coinvolgimento del DPO in tutte le questioni legate alla protezione dei dati personali;
- assicurare l’indipendenza del DPO nell’esercizio del suo ruolo e dei suoi compiti;
- incaricare il DPO evitando incompatibilità o conflitti di interesse per altre attività condotte dallo stesso incaricato;
- assicurare che il DPO sia fornito di quanto necessario per l’esercizio delle sue funzioni (personale, risorse e dispositivi necessari).
Le aziende devono soddisfare richieste provenienti dalle persone fisiche riguardanti il trattamento dei loro dati personali, le finalità e le misure operative e di conservazione dei dati e a questo scopo il DPO deve garantire l’efficacia delle soluzioni organizzative e tecnologiche adottate per ottemperare alla normativa.
Il DPO deve essere designato in base alle qualità professionali ed alla conoscenza approfondita della normativa sulla protezione dei dati e delle relative best practices.
Il DPO avrà anche compiti consultivi, di supporto sulla applicazione di regole di legge e delle policy e procedure aziendali, (es. data breach, gestione delle richieste dell’autorità).
Un fattore critico di successo nello svolgimento del ruolo del DPO è il coordinamento sulla base di una RACI Chart con i ruoli del Compliance officer, del Risk Manager e del responsabile della sicurezza aziendale.
I compiti principali che il DPO deve coordinare con gli altri ruoli di controllo sono::
- definire le misure di sicurezza da implementare;
- fornire indicazioni su eventuali impatti Privacy relativamente a nuove iniziative da avviare (con revisione degli impatti Privacy PIA);
- monitorare il rispetto degli adempimenti Privacy in tutto il ciclo di sviluppo dei sistemi informativi nella produzione di soluzioni del sistema stesso;
- Monitorare l’efficacia delle soluzioni tecniche ed organizzative in uso per la protezione dei dati;
- Documentare i risultati conseguiti;
- Supervisionare che le misure e le decisioni prese in aziendasiano in accordo con la le leggge ed I regolamentazione privacy includendo le misure organizzative, tecniche e di sicurezza ;
- Gestire gli incidenti ed i data breaches;
- Verificare che gli assessment di impatto Privacy PIA siano richiesti dal’azienda per trattamenti specifici di dati e che consultazioni preventive con il Garante siano state effettuate dove necessario.
Il Framework Cobit 5 di ISACA per la governance e la gestione dell’IT aziendale è una roadmap di buona prassi per l’ottimizzazione del business e per la crescita aziendale che si basa su prassi comprovate pensiero globale di leadership e strumenti per creare innovazione e successo aziendale.
Il Framework Cobit 5 di ISACA, in tutto il ciclo di sviluppo del sistema informativo evidenzia i seguenti principali controlli sotto la responsabilità del DPO, condivisi con le altre funzioni aziendali in un ottica di RACI Chart.
Si noti che nella maggior parte dei casi la corresponsabilità è condivisa con il Security Manager.
| Processes categories | Processes | Control Objectives |
| Planning and control processes | Manage Quality | APO11.02 Define and manage quality standards, practices and procedures |
| Manage Risk | APO12.01 Collect data | |
| APO12.06 Respond to risk | ||
| Manage Security | APO13.03 Monitor and review the ISMS | |
| Developing processes | Manage Solutions Identification and Build | BAI03.07 Prepare for solution testing |
| Manage Organisational Change Enablement | BAI05.05 Enable operation and use | |
| BAI05.06 Embed new approaches | ||
| BAI05.07 Sustain changes | ||
| Manage Knowledge | BAI08.01 Facilitate a knowledge-sharing culture | |
| BAI08.05 Evaluate and retire information | ||
| Monitoring processes | Monitor, Evaluate and Assess the System of Internal Control | MEA02.01 Monitor internal controls |
| MEA02.03 Perform control self-assessments | ||
| MEA02.04 Identify and report control deficiencies | ||
| Monitor, Evaluate and Assess Compliance with External Requirements | MEA03.01 Identify external compliance requirements | |
| MEA03.02 Optimise response to external requirements | ||
| MEA03.03 Confirm external compliance |
Il Cobit 5 framework è un utile strumento per definire attività e responsabilità del DPO secondo le migliori prassi internazionali.
Applying COBIT5 to Critical Information systems would provide state of art data protection. A DPO with such skills would prove extremely valuable to a company that has a privacy-aware culture and a structured organization. I hope many more will be so, as we move towards adopting the new European GDPR.