Data Protection Officer e CISO, tra i due litiganti il terzo gode

La protezione dei dati è un mestiere sempre più difficile per Data Protection Officer (DPO) e Chief Information Security Officer (CISO) nell’era digitale in cui viviamo.

Il primo si deve confrontare con normative sempre più complesse e numerose, mentre il secondo è costretto a vivere in continua apprensione a causa di minacce informatiche in rapida evoluzione e data breach che ormai sono sempre dietro l’angolo.

Dalla storica entrata in vigore del GDPR sono trascorsi poco più di 5 anni, ma sembra un secolo se si considera il continuo susseguirsi dei mutamenti di scenari che hanno inciso sull’applicazione delle norme, attraversando anche una pandemia durante cui la maggior parte dei Data Protection Officer ha dovuto imparare che quello alla privacy è un diritto fondamentale ma non assoluto, e trovandosi poi di fatto immersi a capofitto nell’era dell’Intelligenza Artificiale senza avere neanche il tempo di rifiatare dopo la fine dell’emergenza sanitaria.

Se nel 2018 chi aspirava a ricoprire il ruolo di Data Protection Officer sapeva che doveva soddisfare il requisito dettato dall’37 del GDPR relativo al possesso della “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”, quello che all’epoca poteva ritenersi un bagaglio di competenze adeguato, in pochi anni è diventato insufficiente e praticamente preistorico, giacché l’introduzione del Regolamento europeo sulla protezione dei dati ha segnato solo l’inizio di tutta una serie di atti normativi che sono stati successivamente sfornati dalle istituzioni europee, e adesso è in dirittura d’arrivo pure il Regolamento sull’Intelligenza Artificiale.

Di fatto, un professionista che pensi oggi di proporsi come Data Protection Officer conoscendo solamente il GDPR non è più adeguato per assumere tale ruolo se non ha cognizione degli altri numerosi regolamenti pubblicati, tra cui il Digital Services Act, il Data Act, il Data Governance Act, il Cyber Resilience Act, e l’emanando Artificial Intelligence Act.

Se ai DPO non mancano i grattacapi, non se la passano certo meglio i CISO che devono affrontare molte sfide per salvaguardare la cybersecurity delle loro organizzazioni, tra cui i temuti ransomware, campagne di phishing sempre più raffinate, rischi derivanti da vulnerabilità e configurazioni errate, attacchi alla catena di fornitura o esposizione di terzi, ed altre minacce informatiche che sempre più spesso incorporano tecnologie di intelligenza artificiale.

Il paradosso è che se DPO e CISO dovrebbero essere due affiatati alleati e guardarsi reciprocamente le spalle per combattere insieme la battaglia della protezione dei dati, a quanto pare spesso viaggiano invece su due binari paralleli che raramente si incontrano, come è stato evidenziato dal Rapporto “Cybersecurity & Privacy, gap e margini di convergenza tra gli addetti ai lavori” recentemente pubblicato da Federprivacy.

Secondo i risultati emersi al termine di un sondaggio svolto su oltre 1.500 professionisti, è infatti emerso che giuristi ed informatici stentano a sintonizzarsi sulla stessa lunghezza d’onda, con il 42% degli intervistati che ha difficoltà a farsi comprendere bene da chi ha competenze diverse dalle proprie, mentre il 30% è lui stesso a faticare a comprendere il lessico troppo tecnico usato dal suo interlocutore, e perciò sorprende che più della metà (56,06%) incontra difficoltà a trovare un punto d’incontro che soddisfi tutte le esigenze degli altri esperti che fanno parte del team. Non mancano neanche le frizioni tra DPO e CISO, in quanto il 37% degli intervistati mostra segni di insofferenza verso il collega che si improvvisa “tuttologo” e il 32% accusa il colpo quando il suo lavoro viene sminuito dall’altro.

Ma nel rapporto gli stessi esperti giuridici e informatici hanno anche accesso i riflettori su un’altra questione fondamentale: oltre la metà di essi (57,2%) ha indicato gli aspetti organizzativi come quelli più importanti per un team che si occupa della protezione dei dati, evidenziando quindi la necessità di maggiore cooperazione e coordinamento tra DPO e CISO, obiettivo che si può realizzare solo attraverso efficienti modelli organizzativi, procedure, e regolari attività di monitoraggio.

Per tali ragioni, ad un’organizzazione che deve proteggere i propri dati non basta avere nel proprio team un professionista che si occupa della compliance normativa e un altro che si occupa della cybersecurity, ma occorre anche un’ulteriore figura come il Data Manager, esperto di governance a cui assegnare il compito di sviluppare e supervisionare i sistemi di gestione dei dati.  E allora, se DPO e CISO stanno notoriamente a contendere per affermare chi tra loro svolga il lavoro più importante, ci sono tutte le premesse che tra i due litiganti il terzo a godere sia proprio il Data Manager.

Nicola Bernardi, presidente di Federprivacy