Dopo il CISO il DPO sono convinto non lo fò

Continuando i nostri studi antropologici sulle mitologie aziendali dopo aver parlato del ciso:

oggi parleremo di una altra figura di cui si sente spesso parlare ma, come vampiri, licantropi e uomini ragno difficilmente si incontrano nella vita reale, il DPO.

immagine da https://www.ilcinemaniaco.com/vampiri-e-licantropi-film-sui/

Il data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 | GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio ’16.

Come figura in italia è stata malamente tradotta con RPD responsabile protezione dati personali ne avevo scritto in tempi non sospetti in questo post:

Il DPO, figura storicamente già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi:

insomma il DPO, come il CISO, deve fare tutto quello che gli altri componenti aziendali non sono capaci di fare anche se rientra nelle loro specifiche competenze.

Dal sito del garante leggiamo in italiano:

Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante; v. faq 6) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

Ora il DPO rispetto al CISO ha un inquadramento giuridico (nel senso che da qualche parte è citato in qualche legge\regolamento) e quindi da qualche parte dovrebbe essere obbligatoriamente presente.

Questi vincoli sono stati descritti nel GDPR, ma siccome siamo in Italia sappiamo che gli obblighi sono indicazioni e le indicazioni sono “un tana libera tutti” così il DPO, esattamente come i mostri citati in precedenza, da segni di apparizione in maniera non chiara, i suoi comportamenti, scopi ed azioni sono ancora oggetto di studio da parte dei ricercatori.

Occorre avere il coraggio di dire che molte analisi sul ruolo del DPO fanno riferimento ad ambienti con realtà di risk analisys e security approach mature ed adulte. Non per distruggere i vostri sogni ma questa è una realtà ancora molto lontana dal vero. Non solo per le PMI e non solo in Italia, se ci può consolare (mal comune mezzo gaudio?)

Una differenza fondamentale tra DPO e CISO è che il primo ha funzioni di indirizzo ma non responsabilità operative e quindi è una sorta di ministro senza portafoglio, quel tipo di ministro che nei governi conta come il due di picche.

In compenso, tornando ai confronti, con il CISO vi sono legami interessanti del tipo entrambi sono parafulmini delle problematiche aziendali, non sono spesso ascoltati e sono considerati dei rompiscatole e oneri al business.

Le specificità del DPO però risalgono nella natura strana del suo ruolo, consulente ma non responsabile (appunto un responsabile irresponsabile) deve operare ai margini di una serie di elementi complicati:

da un lato c’è la legislazione di riferimento, il GDPR che è un esercizio di common law in ambito di roman law, insomma come mescolare acqua e olio (lascio la scelta a voi di cosa sia acqua e cosa sia olio)
dall’altro competenze o almeno comprensione di elementi di security non banali: e non pensate che encryption o , anonimizzazione o pseudonimizzazione siano robe elementari, ho letto stupidate in giro che voi umani…
Poi c’è la problematica del calcolo del rischio, con l’aggravante che il rischio non è interno all’azienda ma esterno… il rischio è che si danneggino le libertà individuali protette dal GDPR, giusto per la cronaca.
Per non parlare del merito dei processi di raccolta dati, autorizzazioni, gestione del dato non solo digitale (hai presente il marketing?)
E non dimentichiamoci la gestione del databreach con le comunicazioni al garante
…e via dicendo

Insomma un parco di competenze di un certo rilievo che farebbero tremare i polsi a un essere umano. Per questo la figura del DPO bene si sposa con schizofrenici dotati di personalità multipla, a patto che le varie personalità si specializzino nei vari ambiti di competenza. In alternativa si potrebbero richiedere risorse complementari che lavorino per un obiettivo comune ma con competenze diverse. ma lo so è chiedere troppo.

Come per il CISO il DPO è di difficile collocazione nella struttura gerarchica sopratutto perchè, quei rompini delle autorità competenti, hanno iniziato seriamente a considerare la questione della indipendenza.

Ecco allora che abbiamo diverse casistiche interessanti.

Con la particolarità che in realtà il DPO dovrebbe riportare al titolare, questo non sempre è quello che si incontra 🙂

DPO che riporta all’IT manager o alla struttura IT

Ora su questo elemento la diatriba è pesante, alcuni ritengono che il ruolo del DPO abbia un profilo prevalentemente legale, altri che debba avere profilo tecnico. Secondo me sbagliano entrambi, vediamo perchè.

L’approccio tecnico informatico è interessante perchè coincide col problema del CISO riportante al CIO. L’indipendenza di cui deve godere il DPO dovendo anche entrare in questione tecniche informatiche (ma non solo) è in netto contrasto con l’idea di mettergli un capo che sia l’IT manager o una sua diramazione.

Addirittura, per nota aneddotica, ci sono stati tentativi (sanzionati) di far coincidere l’IT manager con il DPO.

Una richiesta di indipendenza da se stessi che merita studi di psichiatria di un certo livello. Ve lo vedete la stessa persona di fronte al board che con un cappello giustifica certe scelte IT e con l’altro le sconsiglia? Io vorrei vederlo a dire il vero.

Va da se che chi arriva dall’IT già a malapena capisce di security, figuriamoci delle altre competenze richieste ad un DPO. Il profilo richiesto ad DPO infatti poco si sposa con chi ha esperienza di operation IT.

Allora perchè questa scelta? Da un lato ci sono chiare necessità economiche, un IT costa meno di un avvocato, dall’altro risulta evidente come sia incomprensibile il ruolo del DPO ai più.

DPO che riporta alla struttura legal

In questo caso la figura è solitamente un avvocato e quindi con un profilo economico maggiore.

Il problema di un avvocato come DPO è il livello di competenza tecnica richiesta per il lavoro, e di comprensione dei processi aziendali. Intendiamoci non voglio qui affermare che gli avvocati non capiscano nulla di tecnologia, anzi. ci sono e persino alcuni che capiscono di proprietà intellettuale, pochi, ma ci sono. Il problema è che quelli con competenze specifiche costano e sono senzienti.

Cosa, per altro, che non si può dire di molti operatori IT, purtroppo.

L’avvocato buon DPO ha una infarinatura tecnica che gli consente di capire le inerenze tecniche, ha persone di fiducia che hanno credito nel spiegargli di quali sono i vincoli tecnici e procedurali,

Se da un punto di vista strettamente legato alle funzioni di DPO il legal non ha quindi tutte le competenze, un legal riportante al dipartimento legal, con le opportune risorse tecniche può essere una buona scelta. Il vero ostacolo è far entrare un avvocato nell’ottica del risk management, cosa parecchio lontana dalla normale consuetudine.

Lo so adesso molti avvocati alzeranno gli scudi, lo so che voi gestite il richio e che la sentenza non è scritta a priori, ma quando si parla di risk management si parla di mettere nero su bianco le valutazioni di rischi con metriche precise. Siamo onesti, quando mai lo avete fatto?

Se invece si prende un avvocato perchè sa “la legge”, siamo non molto distanti dal punto precedente, anzi persino peggio. Non vi dico le volte che ho dovuto spiegare ad un avvocato la differenza tra “intercettazione” e “registrazione” (dovrebbe esserci anche un mio vecchio post su linkedin in merito).

Vorrei vedere un avvocato fare una DPIA per un servizio (si non si fa solo una volta nella vita generica, ma per OGNI servizio che gestisce dati oggetto di GDPR) senza competenze tecniche di security e di processo. I risultati che ho visto molte volte sono richieste stringenti e dementi nella scia del nel dubbio blocco (vogliamo parlare della differenza tra persona fisica e persona giuridica nel GDPR?) .

Ma, diciamocelo, per quanto possa dolere a noi tennici, l’avvocato, se senziente non è poi una scelta così orrenda. Ma ha bisogno di un supporto consulenziale non indifferente. Il che si traduce i ulteriori costi.

Il DPO come membro dei team compliance

Tutto sommato dal puto di vista della collocazione il DPO starebbe bene nei team compliance, visto che sono già odiati da tutti i soggetti aziendali senza distinzione.

Il problema tra DPO e compliance è che il GDPR non è una lista di regole scritte nel marmo di carattere booleano, ma una lista di regole che fanno del risk management la base fondamentale della valutazione. In altre parole la valutazione e la compliance dipendono da valutazioni specifiche del servizio in oggetto nel contesto specifico. Scordatevi le ISO qui l’approccio è completamente diverso. Se volete si tratta di disegnare la vostra ISO in funzione del servizio, prodotto, tecnologia in uso. Ed inoltre l’output del DPO non è legge, deve essere accettato dal board e se non accettato la non accettazione deve essere motivata e le cose devono venire registrate perché oggetto di valutazione in caso di controlli di adeguatezza.

Rimangono le valutazioni in merito al problema comunicativo tra le varie funzioni aziendali e la comprensione del business e dei processi di solito al di fuori dell’alveo della compliance.

DPO che riporta al CISO o CSO

tutto sommato questo non è uno scenario orribile, ma occorre tener presente che vi sono casi in possono intercorre conflitti anche pesanti. So di entrare nel tecnico, e chiedo scusa se un avvocato ci legge, ma pensate alla problematica inerente la gestione dei log.

IP e altri metadati così cari alla security sono u problema per un DPO i quanto questi ultimi possono essere usati per ricostruire indirettamente dati personali, ma sono altrettanto utili per creare baseline di analisi per la sicurezza.

La questione di non semplice soluzione ha portato, ad esempio, una frattura quando in merito alla “personalizzazione” dell’IP creando una tensione tra le due funzioni.

Il delicato rapporto tra security e protezione richiede una collaborazione attiva e dinamica ed intelligente non sempre ottenibile, visto le problematiche che a sua volta il CISO vede dal suo punto di vista, anche rispetto all’azienda.

DPO che riporta al Privacy Officer

Ammesso che il ruolo esista e sia reale, l’unico vero probelma è l’eventuale sovrapposizione di competenze, e pur vero che il DPO ripetto al CPO non ha competenze dirette operative, ma di controllo. Si rientrerebbe nell’alveo del controllore e controllato che coincidano. Una dicotomia che può essere, però, risolta con la separazione dei ruoli. Ma quante aziende hanno un vero CPO (che, in altre parole, possa dettare limiti e riferimenti operativi nella gestione dei dati)?

DPO che riporta al CEO o al Board

Questo caso sarebbe l’ideale in termini di indipendenza (soprattutto se il riferimento è il board). Se il riporto è al CEO è perchè, probabilmente, il CEO ha capito che i carabinieri poi busserebbero alla sua porta in caso di problemi. Va da se che “one man band” difficilmente potrebbe coprire tutte le funzioni richieste al DPO a meno che la azienda non sia matura dal punto di vista informatico e di sicurezza.

La questione della maturità è spesso non compresa: come fare una DPIA su un servizio se non esiste una preesistente analisi del rischio? E chi fa o può fare tale analisi?

Come si vede la questione DPO è persino più complessa della questione CISO, e non entro nel merito della questione economica, perchè altrimenti dovrei parlare di offerte per DPO a 600 euro all’anno (lo sapete che ci sono, non nascondetevi)….

E pur vero che a fronte di competenze elevate il DPO ha minori obblighi di responsabilità decisionale (essendo la funzione prevalentemente consultiva e di indirizzo) e quindi le valutazioni economiche sono persino più difficili.

Mia personale opinione è che chiunque faccia il DPO sia tecnico che avvocato ha comunque bisogno di indipendenza e di poter accedere alle risorse specifiche quando servono (una sorta di help-desk DPO che magari potrebbe anche essere esternalizzato).

E come se non bastasse

Le problematiche di approccio al ruolo del DPO variano anche in funzione della tipologia di azienda.

L’approccio nostrano si divide in diverse categorie ma possiamo iniziare ad individuare dua aree in linea di massima comprensibili:

Pubblica Amministrazione
Privato

Nella PA l’approccio al DPO salvo rare e lodevoli eccezioni è: a me che mi frega tanto a me la multa non mi spaventa mica la pago io.

Le PA non sono associazioni a fine di lucro (anche se sulla capacità di lucrare si può discutere) e i budget sono quindi una questione delicata più afferente alla gestione politica\clientelare delle risorse che altro.

Il risultato è che DPO diventano, ammesso e non concesso che ci siano, dirigenti che fanno altro e che si dedicano all’attività di DPO part time o amici dei cuggini, persone che rompono ed a cui occorre far fare qualche cosa e via discorrendo.

Il risultato è un bestiario imbarazzante di comportamenti al limite del ridicolo. Il garante da anche le multe, ma il probelma è che senza responsabilità personale la multa serve a poco, e quindi l’attenzione rimane minima.

Sparare sui comuni è facile, ma sono le grandi organizzazioni all’interno della pubblica amministrazione che danno il brutto esempio, e giusto per capirci, a parte la quantità di breach che vengono fuori con oramai imbarazzante regolarità, guardate le informative fornite in merito anche sui siti.

Il problema della PA è quindi duplice, non esiste da un alto una leva “forte” di persuasione all’adeguamento (con buona pace dei lodevoli sforzi di AGID) in particolare le multe non sono strumento efficace, dall’altro la non esistente cultura del servizio al cittadino (possiamo se volete discutere del punto in altra sede) porta a la mancanza di spinte etiche all’adeguamento, anche se si potrebbe pensare che la PA dovrebbe essere la prima a dare il buon esempio.

Per quello che concerne il privato, invece, permane nella cultura italiana la idea che adeguarsi alle regole sia funzione “cartacea” e non sostanziale, ed è vissuta, culturalmente, più come un orpello che come un dovere civico. Del resto se non ci si può aspettare etica in tal senso dalla PA non la ci si può aspettare da aziende nate a fini di lucro. E in questi termini l’Italia non è sola.

Sulla questione etica sottostante al GDPR scrissi tempo addietro qui:

Ma tornando al punto del DPO molte aziende non sono culturalmente in grado di capire la analisi del rischio, per induzione la security figuriamoci un ruolo quale il DPO.

Il risultato sono spesso ruoli di carta, indipendente dalla linea di riporto, svuotati del senso ideato per il ruolo.

Non stupiamoci se il conto economico del costo della protezione vs la multa allora sia temine di ragionamento.

(e non stupitevi se considero mascalzoni coloro che preferiscono la multa escludendo le considerazioni etiche del caso)

Pensierino finale

Se il CISO è un ruolo comprensibile entro certi limiti, il DPO è di difficile comprensione per molti, sia per l’indeterminatezza del ruolo che per la sua novità e per un framework legislativo oggettivamente complesso.

E non sono entrato nel merito di DPO esterno o interno, questione delicata che presenta pro e contro non indifferenti o secondari (tra cui i profili di responsabilità e di indipendenza).

Si può discutere su miglioramenti, framework tecnici di riferimento più solidi, precisazioni nella interpretazione del framework legislativo, ma il ruolo del DPO è destinato ad evolvere in termini di complessità e ricchezza di competenze. Purtroppo il ruolo demandato è ancora troppo incompreso non tanto da aziende pubbliche e private, ma dalla popolazione che del GDPR ha capito giusto si e no lo 0.0000% e che quindi non esercita le leve di mercato opportune (hai un DPO, chissene, prova oggi, invece, a vendere un’auto senza sicurezza attiva e cinture di sicurezza se ci riesci, Stati Uniti a parte).

Oggi è ancora troppo presto per dare definizioni conclusive, troppo poco storico, troppe poche evidenze.

Di sicuro un ruolo che soffre della disparità tra competenze richieste, inquadramento aziendale e offerta economica.

e tu che DPO sei?