CEO o responsabile della protezione dei dati (DPO): chi vince il gioco di potere?
Nel frattempo, il CEO e il responsabile della protezione dei dati (DPO) sono avversari. Con l'inasprimento delle norme sulla protezione dei dati, un conflitto sta nascendo nei piani aziendali. Chi decide quali interessi economici dell'azienda sono in gioco? Il business manager o l'esperto che controlla la conformità alla protezione dei dati? Morten Brøgger, CEO di Wire, conosce la risposta.
Nel frattempo, il CEO e il responsabile della protezione dei dati (DPO) sono controparti. Questo è comunque un dato di fatto a causa dell'inasprimento dei regolamenti sulla protezione dei dati DSGVO nel maggio 2018. Questo richiede la nomina di un responsabile della protezione dei dati per le aziende con almeno dieci dipendenti. Se questo diventa obbligatorio, l'importanza di una gestione sicura dei dati e delle informazioni aumenterà.
Anche se più della metà delle aziende non ha ancora occupato una posizione a tempo pieno per gli esperti di protezione dei dati, l'argomento è finalmente arrivato nelle sale riunioni. Tuttavia, ci sono ancora molte incertezze, anche per quanto riguarda una funzione nell'azienda che ha guadagnato grande rilevanza nell'era della privacy.
Il responsabile della protezione dei dati controlla il rispetto delle norme sulla protezione dei dati ed è quindi responsabile della privacy dei dipendenti e dei clienti. Poiché ci si aspetta che lui o lei controllino e sfidino i processi e la cultura del lavoro, questi dipendenti assumono una funzione prominente e importante nell'azienda.
Un nuovo ruolo
Nell'ultimo sondaggio sulla sicurezza informatica dell'Ufficio federale tedesco per la sicurezza dell'informazione, il 70% delle aziende sono state vittime di attacchi hacker nel 2016 e 2017. Molte aziende sono sedute su una bomba a orologeria. Molte aziende cadono nell'errore di affidarsi a esperti esterni di protezione dei dati per esaminare le loro operazioni e i loro processi per la sicurezza informatica o riporre la loro fiducia in costose polizze di assicurazione informatica. Questo nasconde ulteriori rischi.
I fornitori esterni potrebbero compensare finanziariamente le misure di protezione e le perdite, ma di solito non possono riportare i dati persi. Se l'intero sistema informatico di un'azienda è colpito, il ripristino può costare diversi milioni di euro, a seconda delle dimensioni dell'azienda - senza contare la perdita di vantaggi competitivi e i costi delle mancate vendite e del danno d'immagine.
Anche un singolo file rubato e violato attraverso i dati dei clienti o le password può fare danni duraturi.
È qui che il responsabile della protezione dei dati entra in gioco e deve pestare i piedi alla direzione.
Lista di controllo per il futuro RPD
Tra i compiti del responsabile della protezione dei dati c'è quello di avvertire la direzione delle violazioni della protezione dei dati e di insistere su ampi cambiamenti, se necessario. Soluzioni insicure di cloud storage o i canali di comunicazione dell'azienda stessa sono "punti dolenti" per le aziende che l'esperto di protezione dei dati deve tenere particolarmente d'occhio.
In generale, quando si usano soluzioni software, il DPO deve essere in grado di controllare le seguenti caratteristiche e rispondere alle domande:
- Conformità al GDPR: se e come vengono trattati i dati personali?
- Software controllato: Ci sono regolari controlli indipendenti sulla sicurezza IT?
- Disponibilità dell'open source: ci sono vulnerabilità di sicurezza critiche o potenziali backdoor per terze parti nel codice sorgente liberamente disponibile?
- Ubicazione del server: i server sono situati all'interno dell'UE e si applica il quadro giuridico relativamente rigoroso?
- Crittografia end-to-end: le trasmissioni di dati o tutte le comunicazioni sono crittografate end-to-end in modo che solo il mittente e il destinatario abbiano accesso?
Nel migliore dei casi, il CEO stabilisce una cultura della sicurezza interna insieme al responsabile della protezione dei dati. Questo significa che lavorano per assicurare che i dipendenti sviluppino un atteggiamento positivo verso le politiche necessarie, perché nel peggiore dei casi, il loro stesso lavoro e il benessere dell'azienda dipendono dal funzionamento dei meccanismi di sicurezza informatica.
Nessun gioco di potere, nessun perdente
Il responsabile della protezione dei dati può portare alla luce verità molto scomode per il CEO: affronta apertamente errori e violazioni, chiede riforme e mette in discussione i flussi di lavoro esistenti. Tuttavia, gli esperti di gestione e di protezione dei dati rappresentano fondamentalmente gli stessi interessi. Alla fine, tutte le parti coinvolte traggono vantaggi inestimabili da una stretta collaborazione: l'azienda è meglio protetta contro le minacce informatiche, i dipendenti gestiscono le informazioni sensibili in modo più prudente, i clienti beneficiano di una migliore protezione dei dati e questo ripaga anche in termini di rispettabilità.
Pertanto, è importante che il DPO implementi un nuovo flusso di lavoro integrando strumenti sicuri nei processi di lavoro. Questi ultimi offrono anche l'opportunità di aumentare ulteriormente la produttività dell'azienda e quindi di avere un impatto positivo sui KPI. Alla fine, ci sono solo vincitori se il CEO e il DPO non si impegnano in una lotta di potere, ma invece tirano insieme.
Il responsabile della protezione dei dati è responsabile della guida di processi più globali. Insieme al CEO, gli interessi dell'azienda sono così protetti in modo sostenibile.
