In un mondo ormai dominato dalla digitalizzazione dei processi e dalla crescente interconnessione dei sistemi informativi, ogni informazione può rappresentare un punto di vulnerabilità e ogni settore aziendale deve adottare una visione integrata tra protezione dei dati e sicurezza informatica. Per questo motivo, l’alleanza tra DPO (altresì detto “Data Protection Officer”) e CISO (ossia “Chief Information Security Officer”) non è solo auspicabile, ma necessaria. Sebbene abbiano origini e competenze differenti – il primo di natura giuridica e il secondo tecnica – queste due figure condividono la responsabilità di garantire resilienza organizzativa e protezione delle informazioni. Il superamento dei macrosistemi funzionali, un tempo tipici delle strutture aziendali, impone oggi un approccio olistico, che coniughi conformità normativa, governance, strategia tecnologica e operatività quotidiana.

Il CISO, pur non essendo una figura prevista obbligatoriamente né dal GDPR né dalla Direttiva NIS 2, è ormai considerato una best practice nelle organizzazioni strutturate. Il suo ruolo consiste nel definire e attuare la strategia di sicurezza informatica, coordinare audit e controlli interni e garantire il rispetto dei requisiti tecnici della normativa europea. Nonostante operi in stretta connessione con l’area ICT, mantiene un’indipendenza funzionale ed è collocato al di fuori di essa proprio per evitare conflitti di interesse. L’autonomia di giudizio è infatti un elemento essenziale, che però non deve trasformarsi in isolamento: il CISO necessita di un flusso continuo e qualificato di informazioni per esercitare il suo ruolo con efficacia. Tale figura introduce una cultura orientata al controllo e alla prevenzione, facilitando l’attivazione di processi costanti di sorveglianza, analisi e miglioramento continuo, che vanno ben oltre i tradizionali audit periodici. Che sia interno o esterno all’organizzazione, il CISO si configura quindi come un facilitatore di resilienza, più che come un mero tecnico della sicurezza. Al contempo, il DPO è una figura giuridicamente disciplinata dal GDPR, obbligatoria in certi contesti ma designabile anche su base volontaria. Il suo compito è vigilare sull’osservanza della normativa, fornire consulenza a titolari e responsabili, cooperare con l’Autorità garante e fungere da punto di contatto per gli interessati: il DPO invece deve godere di autonomia e accesso diretto al vertice aziendale, così da svolgere efficacemente la propria funzione di controllo e supporto, soprattutto nei casi in cui è necessario esprimere un parere sulla valutazione d’impatto (nota come “DPIA”) e la sua prospettiva è dunque focalizzata sulla compliance e sulla prevenzione dei rischi connessi al trattamento dei dati personali.

Le aree di contatto tra DPO e CISO sono molteplici, e non devono essere viste come zone di sovrapposizione problematica, ma come opportunità di sinergia strategica. Entrambi si occupano di sicurezza, anche se da angolazioni diverse: tecnica per il CISO, normativa per il DPO. Una comunicazione strutturata tra i due consente di evitare duplicazioni e incoerenze, armonizzare le valutazioni di rischio e rafforzare la capacità dell’organizzazione di rispondere alle minacce informatiche e ai requisiti legali in modo coerente. Il loro dialogo non è un’opzione, ma una necessità per integrare visioni e competenze diverse in un unico approccio multidisciplinare alla sicurezza. Vi sono dunque degli scenari mostrano chiaramente quanto sia importante questa collaborazione. In primo luogo, gli incidenti di sicurezza che non coinvolgono direttamente dati personali non devono essere ignorati dal DPO, perché ogni vulnerabilità, anche se apparentemente marginale, può diventare una porta d’ingresso per attacchi futuri. Poi, l’adozione di nuove misure tecniche richiede una rivalutazione del rischio che tenga conto non solo degli aspetti tecnologici ma anche delle implicazioni giuridiche: solo un confronto diretto tra CISO e DPO può garantire un’analisi completa. Infine, l’esternalizzazione di servizi e l’uso del cloud pongono sfide comuni, anche se viste da prospettive diverse: il CISO valuta la sicurezza infrastrutturale, il DPO verifica la liceità del trasferimento e la tutela dei diritti degli interessati. In ognuno di questi casi, la cooperazione non è solo funzionale, ma strutturale all’efficacia della governance digitale.

In definitiva, il rapporto tra DPO e CISO è la chiave per una gestione matura e integrata della sicurezza informatica e della protezione dei dati, in grado di garantire conformità normativa, robustezza tecnologica e, soprattutto, fiducia.

Visualizzazioni: 19