- Email: info@cyberhospitality.tech
- Via Cesarano, 14/A 80067 Sorrento - NA | Italy
In un contesto europeo sempre più attento alla cybersecurity e alla protezione dei dati personali, le figure del Data Protection Officer (DPO) e dell’IT Manager assumono ruoli centrali e complementari. Tuttavia, proprio questa vicinanza operativa può generare conflitti d’interesse, soprattutto quando entrambi i ruoli vengono ricoperti dalla stessa persona o dallo stesso fornitore esterno.
Il Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce che il DPO deve essere indipendente, autonomo e libero da conflitti di interesse (art. 38, par. 6). Il suo compito è vigilare sul rispetto della normativa in materia di protezione dei dati, anche sulle attività dell’IT Manager.
Con l’entrata in vigore della Direttiva NIS2, che impone nuovi obblighi di sicurezza informatica alle aziende, il ruolo dell’IT Manager si è rafforzato, diventando il fulcro operativo della protezione delle infrastrutture digitali. Ma questa convergenza di responsabilità può diventare un problema quando chi implementa la sicurezza è anche chi dovrebbe controllarla.
Sempre più spesso, società di consulenza offrono pacchetti “chiavi in mano” in cui forniscono sia il servizio di DPO che quello di gestione IT. Questa prassi, seppur conveniente per le aziende clienti, mina l’etica professionale e viola lo spirito delle normative europee, che impongono la separazione tra controllore e controllato.
Il Garante per la protezione dei dati personali e l’EDPB (European Data Protection Board) hanno più volte ribadito che il DPO non può autovalutare il proprio operato o quello dell’organizzazione a cui appartiene. L’indipendenza è un requisito imprescindibile per garantire la reale efficacia della funzione di controllo.
Molte PMI non sono pienamente consapevoli dei rischi legati al conflitto di interessi. Spesso, affidandosi a fornitori esterni che ricoprono entrambi i ruoli, credono di essere in regola, ma in realtà espongono l’organizzazione a sanzioni, vulnerabilità e danni reputazionali.
È quindi fondamentale promuovere una cultura della compliance etica e normativa, sensibilizzando le imprese sulla necessità di distinguere chiaramente i ruoli.
Serve un’azione concreta da parte delle autorità competenti – come il Garante Privacy e l’ACN (Agenzia per la Cybersicurezza Nazionale) – per rafforzare i controlli e pubblicare linee guida più chiare e vincolanti.
Solo così si potrà rispondere alla domanda cruciale:
Chi controlla il controllore?
