Con la Pandemia il Data Protection Officer è diventato un ruolo ancora più decisivo nelle aziende. Basti pensare all’uso massivo dello smartworking, che ha portato a una crescita esponenziale della condivisione di dati sensibili online. Il problema è che ancora oggi i DPO interni o esterni non sono abbastanza coinvolti dal management, mentre la condivisione di obiettivi e valori risulta decisiva nell’efficacia dell’attività di gestione delle violazioni di dati. Lo afferma, tra l’altro, Matteo Colombo, presidente di Asso DPO, intervistato da Le Fonti Legal.
Come è cambiato il ruolo del DPO in seguito alla Pandemia e al conseguente fenomeno di digitalizzazione “forzata” che ha riguardato tutto il mondo produttivo?
Con l’introduzione massiva dell’attività lavorativa in smartworking, il Data Protection Officer si è dimostrato un ruolo molto utile nelle aziende, direi quasi un “facility data manager”; chiamato giornalmente a valutare i trattamenti dati di dipendenti e clienti, ad ottimizzare il loro uso, a verificare gli strumenti utilizzati ed a garantire il bilanciamento fra i diritti di organizzazione imprenditoriale e di protezione del dato dell’interessato.
Il punto di attenzione per lo staff del DPO è la valutazione della privacy by design, della privacy by default e degli strumenti dedicati alla trasformazione digitale. Per fare questo il DPO si confronta sempre più e con continuità con i fornitori di servizi tecnologici, i loro sviluppatori ed i loro DPO; non solo nella fase di acquisto del servizio (es. SW installato – App – SaaS ecc.) ma anche nella fase di utilizzo quotidiano, per verificare che le regole che il Titolare del trattamento ha stabilito siano mantenute nel tempo.
La criticità maggiore che si rileva nelle aziende, soprattutto tra i DPO interni, ma anche tra chi effettua servizi di DPO esterno è il cosiddetto “employee engagement” da parte del Management, ovvero la misura del coinvolgimento del DPO verso l’organizzazione, che spesso è insufficiente.
Il DPO che si sente coinvolto negli obiettivi dell’azienda e ne condivide i valori è più efficace e incide maggiormente nell’organizzazione raggiungendo gli obiettivi che si pone con la sua attività; deve quindi sentirsi parte dell’organizzazione.
Quali criticità ha riscontrato nello svolgimento dell’attività del DPO e in che modo le imprese possono tutelarsi dal rischio violazione dei dati aziendali?
Il tema sempre presente nell’agenda del DPO è la gestione della violazione dei dati. Ogni giorno con il mio Team di DPO esterni analizziamo per conto dei clienti incidenti informatici che possono sfociare in temi di violazione dei dati effettuando “assessment di eventi”. Per questo ci avvaliamo di strumenti specifici che gestiscono, valutano e registrano le violazioni dei dati personali.
Le imprese si possono tutelare con investimenti mirati in cybersicurezza sia da un punto di vista tecnologico che umano. Sul secondo fattore il DPO può incidere molto, il suo Team è sicuramente un attore principale nelle politiche di formazione e awareness.
Come cambiano i rischi di violazione e l’attività di protezione dati tra un’azienda multinazionale e una con sede solo sul territorio italiano?
La cybersicurezza non ha confini geografici e dimensionali. Gli attacchi cyber sono in costante crescita sia per frequenza che per ampiezza, diventando sempre più complessi e non sono arginati dalle frontiere, causando gravi danni al bilancio delle aziende pubbliche e private.
Le reti aziendali sono ormai globali, anche un’azienda che è sita sul territorio nazionale si può avvalere di uno strumento cloud che, per definizione, non ha confini e quindi è necessario adottare standard internazionali per poter alzare il livello di resilienza dei Titolari del trattamento alle violazioni dei dati. Per il DPO è sicuramente più complesso interfacciarsi con il Team IT Global e per fare questo è necessaria una conoscenza professionale dell’inglese e della terminologia informatica. Per questo motivo è importante formarsi e arricchire i team DPO con figure esperte in sicurezza informatica. Punto fondamentale per il Team DPO è altresì una verifica constante delle misure intraprese e dei fornitori di servizi, con una particolare attenzione ai requisiti tecnico professionali ed al luogo di trattamento dati, verificando con attenzione i contratti di servizi IT.
Quali sono gli scenari futuri in materia di sicurezza informatica e strumenti a tutela dei dati sensibili? Servono ulteriori interventi normativi?
Il legislatore europeo con l’articolo 32 del GDPR ha indirizzato alcuni adempimenti che Titolari e Responsabili dovrebbero concretamente disporre ed attuare, sul piano tecnico ed organizzativo, allo scopo di garantire un adeguato livello di sicurezza. A differenza del vecchio approccio, che delineava misure minime di sicurezza, l’approccio introdotto segue un principio “dinamico” dell’applicazione delle misure secondo lo stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Quindi il Titolare ed il Responsabile del trattamento, supportati dal DPO che deve monitorare la loro realizzazione, devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza idoneo al rischio. A tal proposito ci vengono in aiuto le certificazioni sulla sicurezza delle informazioni (es. ISO 27001) o le linee guida internazionali (es. ENISA); di concreto il DPO dovrà valutare le misure poste in essere in relazione al trattamento dati e in particolare quelle finalizzate a garantire la sicurezza organizzativa (es. i processi interni e le policy, le procedure di data breach), quelle che riguardano la sicurezza logica e tecnologica (es. in ambito software, sistemi di autenticazione, antivirus, firewall, backup, monitoraggi, scansioni delle vulnerabilità, aggiornamenti dei sistemi), quelle relativi alla sicurezza fisica (es. sicurezza dei locali, degli edifici, degli archivi).