Francesco Iori

whistleblowing

Whistleblowing, Vademecum del Segnalatore

Di / DPO, GDPR, Pubblica Amministrazione, Servizi

Introduzione al Whistleblowing

In un mondo aziendale sempre più complesso e globalizzato, la trasparenza e l’integrità sono più cruciali che mai. Uno dei modi per mantenere elevati standard etici è attraverso il whistleblowing, o segnalazione di irregolarità. Ma cosa si intende per whistleblowing? E come si collega alla compliance al GDPR e al ruolo del DPO (Data Protection Officer)? Questo vademecum intende fornire una guida pratica per chi si trova a dover segnalare comportamenti scorretti o illegali in azienda.

Cosa Si Intende per Whistleblowing?

Il Whistleblowing in Italia

Il whistleblowing è l’atto di segnalare violazioni di leggi, regolamenti o codici di condotta all’interno di un’organizzazione. Questo può includere, ma non è limitato a, la denuncia di frodi, corruzione, discriminazione e altre irregolarità. Le segnalazioni possono essere fatte in modo anonimo e sono spesso protette da leggi che impediscono ritorsioni nei confronti del segnalatore.

Il 15 marzo 2023, con la pubblicazione sulla Gazzetta Ufficiale, l’Italia ha ufficializzato l’adozione del Whistleblowing con Decreto Legislativo 24/2023. Questo decreto ha implementato la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, che riguarda la tutela di coloro che denunciano violazioni del diritto dell’Unione o delle leggi nazionali.

Quando e Cosa Segnalare

Esistono vari tipi di violazioni che possono e dovrebbero essere segnalate:

  1. Violazioni Legali: Se l’azienda non rispetta leggi e regolamenti, sia nazionali che europei, va segnalato. Ad esempio, mancate procedure di compliance al GDPR riguardanti la protezione dei dati personali.
  2. Irregolarità Contabili e Amministrative: Se noti che i bilanci sono manipolati o che ci sono frodi fiscali, dovresti denunciarle.
  3. Questioni Etiche: Oltre alle leggi, ogni azienda ha un codice etico che deve essere rispettato. Violazioni come discriminazioni, molestie o altre forme di comportamento non etico vanno segnalate.

Il ruolo del DPO

Il DPO (Data Protection Officer) gioca un ruolo chiave nel garantire la compliance al GDPR.

Per inquadrare i ruoli, consideriamo prima l’ente che crea il sistema di segnalazione come il “Titolare del trattamento” dei dati. Le persone coinvolte, sia che siano i segnalatori o quelli segnalati, sono i “soggetti interessati” le cui informazioni personali saranno gestite. Altri partecipanti, come fornitori terzi di piattaforme di segnalazione, sono definiti come “Responsabili” ai sensi dell’art. 28 del GDPR. Con questi ultimi, il Titolare dovrà stipulare accordi che specificano i limiti e le modalità di accesso e utilizzo dei dati.

Il DPO ha il compito di assicurare che l’ente adempia a tutti gli obblighi previsti dal GDPR. Questo include, ad esempio, l’obbligo di informare i soggetti interessati sui trattamenti dei loro dati, come delineato dall’articolo 13 del GDPR. Inoltre, il DPO deve verificare che tutti i “Responsabili” identificati offrano garanzie sufficienti per la sicurezza dei dati e la tutela dei diritti degli interessati.

Un punto cruciale è che qualsiasi canale di segnalazione, progettato per garantire l’anonimato del segnalatore, deve essere in linea con gli articoli 24, 25 e 32 del GDPR. In sostanza, la protezione dei dati deve essere integrata nel sistema fin dalla sua progettazione.

Come/Dove Fare la Segnalazione

Cosa NON Dovresti Segnalare

Per segnalare efficacemente violazioni, è fondamentale conoscere i canali disponibili. Le imprese private con almeno 50 dipendenti, quelle con Modelli di organizzazione ai sensi del D.Lgs. n. 231/2001, e vari soggetti del settore pubblico e privato sono obbligati ad avere canali di segnalazione interna. I segnalanti possono rivolgersi all’ANAC (Autorità Nazionale Anticorruzione) nelle seguenti circostanze:

  • Se il canale interno non esiste o non è conforme alla legge.
  • Se una segnalazione interna precedente è stata ignorata.
  • Se c’è il timore di ritorsioni o di inazione nell’affrontare la segnalazione.

In casi di urgenza o grave rischio per l’interesse pubblico, la divulgazione pubblica è anche una possibilità.

Non tutto ciò che potrebbe sembrare una violazione è appropriato per il whistleblowing. Ad esempio:

  1. Questioni Personali: Problemi personali con colleghi o superiori che non violano leggi o codici etici dell’azienda non sono di competenza del whistleblowing.

  2. Aspetti Coperti da Altre Norme: Alcune violazioni, come quelle inerenti alla sicurezza nazionale, potrebbero avere canali di segnalazione specifici e non essere adatte per un intervento di whistleblowing generico.

Queste questioni, sebbene possano essere legittime preoccupazioni, sono di solito meglio indirizzate tramite altri canali, come il dipartimento delle risorse umane.

Considerazioni Finali: Proteggi Te Stesso e Gli Altri

Il whistleblowing è uno strumento potente per mantenere l’integrità e la trasparenza in un’organizzazione. Tuttavia, è fondamentale che le segnalazioni siano fatte in modo responsabile e informato. Conoscere cosa si intende per whistleblowing, capire il ruolo del DPO e essere a conoscenza dei requisiti di compliance al GDPR ti aiuterà a fare segnalazioni efficaci che possono portare a cambiamenti reali.

Il whistleblowing è più di un diritto; è un dovere per chi cerca di fare la cosa giusta in un mondo che spesso sembra incentrato a fare esattamente il contrario.

Scopri Wallbreakers: la nostra soluzione per la gestione delle segnalazioni!

Il paradosso del DPO

Di / DPO, DPO esterno, GDPR

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Responsabile della protezione dati, ufficiale di controllo, sentinella, esperto di disaster recovery, grande occhio del garante della privacy, colui che tutto vede e tutto sa: ma chi è il DPO?

 

Tecnicamente abbiamo già visto che cos’è e cosa fa un DPO. Non sarà però sfuggito ai lettori più arguti che le competenze richieste e i compiti da svolgere fanno del DPO una figura quasi mitologica, come un Sisifo il cui lavoro non finisce mai.

 

In effetti, proviamo un attimo a soffermarci sulle competenze richieste per il nostro Data Protection Officer. La prima deve essere di natura giuridica: conoscere a menadito il GDPR e tutte le norme ad esso collegate, da quelle legate alla gestione delle risorse umane a quelle che regolano il commercio e la pubblicità. Capire se ci sono state delle mancanze, come affrontare la gestione dei data breach e in generale valutare e approvare tutto il corpus dei documenti che un’azienda deve avere: informative, nomine registri, DPIA…

 

Al contempo, però, un bravo DPO deve conoscere il core business dell’azienda, quali sono i dati che ogni giorno elabora, deve avere una buona competenza tecnologica per sapere se i file dell’azienda sono al sicuro e se le procedure, decise insieme al fornitore di servizi, siano sufficienti a proteggere da un eventuale disastro. Infine, non obbligatoria ma sicuramente utile, una mente strategica, quasi scacchistica, capace di prevedere futuri disastri e anticipare le mosse per evitarli e superarli.

 

Esiste un DPO capace di fare tutto ciò che un DPO dovrebbe fare? 

 

Ironie a parte, si intuisce, insomma, che le competenze richieste sono davvero tante. Il rischio, nella realtà, è quello di avere una figura magari capace giuridicamente, ma debole dal punto di vista tecnologico o viceversa. Non è facile trovare una persona che raccolga in sé tutte queste cognizioni.

 

Una soluzione a questo empasse può essere un team multidisciplinare che coinvolga più persone ognuna esperta nel proprio campo. Idea geniale, ma anche qui sorgono alcuni problemi. Il primo di natura economica. Quali risorse può dedicare la nostra azienda alla protezione dei dati? Compito, sì, obbligatorio, ma che comunque deve essere sostenibile.

Un team di persone interne all’azienda tutte incentrate a dar vita al DPO perfetto può funzionare ma è sicuramente un gran dispendio di risorse per l’azienda.

 

C’è anche un altro problema. Proprio per la sua natura, un gruppo del genere è composto da persone ognuna competente nel proprio campo, che a questo punto necessiterebbe di continue riunioni per condividere i vari aspetti coinvolti, investendo ulteriore tempo.

 

DPO esterno?

 

Sicuramente esternalizzare completamente il servizio di DPO è una soluzione che può sopperire a molte di queste difficoltà, sia dal punto delle competenze che della gestione organizzativa ed economica; tuttavia, per poter gestire in maniera efficace l’attività sarebbe comunque richiesta una profonda e costantemente aggiornata conoscenza della realtà aziendale o una figura interna di coordinamento che dovrebbe conoscere un po’ di tutto, tornando quindi al problema già visto.

 

La soluzione di Agile DPO: Non vendere un pesce, insegna a pescare 

 

Forse possiamo provare a cambiare il punto di osservazione. Non dobbiamo cercare un DPO esterno (o interno) capace di fare tutto, ma una persona che sappia valutare la complessità dell’azienda e iniettare in ogni livello le competenze necessarie per far crescere la qualità digitale e giuridica delle aziende.

 

In una parola: formazione.

Ricordate quando abbiamo parlato di Privacy by design, l’idea cioè che tutto il contesto della privacy sia integrato nell’azienda dalla sua fondazione e non un elemento posticcio attaccato a posteriori?

 

Qui il concetto è simile. Invece di prendere il dipendente che ha estratto la pagliuzza corta e fargli fare il DPO interno, rendendo lui infelice e l’azienda insicura, se tutti i singoli comparti dell’azienda fossero “formati” da esperti sul GDPR, in modo che ognuno, nel proprio settore, abbia ben chiaro che cosa significa lavorare per far rispettare il Regolamento avremmo dipendenti competenti, e nel contempo avremmo snellito mostruosamente il lavoro.

 

Per riprendere il detto evangelico: molto meglio insegnare a pescare che regalare un pesce e poi sparire. Una formazione efficiente, capillare e certosina, farà in modo che il comparto tecnico sappia scegliere il servizio con la miglior tutela dei dati e un disaster recovery plan efficiente, che i venditori conoscano il modo migliore di trattare i dati dei clienti. Ma anche che, ad esempio, qualsiasi dipendente sia consapevole se si trova di fronte ad un data breach (una mail di un utente spedita ad un altro utente: come mi comporto?), e che il responsabile conosca a menadito la procedura da intraprendere quando questo accade.

 

Come abbiamo già visto altre volte, in un momento in cui gli utenti sono estremamente attenti e gelosi dei propri dati, mostrare competenza e trasparenza è un ottimo biglietto da visita. Inoltre, rendere edotti i propri dipendenti su meccanismi sempre più presenti nel mondo del lavoro, eviterà grossi problemi e spese all’azienda.

 

Anche perché, da un punto di vista giuridico e di diritto del lavoro, una volta che l’azienda ha speso soldi per organizzare dei corsi e formare i dipendenti, gli errori, a quel punto, non sono più scusabili.

Maggiori informazioni
Scopri di più sull'autore di questo articolo!
Francesco Iori
Francesco Iori Socio fondatore di AgileDPO
dpo esterno

DPO obbligatorio o consigliato?

Di / DPO, DPO esterno, GDPR

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Il DPO ha la responsabilità di garantire contemporaneamente sia la libera circolazione dei dati, che la protezione dai rischi che questa circolazione comporta.
Facile no?

Si chiudeva così il nostro editoriale con un perfetto cliffhunger, un momento di grande suspance. Perché, sì, è vero: il DPO è una figura davvero articolata, a metà strada tra il Garante della Privacy e l’azienda, capace di monitorare e comprendere il corretto flusso dei dati, e nel contempo mettere in atto tutte le operazioni per garantire la protezione dei rischi che questa circolazione comporta.

Questo è il nostro punto di partenza: dati e gestione dei dati.

Da quando la società e la politica si sono interessate alla protezione dei dati, sono stati messi in atto regolamenti, norme e obblighi che le aziende hanno dovuto recepire e attuare. E non poteva essere diversamente, visto che con l’aumento della tecnologia e la contaminazione dei dati personali in praticamente ogni dispositivo e ogni operazione relativa all’utente, il nostro approccio ai dati è diventato pervasivo.

Ammettiamolo: quando siamo di fronte al leviatano legislativo che impone una misura – in questo caso l’assunzione di un DPO – la si recepisce sempre con sospetto e circospezione, quasi fosse un’ingerenza che sarebbe meglio evitare. Eppure, guardiamo la cosa da un altro punto di vista. Non in tutte le casistiche il DPO è obbligatorio, ma lo è sempre la corretta gestione dei dati.

Considerare il Data Protection Officer un obbligo di legge è limitante, così come pensare che sia semplicemente “consigliato” averlo in azienda. In realtà parliamo di un vero e proprio investimento. Lo stesso che l’azienda opera in altri settori delle risorse umane. Anche il responsabile dei dati de facto è un investimento e garantisce all’azienda di avere la gestione dei dati in regola, con un basso rischio riguardo la protezione e una libera circolazione dei dati.

Proviamo a partire dall’idea che il DPO non sia mai obbligatorio, ma che sia una figura facoltativa che l’azienda può implementare, allo stesso modo del direttore marketing o del direttore vendite, o di qualsiasi posizione che funga da raccordo e controllo.

Ricordate? Si diceva che la figura del DPO è complessa, svolge numerose funzioni di raccordo, di controllo e di consulenza. Se dovesse mancare, quanti professionisti dovrebbero investire, all’interno dell’azienda, tempo e risorse per svolgere queste mansioni?

Perché, sia ben chiaro, anche se il Data Protection Officer non è presente nella nostra azienda, i Dati che necessitano Protection ci sono in ogni caso! Serve insomma qualcuno che sia capace di fare contente tanto le aziende che devono far circolare i dati, quanto gli interessati i cui dati devono essere protetti.

Siamo sicuri quindi che questo “obbligo” del DPO nasca solo come normativa e non come necessità interna dell’azienda? Riprendendo l’esempio del direttore marketing o vendite, davvero l’azienda risparmierebbe denaro e risorse se non assumesse una persona per questo ruolo?

Non avere il DPO, oggi, e ancor più in futuro, potrebbe farci spendere molto di più di quanto ci costerebbe oggi affidarsi a un esperto.

È innegabile che ormai il GDPR faccia parte del core di un’azienda quanto le vendite e la gestione del materiale. Va gestito, aggiornato e deve essere funzionante e funzionale, oltre ad essere un marchio di garanzia per gli utenti e i clienti sempre più attenti alla gestione dei loro dati.

Oggi qualsiasi azienda che utilizza il mondo digitale dei dati – soprattutto quelle di un certo tenore – trova nel DPO un risparmio di risorse, di tempo e di conseguenze legate ai problemi connessi con la sicurezza dei dati. È davvero un risparmio non averlo?

Maggiori informazioni
Scopri di più sull'autore di questo articolo!
Francesco Iori
Francesco Iori Socio fondatore di AgileDPO
data breach

Data Breach? Niente panico. Ecco come comportarsi.

Di / DPO, DPO esterno, GDPR

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Fermi tutti! C’è stato un Data Breach. La prima regola è: niente panico!

 

Poi, cerchiamo di capire cos’è successo, e di mettere in pratica tutte le azioni necessarie.

Il Data Breach è la bestia nera nel mondo della protezione dei dati. È ciò che non dovrebbe mai accadere, ma avviene più spesso di quanto si pensi.

 

Secondo gli articoli 33 e 34 del GDPR il Data Breach è: “una violazione di sicurezza – accidentale o illecita – che causa la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali conservati o trattati”.

 

In qualche modo i dati che avevamo raccolto per necessità di lavoro e che avremmo dovuto proteggere sono stati divulgati in modo scorretto o persi. Può essere una mail con dati sensibili inviata all’indirizzo sbagliato, o un hacker che è entrato nei nostri server e ha copiato credenziali e indirizzi dei nostri clienti.

 

In entrambi i casi è un Data Breach, ma ovviamente cambia la gravità e di conseguenza cambiano le azioni da mettere in campo.

 

La Gestione del Data Breach: 72 ore per mettersi al riparo

 

La prima cosa da fare è valutare l’entità della violazione. Entro 72 ore dalla scoperta del breach, questa deve essere notificata al garante e all’interessato, ma solo se si presentano rischi effettivi per i diritti e le libertà delle persone fisiche coinvolte nella violazione.

 

È quindi necessario per il Titolare di trattamento valutare attentamente la portata di quanto accaduto coinvolgendo il DPO fin dai primissimi istanti. Questo è il momento più delicato, perché ci si muove sul filo della lama. Da un lato, una mancata comunicazione potrebbe peggiorare la situazione e attirare sull’azienda le ire del garante con le relative multe; dall’altro una comunicazione non necessaria potrebbe comportare un danno d’immagine e di reputazione.

Quest’ultima parte è un timore concreto di molti Ceo e amministratori, ma è vera fino a un certo punto. L’atteggiamento di trasparenza e di onestà è oggi molto apprezzato dagli utenti, e potrebbe far aumentare la fiducia nell’azienda.

 

Se alla fine dell’indagine sulla natura e la portata della violazione si ritiene necessaria la notifica, questa va fatta al garante, descrivendo la natura dell’infrazione, i contatti coinvolti, le probabili conseguenze e quali saranno le misure adottate per arginare il danno.

Non ultimo: è necessario compilare il registro dei casi dei data breach e adottare un protocollo di risposta.

 

Violazione dei dati: prevenire è meglio che curare

 

Rubiamo questa frase ai dentisti, perché la prevenzione non solo evita carie e tartaro, ma minimizza i rischi del breach.

La cosa più importante è aver lavorato bene in fase di progettazione della sicurezza dell’azienda. Se si è operato secondo i principi della Privacy by design molto probabilmente la struttura sarà già pronta a reagire in modo veloce e lineare per attutire i rischi. Come abbiamo già visto parlando di accountability, anche tenere un atteggiamento proattivo, che guarda avanti e indaga in anticipo le mosse del destino (come in una partita a scacchi), aiuta ad evitare la catastrofe.

 

La compilazione del registro dei casi di data breach, oltre ad essere un obbligo di legge, permette di avere un utile storico per valutare quali sono le possibili falle e vulnerabilità del sistema e capire quali test periodici effettuare per verificare la validità del protocollo.

 

Pochi Hacker all’orizzonte

 

Quando si pensa al data breach la mente subito corre all’immagine dell’hacker che buca sistemi informatici digitando dati a velocità incredibile sulla tastiera per rubare password e conti correnti di poveri utenti.

 

Certo, questo accade, ma la maggior parte dei data breach che riguardano aziende di medie e grandi dimensioni sono causati da errori umani, principalmente dei dipendenti. Che sia la mancata collocazione dei dati in un luogo effettivamente sicuro, o la trasmissione di dati personali alla persona sbagliata, sono tante le prassi aziendali errate che causano violazioni, magari di piccola entità, ma che spesso non vengono neanche riconosciute come tali.

 

Il registro è vuoto: ma siamo davvero così bravi?

 

Siamo onesti: è impossibile che un’azienda non abbia mai avuto un data breach! Che siate un piccolo laboratorio artigianale o una grande società di telecomunicazioni o di sanità, qualcosa è sicuramente successo.

 

Bisognerebbe capire se chi ha commesso o è entrato in contatto con la violazione si è accorto di averla fatta o vista. Magari dopo aver inviato la mail al destinatario sbagliato si è affrettato a riscrivere alla persona chiedendo di cestinare la mail, e dopo aver ricevuto risposta positiva ha considerato chiuso il fatto: nessun bisogno di registrazione.

O ancora una telefonata che non andava fatta, oppure, per velocizzare una pratica, la richiesta ad un cliente dell’invio di alcuni dati sul proprio cellulare personale.

 

Sono tante le situazioni, sicuramente a basso rischio, che sono configurabili come data breach. In ogni caso, anche se non c’è notifica per il garante, il registro va compilato.

È importante avere un documento sempre aggiornato: il registro dei casi non dev’essere visto come “il quaderno della vergogna”, ma come uno storico degli eventi su cui valutare come migliorare.

 

Nel GDPR, come nella legge italiana, l’ignoranza non è una scusante. I dipendenti devono essere istruiti, attraverso dei corsi, per saper riconoscere un data breach. Se questo non avviene, le responsabilità possono essere dei titolari (se non hanno fatto fare i corsi ai dipendenti), o dei dipendenti (se hanno fatto i corsi ma non hanno seguito).

Data breach
Maggiori informazioni
Scopri di più sull'autore di questo articolo!
dpo esterno
Francesco Iori Socio fondatore di AgileDPO
dpo esterno

Dal sapere al saper fare

Di / DPO, DPO esterno, GDPR

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Apparentemente ormai tutti sanno cosa sia il GDPR, si discute di privacy by design, best practice e cybersecurity e dell’importanza di integrare il concetto di privacy nelle fondamenta stesse dell’azienda.

Di norma, dopo aver discusso è normale che maturi la consapevolezza che ci sono parecchie cose da fare, ma chi si occuperà di controllare che tutto fluisca nel modo giusto, coordinare i Consulenti Privacy, gli IT manager e tutte le altre funzioni aziendali?

Il Data Protection Officer

Anche dando per acquisito il fatto che il DPO sia una figura ormai nota ai più – perché su di essa sono state scritte molte parole, anche da parte del Garante Italiano per la Protezione dei Dati personali – vorrei cominciare col scrivere che il DPO può essere considerato una funzione aziendale, prima ancora che un ruolo attribuito ad una persona fisica o giuridica. È, nei fatti, un compito da svolgere, richiesto dalle Autorità Garanti, per fare da supervisore su tutti gli aspetti e figure (aziendali o di enti pubblici) coinvolte nella gestione dei dati personali.

Per poter efficacemente mettere in pratica ciò che la società digitale, prima ancora che la legge, ci impone in termini di sicurezza ed efficienza, è necessario che l’ufficio del DPO ed il suo staff, interno o esterno, siano in grado di esprimere e coordinare tutte le competenze specifiche riguardanti i vari aspetti della protezione dei dati. Ha espresso questo Tom Nichols, nel saggio “The death of expertise” (Oxford Press 2017) che qui traduco per semplicità:

Nessuno è un esperto su tutto. Per quanto grandi siano le nostre aspirazioni, siamo ostacolati dal tempo e dai limiti dei nostri talenti. Abbiamo successo perché ci specializziamo e contemporaneamente sviluppiamo sistemi formali e informali che ci consentono di fidarci delle reciproche competenze.

Ecco perché in questa attività sono fondamentali tre passaggi.

Il primo riguarda la necessità di coinvolgere tutta l’azienda o l’ente pubblico in questione, attraverso la capacità di comunicare, formare e coinvolgere attivamente il personale, dai vertici fino all’ultimo degli operatori. Il secondo passaggio riguarda la necessità da parte del DPO di avere una conoscenza approfondita dell’ente o azienda di cui si è fatto carico, in particolare della cultura aziendale, del suo funzionamento e delle sue procedure. Questa conoscenza deve essere reciproca poiché il DPO deve essere percepito come una risorsa disponibile e al servizio di tutte le figure chiave dell’organizzazione.

Infine, il DPO, con il suo staff, deve essere in grado di fare una cosa difficilissima: adattarsi ed adattare le sue indicazioni alla realtà operativa, né un “signor No” né uno “Yes men”. La ragione della necessità di questo equilibrio ed attenzione ce la spiegano le primissime righe del Regolamento, che qui riporto:

Art.1 Par. 1.
Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.

Il DPO ha dunque la responsabilità di garantire contemporaneamente sia la libera circolazione dei dati, che la protezione dai rischi che questa circolazione comporta.

Facile no?

 

Articolo originariamente pubblicato sulla rivista “GDPR POST – Il punto di riferimento per il GDPR, Speciale Coronavirus 2020. Editore: PrivacyLab Srl
dpo esterno
Maggiori informazioni
Scopri di più sull'autore di questo articolo!
dpo esterno
Francesco Iori Socio fondatore di AgileDPO
servizi dpo

Il Servizio DPO: Una Chiave Cruciale nell’Intricato Mondo dei Dati

Di / DPO, DPO esterno, GDPR

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Navigare nell’universo del GDPR può sembrare una passeggiata su un filo sospeso, ma la figura del Data Protection Officer (DPO) funge da bussola affidabile. In un’epoca in cui la mole di dati gestita dalle aziende aumenta a ritmo esponenziale, scegliere un servizio DPO di qualità è divenuto una scelta strategica e non un semplice adempimento normativo.

Cosa fa, esattamente, un DPO? Un DPO è un vero e proprio pilota nel mare tempestoso della privacy, che assicura la conformità alla normativa sul trattamento dei dati personali, prevenendo sanzioni che possono raggiungere cifre stellari. È un consulente, un formatore, un mediatore e molto altro.

Ma ogni DPO non è uguale all’altro. Scegliere un servizio DPO richiede attenzione e criterio, poiché non si tratta solo di un ruolo funzionale, ma di una figura che può davvero fare la differenza nell’efficienza operativa e nella reputazione della vostra organizzazione.

Un buon servizio DPO non è solo reattivo, ma proattivo. Non aspetta che i problemi si presentino, ma li previene. Non si limita a risolvere i problemi di conformità, ma agisce come un vero e proprio innovatore, cercando modi per sfruttare i dati in modo sicuro e responsabile, promuovendo l’innovazione e la crescita.

Un servizio DPO di qualità ha una visione globale, capace di navigare nel mutevole panorama delle leggi sulla privacy, mantenendo un occhio vigile sulle nuove tecnologie emergenti. Aiuta l’azienda a adottare queste tecnologie, garantendo al contempo che le pratiche di gestione dei dati siano adeguate e aggiornate.

In conclusione, il servizio DPO è una componente chiave della vostra strategia aziendale. La sua scelta deve essere ponderata e mirata, perché un buon DPO non è solo un custode, ma un alleato di valore. Ricordate: in un mondo sempre più connesso, un efficace servizio DPO può fare la differenza tra navigare con sicurezza o naufragare nell’oceano digitale.

Maggiori informazioni
Scopri di più sull'autore di questo articolo!
Francesco Iori
Francesco Iori Socio fondatore di AgileDPO
dpo esterno

Il ruolo del DPO nelle scuole

Di / DPO, DPO esterno, GDPR

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

La tendenza degli ultimi anni verso la didattica a distanza ha reso necessario accrescere una maggiore attenzione sul tema della tutela della privacy e dei dati personali. Nonostante, però, l’attenzione verso questo tema sia recente, la questione non è nuova dal punto di vista normativo.

Il DPO è, infatti, obbligatorio per gli istituti scolastici già da maggio 2018, grazie all’entrata in vigore del Regolamento generale sulla protezione dei dati n.2016/679 (di seguito GDPR). La normativa prevede, infatti, che il DPO sia obbligatorio per ogni ente pubblico o privato che tratti dati personali di cittadini europei.

Nuove necessità: il DPO nella scuola

Se partiamo dal presupposto che l’intento del GDPR è quello di tutelare il diritto delle persone ad avere il controllo totale delle informazioni che le riguardano in un mondo sempre più esposto  allo sviluppo della tecnologia, gli istituti scolastici non possono certamente essere esclusi dal campo applicativo della normativa in esame.

Seppur obbligatoria ormai da qualche anno, la figura del DPO in ambito scolastico non è mai stata così indispensabile. Sia esso soggetto parte dell’organico aziendale o una persona fisica o giuridica esterna, la sua presenza è ormai inderogabile. Negli ultimi anni, infatti, la mole di dati trattati è aumentata esponenzialmente e l’utilizzo di tools di terze parti come Zoom e Google Meet, che permettono l’erogazione della didattica a distanza, ha reso la governance sul trattamento dei dati un’attività ben più complessa.

Il garante è intervenuto in materia il 26 marzo 2020 con un provvedimento recante le prime indicazioni sulla didattica a distanza, sottolineando la necessità di conformare l’attività delle scuole ai principi del GDPR, offrendo agli interessati valide garanzie sul piano della protezione dei dati personali. Per quanto la responsabilità ultima in materia di privacy spetti alla singola istituzione, il DPO entra in gioco per la risoluzione di tutte le problematiche del caso, potendo agire su più fronti. Partendo dall’offerta di consulenza per la valutazione d’impatto (DPIA) e dall’adozione di misure di sicurezza, il responsabile per la protezione dei dati personali può essere un grande aiuto per la scelta delle tecnologie più appropriate per lo svolgimento delle attività scolastiche in conformità alle disposizioni normative. Può fornire, inoltre, supporto nella ricerca e nella redazione del contratto con i fornitori degli strumenti operativi per lo svolgimento della DAD e svolgere campagne di sensibilizzazione sulla tutela della privacy per il personale.

A chi è meglio affidarsi, DPO esterno o DPO interno?

Difficile stabilire se la scelta migliore per un istituto scolastico sia la nomina di un DPO esterno o interno. Le ipotetiche soluzioni applicative restano due. La prima prevede la nomina di un DPO esterno e l’individuazione di uno o più soggetti interni che siano formati adeguatamente per la gestione dei vari compiti in materia di privacy. La seconda prevede la nomina di un DPO interno che operi con l’appoggio di un consulente esterno. Resta a vedere quali siano le concrete necessità di un istituto scolastico per potersi approcciare alla soluzione più adeguata. Certo è che il DPO resta una figura chiamata a svolgere attività che non possono essere incompatibili con ulteriori attività svolte all’interno dell’istituzione, incompatibilità esclusa alla radice nel caso in cui il ruolo sia affidato a un soggetto esterno. Senza dimenticare che tale scelta costituirebbe un risparmio di tempo e denaro che sarebbero destinati alla formazione del personale dipendente a cui verrebbe affidato tale compito, che dovrebbe cimentarsi con le tematiche della privacy e della protezione dei dati personali, non esattamente il pane quotidiano della maggior parte delle realtà scolastiche. Per approfondire la questione si veda l’articolo il paradosso del DPO.

dpo esterno
Maggiori informazioni
Scopri di più sull'autore di questo articolo!
Francesco Iori
Francesco Iori Socio fondatore di AgileDPO
servizio dpo

DPO: chi è costui?

Di / DPO, DPO esterno, DPO interno, Garante Privacy, GDPR, Privacy by Design

L'autore

FRANCESCO IORI

FRANCESCO IORI

Sales Executive.
Privacy Consultant- PrivacyLab Certified,
DPO UNICERT/DAKKS and UNI 11697:2017,
Certified Innovation Manager,
Lead Auditor ISO/IEC 27001:2017

Laureato e Dottorato in Chimica con attività di ricerca e pubblicazioni nell'ambito della Chimica Computazionale, dove sviluppa il suo interesse per l'informatica e i grandi numeri ( quelli che oggi chiamano tutti Big Data).
Un volta uscito dal mondo accademico si è formato prima sulle vendite, poi sul marketing ed infine sulla gestione delle relazioni e delle reti tra imprese ed imprenditori.
Dal 2018 Socio di Alchimie digitali, e socio fondatore di Agile DPO Fa parte della "prima classe" dei consulenti certificati e tra i primi in Italia ad avere la doppia certificazione come DPO sia DPO UNICERT/DAKKS che UNI 11697:2017.
Di recente ha completato la certificazione di Lead Auditor ISO 27001 ed è nell'elenco dei Manager dell'Innovazione del Ministero dello Sviluppo Economico.

Ormai sapete tutti cosa sia il GDPR (se non lo sapete leggete QUI, e cospargetevi anche il capo di cenere! È il 2020, non avete più scuse), e abbiamo già parlato della Privacy by Design e dell’importanza di integrare il concetto di privacy nelle fondamenta stesse dell’azienda.

Ci sono parecchie cose da fare, ma chi si occuperà di controllare che tutto fluisca nel modo giusto?

È ora di introdurre un nuovo acronimo: il DPO.

Il Data Protection Officer


Tradotto suonerebbe circa come l’ufficiale protezione dati. Non so voi, ma di primo acchito io me lo immagino minaccioso come un sergente dei marines, che marcia avanti indietro urlando direttive con mani alla cintura, sguardo truce, e poco incline a fare battutine.

Ma le cose non stanno così: prima di farci prendere dal panico, cerchiamo di capire chi è, cosa fa, e soprattutto quando è necessario averlo in azienda.

DPO, chi era costui? 

Cominciamo col dire che il DPO è un supervisore. È l’anello di congiunzione tra il Garante della privacy e la vostra azienda. È a lui che ci si rivolge, e nel contempo è lui che controlla. In pratica svolge le funzioni di sorveglianza della normativa GDPR, offre consulenza al titolare del trattamento, e, quando richiesto, dà il suo parere. L’assunzione di questa figura è obbligatoria per la pubblica amministrazione. Diverso il discorso per il privato.

Le  società che devono coinvolgere un DPO sono quelle che hanno nel loro core business il monitoraggio di dati particolari, come quelli giudiziari, biometrici o della salute, oppure il monitoraggio delle persone. È inoltre suggerito per i concessionari di pubblico servizio, le cosiddette utilities come le società di gestione e fornitori di acqua, gas, ed energia.

Altri esempi di aziende private tenute (o per cui è fortemente consigliato) a designare un DPO sono: società finanziarie, di credito, assicurative, caf e patronati, partiti politici, ospedali privati, laboratori privati, terme, società operanti nelle utilities, call center, etc. 

C’è poi un altro aspetto da sottolineare. Oggi che il tema della tutela della privacy e della protezione dei dati personali è diventato di pubblico dominio e gli utenti sono sempre più consapevoli dei loro diritti e delle trappole in cui rischiano di cadere, avere in azienda un DPO è un ulteriore elemento di fiducia e trasparenza per i consumatori che si rivolgono all’azienda.

DPO esterno o interno?

Detta così, sembra quasi che parliamo di qualche dispositivo medico, ma la questione, riguardo al DPO, non è così banale.

Consideriamo prima di tutto che il nostro supervisore, ora più gentile e collaborativo, necessita di personale, locali, attrezzature e, possibilmente, di una linea di budget: tutti strumenti che gli consentono di svolgere i compiti per i quali è stato chiamato in azienda. 

Scartabellando tra i codici del GDPR, l’art 37, par. 6 ci informa che il DPO può essere “un dipendente, oppure assolvere i suoi compiti in base ad un contratto di servizi”, può cioè, essere una persona esterna all’azienda. Elemento che contribuisce anche a fugare qualsiasi conflitto di interessi.

A seguito di una sentenza per un concorso di assunzione per DPO di una Asl piemontese, è stato specificato che anche una persona giuridica, cioè una società, può essere nominata come DPO esterno. Un’azienda permette, tra l’altro, di mettere in rete figure attinenti a diverse discipline – legali, periti, ingegneri, consulenti – per una gestione sicura dei dati personali.

Affidandoti ad AgileDPO, potrai avere a tua disposizione l’esperienza di un team multidisciplinare formata da DPO esperti e certificati. 

Se hai domande a proposito della nomina di un DPO, o più in generale, sul mondo della Protezione dei Dati, puoi contattarci tramite e-mail, Facebook o Linkedin oppure semplicemente chiamandoci!
In alternativa se preferisci, puoi anche compilare il nostro Form di contatto QUI!

Siamo a tua disposizione, per ogni quesito!

Scopri di più sull'autore di questo articolo!
dpo esterno
Francesco Iori Socio fondatore di Agile DPO
Contatti

Privacy vs protezione dei dati

Di / DPO, DPO esterno, GDPR

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Siete pronti? Il garante della privacy non è il garante della privacy, ma è il garante per la protezione dei dati personali. Non è uno scioglilingua: le cose stanno proprio così, perché privacy e protezione dei dati, anche se spesso usati come sinonimi, in realtà sono concetti diversi, e forse è arrivato il momento di fare chiarezza.

 

Facciamo un minimo di cronistoria. Il concetto di privacy è vecchio come l’uomo e fa parte della sua storia nell’arte, nella società e nei rapporti tra le persone. L’idea che quello che faccio tra le mura di casa mia rimane un fatto mio personale risale probabilmente allo strutturarsi della vita sociale.

 

Ma la privacy ha anche un altro aspetto, di natura più giuridica, che nasce negli Stati Uniti nel 1890, con l’articolo pubblicato sulla Harvard Law Review “Right to privacy”, scritto da due avvocati di Boston: Samuel D. Warren e Louis D. Brandeis. Il principale concetto che ne emerge è quello di privacy come difesa del proprio cortile privato dalle invasioni dei giornalisti e della stampa scandalista che in quegli anni muoveva i primi passi.

È quindi una privacy strettamente correlata all’aspetto della protezione domestica, della persona e della sua intimità.

 

L’idea di protezione dei dati, invece, ha un’origine più europea, e nasce nel ‘900 durante le esperienza del totalitarismo, come protezione dei miei dati dal controllo dello stato che può poi usufruirne per attività discriminatorie o di profilazione legate poi agli episodi drammatici che hanno segnato il secolo scorso (sterminio minoranze, guerra fredda, schedature dei dipendenti, etc.).

 

Cambia quindi l’approccio: al centro non c’è più soltanto la vita intima delle persone (come nella privacy nord americana), ma è una protezione del dato del soggetto in società. Se quando parlo di privacy intendo quindi il mio personale concetto di ciò che ritengo inviolabile della mia vita privata e quello che invece decido di divulgare liberamente; la protezione dei dati, invece, è la normativa che la Comunità europea ha partorito attraverso numerosi passaggi per proteggere il cittadino nel momento in cui la società ha raggiunto un alto livello di controllo.

 

Protezione dei dati: il cittadino al centro del regolamento

 

L’avvento della società digitale ha alzato ulteriori minacce alla privacy che la normativa per la protezione dei dati cerca di contenere. Sempre di più privacy e GDPR sono accomunate, spesso si intersecano, ma ancora: non sono la stessa cosa. La privacy tra cittadini è già tutelata dal diritto civile, mentre la protezione dei dati interviene quando la persona, o meglio la sua rappresentazione elettronica/digitale, entra in contatto con le grandi aziende.

 

La confusione rimane, soprattutto quando sono io cittadino disposto a cedere i miei dati in cambio di servizi che necessitano di quei dati per funzionare correttamente. Se ci rivolgiamo ai social network il discorso si complica ancora di più, perché in questo caso l’esibizione e la divulgazione del dato sensibile e delle informazioni personali della propria vita privata diventa la regola.

 

Rimaniamo però nell’ambito del GDPR. L’elemento cardine di questo regolamento è che è stato costruito attorno ai diritti della persona. È difficile trovare nel regolamento delle disposizioni che siano favorevoli o agevoli all’impresa.

 

Questo significa che i dati raccolti dalle aziende (siano esse pubbliche o private), devono essere protetti, tutelati, e tenuto riservati, attraverso i principi di liceità e trasparenza. L’azienda, inoltre, è tenuta ad utilizzarli solo per la necessità che ne ha richiesto la raccolta, e non per altre.

 

Il GDPR interviene proprio in questo punto del rapporto, controllando il trattamento dei dati da parte degli enti che li raccolgono, cioè che non ne facciano un uso improprio e pretendendo anche la protezione nei confronti di tentativi di data breach. Inoltre i gestori dei dati devono rimanere a disposizione dell’utente qualora volesse richiederne la modifica o la cancellazione.

 

Che il dato sia raccolto attraverso il mio consenso, come ad esempio la necessità di rivelare certi particolari sensibili ad un’azienda sanitaria per un intervento, o che siano stati presi involontariamente, come può capitare a Google Street view nella realizzazione delle mappe fotografiche della città, la persona proprietaria di quel dato ha sempre diritto di intervenire. Il GDPR obbliga l’azienda a rispondere alla richiesta, ed eventualmente la sanziona se questo non avviene.

 

È quindi un regolamento fondamentale in un periodo in cui la circolazione dei dati è continua (app, social network, aziende gestione utilities, etc.) e in cui i dati acquistano sempre più valore sociale ed economico.

Proprio per questo è importante continuare a fare una corretta distinzione tra privacy e data Protection.  Perché il GDPR è il risultato di una specifica tradizione europea di protezione del cittadino non tanto – o non solo – della sua sfera privata (per le querelle tra cittadini ci pensa il diritto privato), ma in quadro sociale di tutela dei dati sensibili contro l’occhio indiscreto del grande fratello.

dpo esterno
Maggiori informazioni
Scopri di più sull'autore di questo articolo!
dpo esterno
Francesco Iori Socio fondatore di AgileDPO
servizi dpo

Adeguamento al GDPR: come funziona

Di / DPO, GDPR, Privacy, RDP

L'autore

FRANCESCO IORI

FRANCESCO IORI

Sales Executive.
Privacy Consultant- PrivacyLab Certified,
DPO UNICERT/DAKKS and UNI 11697:2017,
Certified Innovation Manager,
Lead Auditor ISO/IEC 27001:2017

Laureato e Dottorato in Chimica con attività di ricerca e pubblicazioni nell'ambito della Chimica Computazionale, dove sviluppa il suo interesse per l'informatica e i grandi numeri ( quelli che oggi chiamano tutti Big Data).
Un volta uscito dal mondo accademico si è formato prima sulle vendite, poi sul marketing ed infine sulla gestione delle relazioni e delle reti tra imprese ed imprenditori.
Dal 2018 Socio di Alchimie digitali, e socio fondatore di Agile DPO Fa parte della "prima classe" dei consulenti certificati e tra i primi in Italia ad avere la doppia certificazione come DPO sia DPO UNICERT/DAKKS che UNI 11697:2017.
Di recente ha completato la certificazione di Lead Auditor ISO 27001 ed è nell'elenco dei Manager dell'Innovazione del Ministero dello Sviluppo Economico.

Il GDPR è come la Bibbia: tutti fingono di conoscerlo, ma nessuno l’ha mai letto tutto. 

Si impara giusto qualche citazione da spendere nei salotti buoni, come la necessità dell’adeguamento al GDPR, o che stiamo parlando di “privacy”, ma poco altro.
Poi, però, all’avvicinarsi dei temibili controlli, arriva il terrore: basteranno la privacy policy e il banner che appare sul sito? Cos’altro devo fare? Cosa vuol dire tutelare la privacy dell’utente e come posso concretamente  farlo? La tanto sbandierata multa dal 2 al 4% del fatturato incute qualche timore.

Facciamo un passo alla volta. 

Cominciamo sciogliendo la sigla: GDPR sta per General Data Protection Regulation, il regolamento europeo sulla protezione dei dati, pubblicato nel maggio 2016 ed entrato in vigore dal 25 maggio 2018.
Delle 4 lettere che compongono l’acronimo, se riuscite a ricordarne solo una, scegliete la “P”: protezione. Questo è infatti il nocciolo della questione. Le imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione Europea devono garantire una serie di diritti all’utente che entra in contatto e condivide i propri dati con loro, tra cui: il diritto all’oblio, la portabilità dei dati e l’obbligo di notifica in caso di violazione dei dati.

Le norme si applicano dunque a tutte le imprese che hanno come mercato di riferimento la Ue. Detto in altre parole: spostare la vostra azienda in Cina non vi salverà se offrite i vostri servizi a uno dei paesi membri.

Un altro mito da sfatare subito è la possibilità di eludere l’argomento: non si può.
Nella società dell’informazione la mera esistenza dei dati personali “là fuori” è un dato di fatto imprescindibile quanto la legge di gravità o il pi greco.

Dal sapere al saper fare: adeguamento al GDPR

Avere un’idea più precisa della regolamentazione, però, non significa sapere come portare avanti il processo di adeguamento al GDPR.
Nonostante i due anni dalla pubblicazione in gazzetta ufficiale e  ulteriori 6 mesi lasciati come periodo di tolleranza dall’entrata in vigore del nuovo regolamento europeo, alcune delle grandi e piccole aziende non hanno ancora adeguato la propria piattaforma alle nuove direttive.

Il passo successivo, per tutti, sarà essere informati sulla necessità di mappare i processi, ma per fare questo servono team multidisciplinari: la regolamentazione va studiata in modo approfondito, perché un uso non etico dei dati personali, anche se ottenuto su consensi più o meno legittimi – attraverso form e mail più o meno trasparenti – sarà sempre considerato illegale.

Non è sufficiente cercare di sistemare tutto “alla buona” per ottenere un consenso attraverso due step, se a questo non segue il giusto trattamento dei dati, un’informativa chiara e la possibilità, per l’utente, di intervenire sui propri dati in ogni momento. Il consenso non può essere preso “alla leggera”. L’utente deve essere consapevole di aver ceduto i dati e deve essere a conoscenza delle misure prese dall’azienda per tutelarli.

Il cuore del GDPR risiede nel concetto che i dati personali, per il ruolo fondamentale che giocano nell’economia e per il loro valore intrinseco, devono essere tutelati attraverso l’aderenza alle regole del GDPR stesso. Proprio per questo viene identificata una nuova figura: il DPO, data protection officer nella dicitura originale, o RPD, responsabile per la protezione dei dati nella versione italiana, incaricato di fare da punto di contatto tra tutte le parti in causa.

Migliora la tua gestione dei dati: mettiti al sicuro con la collaborazione di AgileDPO.
Contattaci tramite e-mail, telefono oppure tramite Facebook, Linkedin o compilando il nostro Form di contatto QUI!
Puoi chiedere una semplice consulenza, puoi farci tutte le domande del caso e se vuoi, puoi affidati al team di AgileDPO.

Scopri di più sull'autore di questo articolo!
dpo esterno
Francesco Iori Socio fondatore di Agile DPO
Contatti