DPO

Il DPO è l’acronimo di Data Protection Officer ed è il Responsabile della Protezione dei Dati. E’ una figura introdotta dal GDPR 2016/679. Può trattarsi di un collaboratore interno all’azienda o di un DPO esterno. I professionisti che svolgono l’attività di DPO devono conoscere in modo approfondito la normativa e le prassi in materia di privacy, le norme e le procedure amministrative del settore in cui opera l’azienda che li ha nominati responsabili.

whistleblowing

Wallbreakers: Risposta alle Criticità del Whistleblowing Segnalate dall’ANAC

Se vuoi saperne di più sul Whistleblowing leggi qui

Se vuoi saperne di più su Wallbreakers leggi qui

Introduzione al Whistleblowing

L’introduzione di nuove normative sul whistleblowing in Italia ha rappresentato un passo importante verso la promozione di un ambiente lavorativo più trasparente ed etico. Tuttavia, l’applicazione di queste norme ha portato alla luce una serie di sfide complesse per le organizzazioni, sia nel settore pubblico che privato. Un recente report dell’ANAC evidenzia in particolare come i tradizionali metodi di segnalazione, tra cui la posta elettronica ordinaria o la PEC, siano ancora molto utilizzati, nonostante siano già stati considerati non solo insufficienti ma anche non adeguati a garantire la riservatezza e la protezione dei dati personali coinvolti nelle segnalazioni. La questione centrale non riguarda solo la scelta del canale di segnalazione ma si estende alla necessità di un approccio olistico che comprenda un insieme di documenti e procedure aggiuntive per assicurare la piena conformità con la normativa vigente.

Stabilire il canale non basta

il decreto stabilisce l’obbligo di condurre una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) e di aggiornare regolarmente il registro dei trattamenti, ulteriori passaggi necessari per garantire la trasparenza e la sicurezza nella gestione delle segnalazioni di whistleblowing. Questi requisiti riflettono la complessità della normativa in materia di protezione dei dati personali e sottolineano l’importanza di un’implementazione accurata e consapevole delle procedure di whistleblowing.
Di fronte a questa complessa rete di obbligazioni normative, emerge chiaramente che l’adozione di semplici canali di segnalazione non è sufficiente per garantire la conformità normativa e la protezione efficace dei dati personali. Le organizzazioni necessitano di una soluzione integrata che non solo faciliti la raccolta e la gestione delle segnalazioni ma che garantisca anche il rispetto di tutti gli aspetti legali e normativi coinvolti.

La soluzione Wallbreakers

In questo scenario, Wallbreakers si propone come soluzione ideale, offrendo un sistema completo e conforme alle normative vigenti per la gestione del whistleblowing. La piattaforma non solo mette a disposizione un canale sicuro e dedicato per le segnalazioni ma include anche tutte le funzionalità necessarie per rispettare i requisiti normativi, dall’informativa sul trattamento dei dati personali alla DPIA, fino alla gestione e all’aggiornamento del registro dei trattamenti. Wallbreakers rappresenta, quindi, non solo una risposta alla necessità di un canale di segnalazione efficiente e sicuro ma anche un mezzo per navigare con successo tra le complessità della normativa sul whistleblowing, garantendo la piena conformità e la massima protezione dei dati personali coinvolti.

Wallbreakers: Una Soluzione "CHIAVI IN MANO" per il Whistleblowing

  1. Informativa GDPR Integrata:
  • Cosa Offre: Pubblicazione automatica di documenti informativi riguardanti il trattamento dei dati personali, accessibili tramite sito web o piattaforma.
  • Vantaggio: Assicura che tutte le informazioni necessarie siano facilmente reperibili per segnalanti, segnalati e tutte le parti coinvolte, in conformità con il GDPR.
  1. DPIA e Nomine:
  • Cosa Offre: Implementazione di un processo per la Valutazione d’Impatto sulla Protezione dei Dati (DPIA) e la nomina per gli addetti alla gestione delle segnalazioni e ai responsabili del trattamento dei dati, come richiesto dalla normativa.
  • Vantaggio: Garantisce che l’organizzazione rispetti gli obblighi normativi relativi alla protezione dei dati, minimizzando il rischio di sanzioni.
  1. Registro dei Trattamenti Aggiornato:
  • Cosa Offre: Mantenimento e aggiornamento automatizzato del registro dei trattamenti, per una gestione trasparente e tracciabile dei dati personali.
  • Vantaggio: Fornisce un controllo dettagliato e continuo sul trattamento dei dati, facilitando la dimostrazione della conformità agli enti regolatori.
  1. Assicurazione Inclusa con i Lloyd’s:
  • Cosa Offre: Copertura assicurativa garantita da Privacylab, fornita attraverso i Lloyd’s, sulla  documentazione correlata.
  • Vantaggio: Offre un ulteriore strato di sicurezza finanziaria e di fiducia, proteggendo l’organizzazione da eventuali implicazioni legali derivanti dalla gestione delle segnalazioni.

Soluzione “Chiavi in Mano”:

  • Cosa Offre: Un servizio completo che gestisce l’intero processo di whistleblowing, dalla raccolta delle segnalazioni alla loro gestione, senza la necessità di consulenze esterne o costi aggiuntivi.

  • Vantaggio: Riduce il carico amministrativo e i costi operativi per le organizzazioni, offrendo una soluzione efficiente e conforme per la gestione delle segnalazioni di whistleblowing.

Wallbreakers rappresenta una risposta diretta ed efficace alle esigenze di conformità normativa e di protezione dei dati personali emerse dal report dell’ANAC e dalla normativa vigente sul whistleblowing. Offrendo una piattaforma integrata che soddisfa tutti i requisiti legali e operativi, Wallbreakers semplifica il processo di gestione delle segnalazioni per le organizzazioni, permettendo loro di concentrarsi sulle loro attività principali con la certezza di operare in piena conformità.

Wallbreakers: Risposta alle Criticità del Whistleblowing Segnalate dall’ANAC Leggi tutto »

servizi dpo

Google Consent Mode – novità per la Digital Compliance

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Nel mondo sempre più regolamentato della privacy online, strumenti come il Google Consent Mode (GCM) emergono come soluzioni essenziali per le aziende che cercano di navigare nel complesso mare della digital compliance e della cookie compliance. Con l’intensificarsi delle normative sulla protezione dei dati, come il General Data Protection Regulation (GDPR) dell’Unione Europea, il ruolo del Data Protection Officer (DPO) e la necessità di strumenti efficaci per la gestione del consenso sono diventati più critici che mai.

L’Importanza della Conformità GDPR nel Mondo Digitale

Il GDPR ha imposto nuovi standard per la protezione dei dati personali, influenzando significativamente come le organizzazioni raccolgono, utilizzano e gestiscono i dati degli utenti. Per i DPO e i professionisti della privacy, l’adempimento a queste normative richiede una comprensione approfondita non solo della legge, ma anche delle tecnologie che possono aiutare a garantire la conformità. In questo contesto, strumenti come il GCM di Google giocano un ruolo fondamentale.

 Cos’è Google Consent Mode?

 Google Consent Mode è un’API aperta sviluppata da Google per aiutare i siti web a gestire il consenso degli utenti in modo conforme al GDPR. Consent Mode consente ai servizi web di Google, come Google Analytics, Google Tag Manager e Google Ads, di funzionare in base al consenso ottenuto, garantendo che il trattamento dei dati personali avvenga nel rispetto delle preferenze degli utenti.

Le Funzionalità Chiave di Google Consent Mode

GCM introduce due nuove impostazioni di tag: “analytics_storage” e “ad_storage”. “Analytics_storage” regola la raccolta di dati analitici di Google Analytics in base al consenso dell’utente. Se un utente rifiuta il consenso, il sito può ancora raccogliere dati non identificativi in forma aggregata. “Ad_storage”, d’altra parte, gestisce i cookie di marketing. Se un utente non acconsente ai cookie di marketing, GCM garantisce che i tag di Google legati al marketing non utilizzino cookie.

GCM e la Sua Rilevanza per i DPO

Per i DPO, GCM rappresenta un passo avanti significativo nella gestione della cookie compliance. Offre un meccanismo che consente ai siti web di adattarsi alle preferenze di consenso degli utenti, pur mantenendo la capacità di raccogliere dati importanti per il business. Questo equilibrio è fondamentale in un’era in cui la privacy degli utenti è al centro dell’attenzione pubblica e regolamentare.

Digital Compliance nell’Era del Consent Management

La digital compliance oggi richiede più che mai un approccio olistico che comprenda sia le esigenze legali sia quelle tecnologiche. GCM funge da ponte tra questi due mondi, permettendo ai siti web di rimanere conformi senza sacrificare la funzionalità o le capacità analitiche. Per i DPO e Consulenti Privacy, ciò significa avere strumenti più efficaci per garantire che le pratiche di raccolta dati dell’organizzazione siano trasparenti e conformi.

L’Impatto di GCM sulla Cookie Compliance

La cookie compliance è una componente critica della conformità GDPR. Con GCM, i siti web hanno un maggiore controllo sui cookie e sul loro utilizzo, un aspetto vitale nella gestione del consenso. Questo si traduce in una maggiore fiducia da parte degli utenti, che sono più propensi a fornire il loro consenso quando sanno che le loro preferenze saranno rispettate.

La Sfida della Conformità Continua

Nonostante strumenti come GCM semplifichino alcuni aspetti della compliance, la sfida per i DPO e le organizzazioni rimane. Le normative sono in costante evoluzione, e mantenere la conformità richiede una vigilanza continua. La formazione continua, la consapevolezza normativa e l’adozione di tecnologie innovative sono essenziali per navigare in questo paesaggio in continua evoluzione.

Il Futuro della Digital Compliance e Cookie Compliance

Guardando al futuro, la digital compliance e la cookie compliance continueranno a essere temi centrali per le organizzazioni di ogni dimensione. Strumenti come GCM non sono solo utili, ma necessari in un mondo digitale dove la privacy e la protezione dei dati sono di massima importanza. Per i DPO e i professionisti della privacy, rimanere aggiornati sulle ultime tecnologie e best practices sarà cruciale per il successo nell’era digitale.

Cosa fare

In conclusione, il Google Consent Mode rappresenta un passo avanti significativo per la gestione del consenso e la conformità al GDPR. Tuttavia, navigare nel mondo della digital e cookie compliance richiede competenze e strumenti specifici. Se stai cercando un partner affidabile per assicurare che il tuo sito web sia pienamente conforme, la nostra offerta di servizi di digital e cookie compliance è la soluzione ideale. Contattaci oggi per un audit delle tue attività web e scopri come possiamo aiutarti a rimanere al passo con le normative in continua evoluzione, garantendo al contempo un’esperienza utente ottimale.

Scopri di più sull'autore di questo articolo!

Google Consent Mode – novità per la Digital Compliance Leggi tutto »

whistleblowing

Whistleblowing, Vademecum del Segnalatore

Introduzione al Whistleblowing

In un mondo aziendale sempre più complesso e globalizzato, la trasparenza e l’integrità sono più cruciali che mai. Uno dei modi per mantenere elevati standard etici è attraverso il whistleblowing, o segnalazione di irregolarità. Ma cosa si intende per whistleblowing? E come si collega alla compliance al GDPR e al ruolo del DPO (Data Protection Officer)? Questo vademecum intende fornire una guida pratica per chi si trova a dover segnalare comportamenti scorretti o illegali in azienda.

Cosa Si Intende per Whistleblowing?

Il Whistleblowing in Italia

Il whistleblowing è l’atto di segnalare violazioni di leggi, regolamenti o codici di condotta all’interno di un’organizzazione. Questo può includere, ma non è limitato a, la denuncia di frodi, corruzione, discriminazione e altre irregolarità. Le segnalazioni possono essere fatte in modo anonimo e sono spesso protette da leggi che impediscono ritorsioni nei confronti del segnalatore.

Il 15 marzo 2023, con la pubblicazione sulla Gazzetta Ufficiale, l’Italia ha ufficializzato l’adozione del Whistleblowing con Decreto Legislativo 24/2023. Questo decreto ha implementato la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, che riguarda la tutela di coloro che denunciano violazioni del diritto dell’Unione o delle leggi nazionali.

Quando e Cosa Segnalare

Esistono vari tipi di violazioni che possono e dovrebbero essere segnalate:

  1. Violazioni Legali: Se l’azienda non rispetta leggi e regolamenti, sia nazionali che europei, va segnalato. Ad esempio, mancate procedure di compliance al GDPR riguardanti la protezione dei dati personali.
  2. Irregolarità Contabili e Amministrative: Se noti che i bilanci sono manipolati o che ci sono frodi fiscali, dovresti denunciarle.
  3. Questioni Etiche: Oltre alle leggi, ogni azienda ha un codice etico che deve essere rispettato. Violazioni come discriminazioni, molestie o altre forme di comportamento non etico vanno segnalate.

Il ruolo del DPO

Il DPO (Data Protection Officer) gioca un ruolo chiave nel garantire la compliance al GDPR.

Per inquadrare i ruoli, consideriamo prima l’ente che crea il sistema di segnalazione come il “Titolare del trattamento” dei dati. Le persone coinvolte, sia che siano i segnalatori o quelli segnalati, sono i “soggetti interessati” le cui informazioni personali saranno gestite. Altri partecipanti, come fornitori terzi di piattaforme di segnalazione, sono definiti come “Responsabili” ai sensi dell’art. 28 del GDPR. Con questi ultimi, il Titolare dovrà stipulare accordi che specificano i limiti e le modalità di accesso e utilizzo dei dati.

Il DPO ha il compito di assicurare che l’ente adempia a tutti gli obblighi previsti dal GDPR. Questo include, ad esempio, l’obbligo di informare i soggetti interessati sui trattamenti dei loro dati, come delineato dall’articolo 13 del GDPR. Inoltre, il DPO deve verificare che tutti i “Responsabili” identificati offrano garanzie sufficienti per la sicurezza dei dati e la tutela dei diritti degli interessati.

Un punto cruciale è che qualsiasi canale di segnalazione, progettato per garantire l’anonimato del segnalatore, deve essere in linea con gli articoli 24, 25 e 32 del GDPR. In sostanza, la protezione dei dati deve essere integrata nel sistema fin dalla sua progettazione.

Come/Dove Fare la Segnalazione

Cosa NON Dovresti Segnalare

Per segnalare efficacemente violazioni, è fondamentale conoscere i canali disponibili. Le imprese private con almeno 50 dipendenti, quelle con Modelli di organizzazione ai sensi del D.Lgs. n. 231/2001, e vari soggetti del settore pubblico e privato sono obbligati ad avere canali di segnalazione interna. I segnalanti possono rivolgersi all’ANAC (Autorità Nazionale Anticorruzione) nelle seguenti circostanze:

  • Se il canale interno non esiste o non è conforme alla legge.
  • Se una segnalazione interna precedente è stata ignorata.
  • Se c’è il timore di ritorsioni o di inazione nell’affrontare la segnalazione.

In casi di urgenza o grave rischio per l’interesse pubblico, la divulgazione pubblica è anche una possibilità.

Non tutto ciò che potrebbe sembrare una violazione è appropriato per il whistleblowing. Ad esempio:

  1. Questioni Personali: Problemi personali con colleghi o superiori che non violano leggi o codici etici dell’azienda non sono di competenza del whistleblowing.

  2. Aspetti Coperti da Altre Norme: Alcune violazioni, come quelle inerenti alla sicurezza nazionale, potrebbero avere canali di segnalazione specifici e non essere adatte per un intervento di whistleblowing generico.

Queste questioni, sebbene possano essere legittime preoccupazioni, sono di solito meglio indirizzate tramite altri canali, come il dipartimento delle risorse umane.

Considerazioni Finali: Proteggi Te Stesso e Gli Altri

Il whistleblowing è uno strumento potente per mantenere l’integrità e la trasparenza in un’organizzazione. Tuttavia, è fondamentale che le segnalazioni siano fatte in modo responsabile e informato. Conoscere cosa si intende per whistleblowing, capire il ruolo del DPO e essere a conoscenza dei requisiti di compliance al GDPR ti aiuterà a fare segnalazioni efficaci che possono portare a cambiamenti reali.

Il whistleblowing è più di un diritto; è un dovere per chi cerca di fare la cosa giusta in un mondo che spesso sembra incentrato a fare esattamente il contrario.

Whistleblowing, Vademecum del Segnalatore Leggi tutto »

Il paradosso del DPO

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Responsabile della protezione dati, ufficiale di controllo, sentinella, esperto di disaster recovery, grande occhio del garante della privacy, colui che tutto vede e tutto sa: ma chi è il DPO?

 

Tecnicamente abbiamo già visto che cos’è e cosa fa un DPO. Non sarà però sfuggito ai lettori più arguti che le competenze richieste e i compiti da svolgere fanno del DPO una figura quasi mitologica, come un Sisifo il cui lavoro non finisce mai.

 

In effetti, proviamo un attimo a soffermarci sulle competenze richieste per il nostro Data Protection Officer. La prima deve essere di natura giuridica: conoscere a menadito il GDPR e tutte le norme ad esso collegate, da quelle legate alla gestione delle risorse umane a quelle che regolano il commercio e la pubblicità. Capire se ci sono state delle mancanze, come affrontare la gestione dei data breach e in generale valutare e approvare tutto il corpus dei documenti che un’azienda deve avere: informative, nomine registri, DPIA…

 

Al contempo, però, un bravo DPO deve conoscere il core business dell’azienda, quali sono i dati che ogni giorno elabora, deve avere una buona competenza tecnologica per sapere se i file dell’azienda sono al sicuro e se le procedure, decise insieme al fornitore di servizi, siano sufficienti a proteggere da un eventuale disastro. Infine, non obbligatoria ma sicuramente utile, una mente strategica, quasi scacchistica, capace di prevedere futuri disastri e anticipare le mosse per evitarli e superarli.

 

Esiste un DPO capace di fare tutto ciò che un DPO dovrebbe fare? 

 

Ironie a parte, si intuisce, insomma, che le competenze richieste sono davvero tante. Il rischio, nella realtà, è quello di avere una figura magari capace giuridicamente, ma debole dal punto di vista tecnologico o viceversa. Non è facile trovare una persona che raccolga in sé tutte queste cognizioni.

 

Una soluzione a questo empasse può essere un team multidisciplinare che coinvolga più persone ognuna esperta nel proprio campo. Idea geniale, ma anche qui sorgono alcuni problemi. Il primo di natura economica. Quali risorse può dedicare la nostra azienda alla protezione dei dati? Compito, sì, obbligatorio, ma che comunque deve essere sostenibile.

Un team di persone interne all’azienda tutte incentrate a dar vita al DPO perfetto può funzionare ma è sicuramente un gran dispendio di risorse per l’azienda.

 

C’è anche un altro problema. Proprio per la sua natura, un gruppo del genere è composto da persone ognuna competente nel proprio campo, che a questo punto necessiterebbe di continue riunioni per condividere i vari aspetti coinvolti, investendo ulteriore tempo.

 

DPO esterno?

 

Sicuramente esternalizzare completamente il servizio di DPO è una soluzione che può sopperire a molte di queste difficoltà, sia dal punto delle competenze che della gestione organizzativa ed economica; tuttavia, per poter gestire in maniera efficace l’attività sarebbe comunque richiesta una profonda e costantemente aggiornata conoscenza della realtà aziendale o una figura interna di coordinamento che dovrebbe conoscere un po’ di tutto, tornando quindi al problema già visto.

 

La soluzione di Agile DPO: Non vendere un pesce, insegna a pescare 

 

Forse possiamo provare a cambiare il punto di osservazione. Non dobbiamo cercare un DPO esterno (o interno) capace di fare tutto, ma una persona che sappia valutare la complessità dell’azienda e iniettare in ogni livello le competenze necessarie per far crescere la qualità digitale e giuridica delle aziende.

 

In una parola: formazione.

Ricordate quando abbiamo parlato di Privacy by design, l’idea cioè che tutto il contesto della privacy sia integrato nell’azienda dalla sua fondazione e non un elemento posticcio attaccato a posteriori?

 

Qui il concetto è simile. Invece di prendere il dipendente che ha estratto la pagliuzza corta e fargli fare il DPO interno, rendendo lui infelice e l’azienda insicura, se tutti i singoli comparti dell’azienda fossero “formati” da esperti sul GDPR, in modo che ognuno, nel proprio settore, abbia ben chiaro che cosa significa lavorare per far rispettare il Regolamento avremmo dipendenti competenti, e nel contempo avremmo snellito mostruosamente il lavoro.

 

Per riprendere il detto evangelico: molto meglio insegnare a pescare che regalare un pesce e poi sparire. Una formazione efficiente, capillare e certosina, farà in modo che il comparto tecnico sappia scegliere il servizio con la miglior tutela dei dati e un disaster recovery plan efficiente, che i venditori conoscano il modo migliore di trattare i dati dei clienti. Ma anche che, ad esempio, qualsiasi dipendente sia consapevole se si trova di fronte ad un data breach (una mail di un utente spedita ad un altro utente: come mi comporto?), e che il responsabile conosca a menadito la procedura da intraprendere quando questo accade.

 

Come abbiamo già visto altre volte, in un momento in cui gli utenti sono estremamente attenti e gelosi dei propri dati, mostrare competenza e trasparenza è un ottimo biglietto da visita. Inoltre, rendere edotti i propri dipendenti su meccanismi sempre più presenti nel mondo del lavoro, eviterà grossi problemi e spese all’azienda.

 

Anche perché, da un punto di vista giuridico e di diritto del lavoro, una volta che l’azienda ha speso soldi per organizzare dei corsi e formare i dipendenti, gli errori, a quel punto, non sono più scusabili.

Scopri di più sull'autore di questo articolo!

Il paradosso del DPO Leggi tutto »

dpo esterno

DPO obbligatorio o consigliato?

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Il DPO ha la responsabilità di garantire contemporaneamente sia la libera circolazione dei dati, che la protezione dai rischi che questa circolazione comporta.
Facile no?

Si chiudeva così il nostro editoriale con un perfetto cliffhunger, un momento di grande suspance. Perché, sì, è vero: il DPO è una figura davvero articolata, a metà strada tra il Garante della Privacy e l’azienda, capace di monitorare e comprendere il corretto flusso dei dati, e nel contempo mettere in atto tutte le operazioni per garantire la protezione dei rischi che questa circolazione comporta.

Questo è il nostro punto di partenza: dati e gestione dei dati.

Da quando la società e la politica si sono interessate alla protezione dei dati, sono stati messi in atto regolamenti, norme e obblighi che le aziende hanno dovuto recepire e attuare. E non poteva essere diversamente, visto che con l’aumento della tecnologia e la contaminazione dei dati personali in praticamente ogni dispositivo e ogni operazione relativa all’utente, il nostro approccio ai dati è diventato pervasivo.

Ammettiamolo: quando siamo di fronte al leviatano legislativo che impone una misura – in questo caso l’assunzione di un DPO – la si recepisce sempre con sospetto e circospezione, quasi fosse un’ingerenza che sarebbe meglio evitare. Eppure, guardiamo la cosa da un altro punto di vista. Non in tutte le casistiche il DPO è obbligatorio, ma lo è sempre la corretta gestione dei dati.

Considerare il Data Protection Officer un obbligo di legge è limitante, così come pensare che sia semplicemente “consigliato” averlo in azienda. In realtà parliamo di un vero e proprio investimento. Lo stesso che l’azienda opera in altri settori delle risorse umane. Anche il responsabile dei dati de facto è un investimento e garantisce all’azienda di avere la gestione dei dati in regola, con un basso rischio riguardo la protezione e una libera circolazione dei dati.

Proviamo a partire dall’idea che il DPO non sia mai obbligatorio, ma che sia una figura facoltativa che l’azienda può implementare, allo stesso modo del direttore marketing o del direttore vendite, o di qualsiasi posizione che funga da raccordo e controllo.

Ricordate? Si diceva che la figura del DPO è complessa, svolge numerose funzioni di raccordo, di controllo e di consulenza. Se dovesse mancare, quanti professionisti dovrebbero investire, all’interno dell’azienda, tempo e risorse per svolgere queste mansioni?

Perché, sia ben chiaro, anche se il Data Protection Officer non è presente nella nostra azienda, i Dati che necessitano Protection ci sono in ogni caso! Serve insomma qualcuno che sia capace di fare contente tanto le aziende che devono far circolare i dati, quanto gli interessati i cui dati devono essere protetti.

Siamo sicuri quindi che questo “obbligo” del DPO nasca solo come normativa e non come necessità interna dell’azienda? Riprendendo l’esempio del direttore marketing o vendite, davvero l’azienda risparmierebbe denaro e risorse se non assumesse una persona per questo ruolo?

Non avere il DPO, oggi, e ancor più in futuro, potrebbe farci spendere molto di più di quanto ci costerebbe oggi affidarsi a un esperto.

È innegabile che ormai il GDPR faccia parte del core di un’azienda quanto le vendite e la gestione del materiale. Va gestito, aggiornato e deve essere funzionante e funzionale, oltre ad essere un marchio di garanzia per gli utenti e i clienti sempre più attenti alla gestione dei loro dati.

Oggi qualsiasi azienda che utilizza il mondo digitale dei dati – soprattutto quelle di un certo tenore – trova nel DPO un risparmio di risorse, di tempo e di conseguenze legate ai problemi connessi con la sicurezza dei dati. È davvero un risparmio non averlo?

Scopri di più sull'autore di questo articolo!

DPO obbligatorio o consigliato? Leggi tutto »

data breach

Data Breach? Niente panico. Ecco come comportarsi.

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Fermi tutti! C’è stato un Data Breach. La prima regola è: niente panico!

 

Poi, cerchiamo di capire cos’è successo, e di mettere in pratica tutte le azioni necessarie.

Il Data Breach è la bestia nera nel mondo della protezione dei dati. È ciò che non dovrebbe mai accadere, ma avviene più spesso di quanto si pensi.

 

Secondo gli articoli 33 e 34 del GDPR il Data Breach è: “una violazione di sicurezza – accidentale o illecita – che causa la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali conservati o trattati”.

 

In qualche modo i dati che avevamo raccolto per necessità di lavoro e che avremmo dovuto proteggere sono stati divulgati in modo scorretto o persi. Può essere una mail con dati sensibili inviata all’indirizzo sbagliato, o un hacker che è entrato nei nostri server e ha copiato credenziali e indirizzi dei nostri clienti.

 

In entrambi i casi è un Data Breach, ma ovviamente cambia la gravità e di conseguenza cambiano le azioni da mettere in campo.

 

La Gestione del Data Breach: 72 ore per mettersi al riparo

 

La prima cosa da fare è valutare l’entità della violazione. Entro 72 ore dalla scoperta del breach, questa deve essere notificata al garante e all’interessato, ma solo se si presentano rischi effettivi per i diritti e le libertà delle persone fisiche coinvolte nella violazione.

 

È quindi necessario per il Titolare di trattamento valutare attentamente la portata di quanto accaduto coinvolgendo il DPO fin dai primissimi istanti. Questo è il momento più delicato, perché ci si muove sul filo della lama. Da un lato, una mancata comunicazione potrebbe peggiorare la situazione e attirare sull’azienda le ire del garante con le relative multe; dall’altro una comunicazione non necessaria potrebbe comportare un danno d’immagine e di reputazione.

Quest’ultima parte è un timore concreto di molti Ceo e amministratori, ma è vera fino a un certo punto. L’atteggiamento di trasparenza e di onestà è oggi molto apprezzato dagli utenti, e potrebbe far aumentare la fiducia nell’azienda.

 

Se alla fine dell’indagine sulla natura e la portata della violazione si ritiene necessaria la notifica, questa va fatta al garante, descrivendo la natura dell’infrazione, i contatti coinvolti, le probabili conseguenze e quali saranno le misure adottate per arginare il danno.

Non ultimo: è necessario compilare il registro dei casi dei data breach e adottare un protocollo di risposta.

 

Violazione dei dati: prevenire è meglio che curare

 

Rubiamo questa frase ai dentisti, perché la prevenzione non solo evita carie e tartaro, ma minimizza i rischi del breach.

La cosa più importante è aver lavorato bene in fase di progettazione della sicurezza dell’azienda. Se si è operato secondo i principi della Privacy by design molto probabilmente la struttura sarà già pronta a reagire in modo veloce e lineare per attutire i rischi. Come abbiamo già visto parlando di accountability, anche tenere un atteggiamento proattivo, che guarda avanti e indaga in anticipo le mosse del destino (come in una partita a scacchi), aiuta ad evitare la catastrofe.

 

La compilazione del registro dei casi di data breach, oltre ad essere un obbligo di legge, permette di avere un utile storico per valutare quali sono le possibili falle e vulnerabilità del sistema e capire quali test periodici effettuare per verificare la validità del protocollo.

 

Pochi Hacker all’orizzonte

 

Quando si pensa al data breach la mente subito corre all’immagine dell’hacker che buca sistemi informatici digitando dati a velocità incredibile sulla tastiera per rubare password e conti correnti di poveri utenti.

 

Certo, questo accade, ma la maggior parte dei data breach che riguardano aziende di medie e grandi dimensioni sono causati da errori umani, principalmente dei dipendenti. Che sia la mancata collocazione dei dati in un luogo effettivamente sicuro, o la trasmissione di dati personali alla persona sbagliata, sono tante le prassi aziendali errate che causano violazioni, magari di piccola entità, ma che spesso non vengono neanche riconosciute come tali.

 

Il registro è vuoto: ma siamo davvero così bravi?

 

Siamo onesti: è impossibile che un’azienda non abbia mai avuto un data breach! Che siate un piccolo laboratorio artigianale o una grande società di telecomunicazioni o di sanità, qualcosa è sicuramente successo.

 

Bisognerebbe capire se chi ha commesso o è entrato in contatto con la violazione si è accorto di averla fatta o vista. Magari dopo aver inviato la mail al destinatario sbagliato si è affrettato a riscrivere alla persona chiedendo di cestinare la mail, e dopo aver ricevuto risposta positiva ha considerato chiuso il fatto: nessun bisogno di registrazione.

O ancora una telefonata che non andava fatta, oppure, per velocizzare una pratica, la richiesta ad un cliente dell’invio di alcuni dati sul proprio cellulare personale.

 

Sono tante le situazioni, sicuramente a basso rischio, che sono configurabili come data breach. In ogni caso, anche se non c’è notifica per il garante, il registro va compilato.

È importante avere un documento sempre aggiornato: il registro dei casi non dev’essere visto come “il quaderno della vergogna”, ma come uno storico degli eventi su cui valutare come migliorare.

 

Nel GDPR, come nella legge italiana, l’ignoranza non è una scusante. I dipendenti devono essere istruiti, attraverso dei corsi, per saper riconoscere un data breach. Se questo non avviene, le responsabilità possono essere dei titolari (se non hanno fatto fare i corsi ai dipendenti), o dei dipendenti (se hanno fatto i corsi ma non hanno seguito).

Data breach
Scopri di più sull'autore di questo articolo!

Data Breach? Niente panico. Ecco come comportarsi. Leggi tutto »

dpo esterno

Dal sapere al saper fare

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Apparentemente ormai tutti sanno cosa sia il GDPR, si discute di privacy by design, best practice e cybersecurity e dell’importanza di integrare il concetto di privacy nelle fondamenta stesse dell’azienda.

Di norma, dopo aver discusso è normale che maturi la consapevolezza che ci sono parecchie cose da fare, ma chi si occuperà di controllare che tutto fluisca nel modo giusto, coordinare i Consulenti Privacy, gli IT manager e tutte le altre funzioni aziendali?

Il Data Protection Officer

Anche dando per acquisito il fatto che il DPO sia una figura ormai nota ai più – perché su di essa sono state scritte molte parole, anche da parte del Garante Italiano per la Protezione dei Dati personali – vorrei cominciare col scrivere che il DPO può essere considerato una funzione aziendale, prima ancora che un ruolo attribuito ad una persona fisica o giuridica. È, nei fatti, un compito da svolgere, richiesto dalle Autorità Garanti, per fare da supervisore su tutti gli aspetti e figure (aziendali o di enti pubblici) coinvolte nella gestione dei dati personali.

Per poter efficacemente mettere in pratica ciò che la società digitale, prima ancora che la legge, ci impone in termini di sicurezza ed efficienza, è necessario che l’ufficio del DPO ed il suo staff, interno o esterno, siano in grado di esprimere e coordinare tutte le competenze specifiche riguardanti i vari aspetti della protezione dei dati. Ha espresso questo Tom Nichols, nel saggio “The death of expertise” (Oxford Press 2017) che qui traduco per semplicità:

Nessuno è un esperto su tutto. Per quanto grandi siano le nostre aspirazioni, siamo ostacolati dal tempo e dai limiti dei nostri talenti. Abbiamo successo perché ci specializziamo e contemporaneamente sviluppiamo sistemi formali e informali che ci consentono di fidarci delle reciproche competenze.

Ecco perché in questa attività sono fondamentali tre passaggi.

Il primo riguarda la necessità di coinvolgere tutta l’azienda o l’ente pubblico in questione, attraverso la capacità di comunicare, formare e coinvolgere attivamente il personale, dai vertici fino all’ultimo degli operatori. Il secondo passaggio riguarda la necessità da parte del DPO di avere una conoscenza approfondita dell’ente o azienda di cui si è fatto carico, in particolare della cultura aziendale, del suo funzionamento e delle sue procedure. Questa conoscenza deve essere reciproca poiché il DPO deve essere percepito come una risorsa disponibile e al servizio di tutte le figure chiave dell’organizzazione.

Infine, il DPO, con il suo staff, deve essere in grado di fare una cosa difficilissima: adattarsi ed adattare le sue indicazioni alla realtà operativa, né un “signor No” né uno “Yes men”. La ragione della necessità di questo equilibrio ed attenzione ce la spiegano le primissime righe del Regolamento, che qui riporto:

Art.1 Par. 1.
Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.

Il DPO ha dunque la responsabilità di garantire contemporaneamente sia la libera circolazione dei dati, che la protezione dai rischi che questa circolazione comporta.

Facile no?

 

Articolo originariamente pubblicato sulla rivista “GDPR POST – Il punto di riferimento per il GDPR, Speciale Coronavirus 2020. Editore: PrivacyLab Srl
dpo esterno
Scopri di più sull'autore di questo articolo!

Dal sapere al saper fare Leggi tutto »

servizi dpo

Il Servizio DPO: Una Chiave Cruciale nell’Intricato Mondo dei Dati

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Navigare nell’universo del GDPR può sembrare una passeggiata su un filo sospeso, ma la figura del Data Protection Officer (DPO) funge da bussola affidabile. In un’epoca in cui la mole di dati gestita dalle aziende aumenta a ritmo esponenziale, scegliere un servizio DPO di qualità è divenuto una scelta strategica e non un semplice adempimento normativo.

Cosa fa, esattamente, un DPO? Un DPO è un vero e proprio pilota nel mare tempestoso della privacy, che assicura la conformità alla normativa sul trattamento dei dati personali, prevenendo sanzioni che possono raggiungere cifre stellari. È un consulente, un formatore, un mediatore e molto altro.

Ma ogni DPO non è uguale all’altro. Scegliere un servizio DPO richiede attenzione e criterio, poiché non si tratta solo di un ruolo funzionale, ma di una figura che può davvero fare la differenza nell’efficienza operativa e nella reputazione della vostra organizzazione.

Un buon servizio DPO non è solo reattivo, ma proattivo. Non aspetta che i problemi si presentino, ma li previene. Non si limita a risolvere i problemi di conformità, ma agisce come un vero e proprio innovatore, cercando modi per sfruttare i dati in modo sicuro e responsabile, promuovendo l’innovazione e la crescita.

Un servizio DPO di qualità ha una visione globale, capace di navigare nel mutevole panorama delle leggi sulla privacy, mantenendo un occhio vigile sulle nuove tecnologie emergenti. Aiuta l’azienda a adottare queste tecnologie, garantendo al contempo che le pratiche di gestione dei dati siano adeguate e aggiornate.

In conclusione, il servizio DPO è una componente chiave della vostra strategia aziendale. La sua scelta deve essere ponderata e mirata, perché un buon DPO non è solo un custode, ma un alleato di valore. Ricordate: in un mondo sempre più connesso, un efficace servizio DPO può fare la differenza tra navigare con sicurezza o naufragare nell’oceano digitale.

Scopri di più sull'autore di questo articolo!

Il Servizio DPO: Una Chiave Cruciale nell’Intricato Mondo dei Dati Leggi tutto »

dpo esterno

Il ruolo del DPO nelle scuole

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

La tendenza degli ultimi anni verso la didattica a distanza ha reso necessario accrescere una maggiore attenzione sul tema della tutela della privacy e dei dati personali. Nonostante, però, l’attenzione verso questo tema sia recente, la questione non è nuova dal punto di vista normativo.

Il DPO è, infatti, obbligatorio per gli istituti scolastici già da maggio 2018, grazie all’entrata in vigore del Regolamento generale sulla protezione dei dati n.2016/679 (di seguito GDPR). La normativa prevede, infatti, che il DPO sia obbligatorio per ogni ente pubblico o privato che tratti dati personali di cittadini europei.

Nuove necessità: il DPO nella scuola

Se partiamo dal presupposto che l’intento del GDPR è quello di tutelare il diritto delle persone ad avere il controllo totale delle informazioni che le riguardano in un mondo sempre più esposto  allo sviluppo della tecnologia, gli istituti scolastici non possono certamente essere esclusi dal campo applicativo della normativa in esame.

Seppur obbligatoria ormai da qualche anno, la figura del DPO in ambito scolastico non è mai stata così indispensabile. Sia esso soggetto parte dell’organico aziendale o una persona fisica o giuridica esterna, la sua presenza è ormai inderogabile. Negli ultimi anni, infatti, la mole di dati trattati è aumentata esponenzialmente e l’utilizzo di tools di terze parti come Zoom e Google Meet, che permettono l’erogazione della didattica a distanza, ha reso la governance sul trattamento dei dati un’attività ben più complessa.

Il garante è intervenuto in materia il 26 marzo 2020 con un provvedimento recante le prime indicazioni sulla didattica a distanza, sottolineando la necessità di conformare l’attività delle scuole ai principi del GDPR, offrendo agli interessati valide garanzie sul piano della protezione dei dati personali. Per quanto la responsabilità ultima in materia di privacy spetti alla singola istituzione, il DPO entra in gioco per la risoluzione di tutte le problematiche del caso, potendo agire su più fronti. Partendo dall’offerta di consulenza per la valutazione d’impatto (DPIA) e dall’adozione di misure di sicurezza, il responsabile per la protezione dei dati personali può essere un grande aiuto per la scelta delle tecnologie più appropriate per lo svolgimento delle attività scolastiche in conformità alle disposizioni normative. Può fornire, inoltre, supporto nella ricerca e nella redazione del contratto con i fornitori degli strumenti operativi per lo svolgimento della DAD e svolgere campagne di sensibilizzazione sulla tutela della privacy per il personale.

A chi è meglio affidarsi, DPO esterno o DPO interno?

Difficile stabilire se la scelta migliore per un istituto scolastico sia la nomina di un DPO esterno o interno. Le ipotetiche soluzioni applicative restano due. La prima prevede la nomina di un DPO esterno e l’individuazione di uno o più soggetti interni che siano formati adeguatamente per la gestione dei vari compiti in materia di privacy. La seconda prevede la nomina di un DPO interno che operi con l’appoggio di un consulente esterno. Resta a vedere quali siano le concrete necessità di un istituto scolastico per potersi approcciare alla soluzione più adeguata. Certo è che il DPO resta una figura chiamata a svolgere attività che non possono essere incompatibili con ulteriori attività svolte all’interno dell’istituzione, incompatibilità esclusa alla radice nel caso in cui il ruolo sia affidato a un soggetto esterno. Senza dimenticare che tale scelta costituirebbe un risparmio di tempo e denaro che sarebbero destinati alla formazione del personale dipendente a cui verrebbe affidato tale compito, che dovrebbe cimentarsi con le tematiche della privacy e della protezione dei dati personali, non esattamente il pane quotidiano della maggior parte delle realtà scolastiche. Per approfondire la questione si veda l’articolo il paradosso del DPO.

dpo esterno
Scopri di più sull'autore di questo articolo!

Il ruolo del DPO nelle scuole Leggi tutto »

servizio dpo

Protezione dei Dati Sensibili:
il DPO come consigliere

L'autore

BEATRICE BARDELLI

BEATRICE BARDELLI

DPO
Esperta in revisione documentale e compliance
Scienze forensi e Criminologiche
Project management
Consulente Certificato PrivacyLab

Bio dell'Autore

Credi che un’azienda abbia usato i tuoi dati sensibili impropriamente oppure ritieni di aver compilato un form non in linea con la Privacy Policy vigente? 

Sai come comportarti ora? 

Se la risposta è no, sei nel posto giusto.

 

Ti spieghiamo come muoverti.

 

Innanzitutto sappi che ci sono due possibilità: puoi interpellare direttamente il Garante Privacy, un iter che a volte risulta frustrante per i lunghi tempi di risposta oppure puoi contattare il DPO dell’azienda.

Il DPO?

Yes, il Data Protection Officer o Responsabile Protezione Dati una figura  che molte tipologie di aziende che trattano  grandi quantità di dati, anche sensibili (o particolari), sono tenute a nominare. 

Possiamo sbilanciarci dicendo che anche le aziende che non sono tenute alla nomina di un DPO potrebbero nominarne uno, per ridurre i rischi sui trattamenti dei dati: questo fa parte dell’accountability del buon amministratore delegato! 

Un’azienda attenta al trattamento dati è sicuramente un’azienda che li gestisce attraverso l’ausilio di un DPO esperto e certificato. Quindi puoi accorgerti dell’interesse aziendale verso la tutela dei dati anche dalla presenza o meno di questa figura.

Se vuoi approfondire le caratteristiche del DPO, puoi leggere QUESTO ARTICOLO su questa figura professionale e fare un po’ di chiarezza. 

Ora che sai le due vie che puoi intraprendere, sta a te la scelta.

Noi ti spieghiamo quella che interpella il DPO, che spesso risulta essere la via più breve. 

Innanzitutto, come fai a parlare con il DPO dell’azienda?

Tutti i dati per contattare il Responsabile sono presenti in azienda e questa è tenuta a fornirteli qualora tu glieli chiedessi. Può capitare che ti venga negata la possibilità di contattarlo o l’accesso ai suoi dati: questo non può succedere!

Tu come interessato hai il diritto di interpellare il DPO dell’azienda per avere chiarimenti sul trattamento dei tuoi dati.

Puoi interpellare il DPO se ti accorgi che forse l’azienda ha raccolto i tuoi dati senza il tuo consenso, se li utilizza in maniera a te sconosciuta o ogni qualvolta ti vengano dubbi sulla liceità del loro trattamento. 

Il DPO diventerà il tuo nuovo consigliere in materia di protezione dati!


Puoi porgergli tutte le domande necessarie e saprà risponderti velocemente, dicendoti con chiarezza come vengono utilizzati i tuoi dati, se sono stati raccolti e utilizzati correttamente. Saprà far valere i tuoi diritti come parte interessata.

Ora che sei a conoscenza che grazie a questa figura c’è un ponte tra te, l’azienda e il Garante Privacy, potrai scegliere come muoverti, consapevole di ciò che hai diritto di fare per tutelare i tuoi dati quindi tutte le tue informazioni sensibili. 

Vogliamo solo aggiungere che, qualora non fossi soddisfatto del lavoro svolto dal DPO, delle risposte che ti sono state fornite, puoi procedere liberamente interpellando il Garante Privacy!

Ti stanno sorgendo altri dubbi? Ti sei reso conto leggendo che forse hai compilato un form con una Privacy Policy incerta? Ricevi messaggi di pubblicità mai richiesti?

Ti aiutiamo noi! 


Per queste e tutte le altre domande che ti balenano in testa, puoi contattarci con una mail, sui nostri canali social o chiamandoci: il nostro team di esperti DPO certificati saprà darti le risposte che cerchi!

Scopri di più sull'autore di questo articolo!

Protezione dei Dati Sensibili:
il DPO come consigliere
Leggi tutto »