DPO esterno

Il Data Protection Officer può essere una figura esterna all’azienda.
La legge prevede che possa essere nominata anche una persona giuridica: una società come AgileDPO.

Il paradosso del DPO

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Responsabile della protezione dati, ufficiale di controllo, sentinella, esperto di disaster recovery, grande occhio del garante della privacy, colui che tutto vede e tutto sa: ma chi è il DPO?

 

Tecnicamente abbiamo già visto che cos’è e cosa fa un DPO. Non sarà però sfuggito ai lettori più arguti che le competenze richieste e i compiti da svolgere fanno del DPO una figura quasi mitologica, come un Sisifo il cui lavoro non finisce mai.

 

In effetti, proviamo un attimo a soffermarci sulle competenze richieste per il nostro Data Protection Officer. La prima deve essere di natura giuridica: conoscere a menadito il GDPR e tutte le norme ad esso collegate, da quelle legate alla gestione delle risorse umane a quelle che regolano il commercio e la pubblicità. Capire se ci sono state delle mancanze, come affrontare la gestione dei data breach e in generale valutare e approvare tutto il corpus dei documenti che un’azienda deve avere: informative, nomine registri, DPIA…

 

Al contempo, però, un bravo DPO deve conoscere il core business dell’azienda, quali sono i dati che ogni giorno elabora, deve avere una buona competenza tecnologica per sapere se i file dell’azienda sono al sicuro e se le procedure, decise insieme al fornitore di servizi, siano sufficienti a proteggere da un eventuale disastro. Infine, non obbligatoria ma sicuramente utile, una mente strategica, quasi scacchistica, capace di prevedere futuri disastri e anticipare le mosse per evitarli e superarli.

 

Esiste un DPO capace di fare tutto ciò che un DPO dovrebbe fare? 

 

Ironie a parte, si intuisce, insomma, che le competenze richieste sono davvero tante. Il rischio, nella realtà, è quello di avere una figura magari capace giuridicamente, ma debole dal punto di vista tecnologico o viceversa. Non è facile trovare una persona che raccolga in sé tutte queste cognizioni.

 

Una soluzione a questo empasse può essere un team multidisciplinare che coinvolga più persone ognuna esperta nel proprio campo. Idea geniale, ma anche qui sorgono alcuni problemi. Il primo di natura economica. Quali risorse può dedicare la nostra azienda alla protezione dei dati? Compito, sì, obbligatorio, ma che comunque deve essere sostenibile.

Un team di persone interne all’azienda tutte incentrate a dar vita al DPO perfetto può funzionare ma è sicuramente un gran dispendio di risorse per l’azienda.

 

C’è anche un altro problema. Proprio per la sua natura, un gruppo del genere è composto da persone ognuna competente nel proprio campo, che a questo punto necessiterebbe di continue riunioni per condividere i vari aspetti coinvolti, investendo ulteriore tempo.

 

DPO esterno?

 

Sicuramente esternalizzare completamente il servizio di DPO è una soluzione che può sopperire a molte di queste difficoltà, sia dal punto delle competenze che della gestione organizzativa ed economica; tuttavia, per poter gestire in maniera efficace l’attività sarebbe comunque richiesta una profonda e costantemente aggiornata conoscenza della realtà aziendale o una figura interna di coordinamento che dovrebbe conoscere un po’ di tutto, tornando quindi al problema già visto.

 

La soluzione di Agile DPO: Non vendere un pesce, insegna a pescare 

 

Forse possiamo provare a cambiare il punto di osservazione. Non dobbiamo cercare un DPO esterno (o interno) capace di fare tutto, ma una persona che sappia valutare la complessità dell’azienda e iniettare in ogni livello le competenze necessarie per far crescere la qualità digitale e giuridica delle aziende.

 

In una parola: formazione.

Ricordate quando abbiamo parlato di Privacy by design, l’idea cioè che tutto il contesto della privacy sia integrato nell’azienda dalla sua fondazione e non un elemento posticcio attaccato a posteriori?

 

Qui il concetto è simile. Invece di prendere il dipendente che ha estratto la pagliuzza corta e fargli fare il DPO interno, rendendo lui infelice e l’azienda insicura, se tutti i singoli comparti dell’azienda fossero “formati” da esperti sul GDPR, in modo che ognuno, nel proprio settore, abbia ben chiaro che cosa significa lavorare per far rispettare il Regolamento avremmo dipendenti competenti, e nel contempo avremmo snellito mostruosamente il lavoro.

 

Per riprendere il detto evangelico: molto meglio insegnare a pescare che regalare un pesce e poi sparire. Una formazione efficiente, capillare e certosina, farà in modo che il comparto tecnico sappia scegliere il servizio con la miglior tutela dei dati e un disaster recovery plan efficiente, che i venditori conoscano il modo migliore di trattare i dati dei clienti. Ma anche che, ad esempio, qualsiasi dipendente sia consapevole se si trova di fronte ad un data breach (una mail di un utente spedita ad un altro utente: come mi comporto?), e che il responsabile conosca a menadito la procedura da intraprendere quando questo accade.

 

Come abbiamo già visto altre volte, in un momento in cui gli utenti sono estremamente attenti e gelosi dei propri dati, mostrare competenza e trasparenza è un ottimo biglietto da visita. Inoltre, rendere edotti i propri dipendenti su meccanismi sempre più presenti nel mondo del lavoro, eviterà grossi problemi e spese all’azienda.

 

Anche perché, da un punto di vista giuridico e di diritto del lavoro, una volta che l’azienda ha speso soldi per organizzare dei corsi e formare i dipendenti, gli errori, a quel punto, non sono più scusabili.

Scopri di più sull'autore di questo articolo!

Il paradosso del DPO Leggi tutto »

dpo esterno

DPO obbligatorio o consigliato?

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Il DPO ha la responsabilità di garantire contemporaneamente sia la libera circolazione dei dati, che la protezione dai rischi che questa circolazione comporta.
Facile no?

Si chiudeva così il nostro editoriale con un perfetto cliffhunger, un momento di grande suspance. Perché, sì, è vero: il DPO è una figura davvero articolata, a metà strada tra il Garante della Privacy e l’azienda, capace di monitorare e comprendere il corretto flusso dei dati, e nel contempo mettere in atto tutte le operazioni per garantire la protezione dei rischi che questa circolazione comporta.

Questo è il nostro punto di partenza: dati e gestione dei dati.

Da quando la società e la politica si sono interessate alla protezione dei dati, sono stati messi in atto regolamenti, norme e obblighi che le aziende hanno dovuto recepire e attuare. E non poteva essere diversamente, visto che con l’aumento della tecnologia e la contaminazione dei dati personali in praticamente ogni dispositivo e ogni operazione relativa all’utente, il nostro approccio ai dati è diventato pervasivo.

Ammettiamolo: quando siamo di fronte al leviatano legislativo che impone una misura – in questo caso l’assunzione di un DPO – la si recepisce sempre con sospetto e circospezione, quasi fosse un’ingerenza che sarebbe meglio evitare. Eppure, guardiamo la cosa da un altro punto di vista. Non in tutte le casistiche il DPO è obbligatorio, ma lo è sempre la corretta gestione dei dati.

Considerare il Data Protection Officer un obbligo di legge è limitante, così come pensare che sia semplicemente “consigliato” averlo in azienda. In realtà parliamo di un vero e proprio investimento. Lo stesso che l’azienda opera in altri settori delle risorse umane. Anche il responsabile dei dati de facto è un investimento e garantisce all’azienda di avere la gestione dei dati in regola, con un basso rischio riguardo la protezione e una libera circolazione dei dati.

Proviamo a partire dall’idea che il DPO non sia mai obbligatorio, ma che sia una figura facoltativa che l’azienda può implementare, allo stesso modo del direttore marketing o del direttore vendite, o di qualsiasi posizione che funga da raccordo e controllo.

Ricordate? Si diceva che la figura del DPO è complessa, svolge numerose funzioni di raccordo, di controllo e di consulenza. Se dovesse mancare, quanti professionisti dovrebbero investire, all’interno dell’azienda, tempo e risorse per svolgere queste mansioni?

Perché, sia ben chiaro, anche se il Data Protection Officer non è presente nella nostra azienda, i Dati che necessitano Protection ci sono in ogni caso! Serve insomma qualcuno che sia capace di fare contente tanto le aziende che devono far circolare i dati, quanto gli interessati i cui dati devono essere protetti.

Siamo sicuri quindi che questo “obbligo” del DPO nasca solo come normativa e non come necessità interna dell’azienda? Riprendendo l’esempio del direttore marketing o vendite, davvero l’azienda risparmierebbe denaro e risorse se non assumesse una persona per questo ruolo?

Non avere il DPO, oggi, e ancor più in futuro, potrebbe farci spendere molto di più di quanto ci costerebbe oggi affidarsi a un esperto.

È innegabile che ormai il GDPR faccia parte del core di un’azienda quanto le vendite e la gestione del materiale. Va gestito, aggiornato e deve essere funzionante e funzionale, oltre ad essere un marchio di garanzia per gli utenti e i clienti sempre più attenti alla gestione dei loro dati.

Oggi qualsiasi azienda che utilizza il mondo digitale dei dati – soprattutto quelle di un certo tenore – trova nel DPO un risparmio di risorse, di tempo e di conseguenze legate ai problemi connessi con la sicurezza dei dati. È davvero un risparmio non averlo?

Scopri di più sull'autore di questo articolo!

DPO obbligatorio o consigliato? Leggi tutto »

data breach

Data Breach? Niente panico. Ecco come comportarsi.

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Fermi tutti! C’è stato un Data Breach. La prima regola è: niente panico!

 

Poi, cerchiamo di capire cos’è successo, e di mettere in pratica tutte le azioni necessarie.

Il Data Breach è la bestia nera nel mondo della protezione dei dati. È ciò che non dovrebbe mai accadere, ma avviene più spesso di quanto si pensi.

 

Secondo gli articoli 33 e 34 del GDPR il Data Breach è: “una violazione di sicurezza – accidentale o illecita – che causa la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali conservati o trattati”.

 

In qualche modo i dati che avevamo raccolto per necessità di lavoro e che avremmo dovuto proteggere sono stati divulgati in modo scorretto o persi. Può essere una mail con dati sensibili inviata all’indirizzo sbagliato, o un hacker che è entrato nei nostri server e ha copiato credenziali e indirizzi dei nostri clienti.

 

In entrambi i casi è un Data Breach, ma ovviamente cambia la gravità e di conseguenza cambiano le azioni da mettere in campo.

 

La Gestione del Data Breach: 72 ore per mettersi al riparo

 

La prima cosa da fare è valutare l’entità della violazione. Entro 72 ore dalla scoperta del breach, questa deve essere notificata al garante e all’interessato, ma solo se si presentano rischi effettivi per i diritti e le libertà delle persone fisiche coinvolte nella violazione.

 

È quindi necessario per il Titolare di trattamento valutare attentamente la portata di quanto accaduto coinvolgendo il DPO fin dai primissimi istanti. Questo è il momento più delicato, perché ci si muove sul filo della lama. Da un lato, una mancata comunicazione potrebbe peggiorare la situazione e attirare sull’azienda le ire del garante con le relative multe; dall’altro una comunicazione non necessaria potrebbe comportare un danno d’immagine e di reputazione.

Quest’ultima parte è un timore concreto di molti Ceo e amministratori, ma è vera fino a un certo punto. L’atteggiamento di trasparenza e di onestà è oggi molto apprezzato dagli utenti, e potrebbe far aumentare la fiducia nell’azienda.

 

Se alla fine dell’indagine sulla natura e la portata della violazione si ritiene necessaria la notifica, questa va fatta al garante, descrivendo la natura dell’infrazione, i contatti coinvolti, le probabili conseguenze e quali saranno le misure adottate per arginare il danno.

Non ultimo: è necessario compilare il registro dei casi dei data breach e adottare un protocollo di risposta.

 

Violazione dei dati: prevenire è meglio che curare

 

Rubiamo questa frase ai dentisti, perché la prevenzione non solo evita carie e tartaro, ma minimizza i rischi del breach.

La cosa più importante è aver lavorato bene in fase di progettazione della sicurezza dell’azienda. Se si è operato secondo i principi della Privacy by design molto probabilmente la struttura sarà già pronta a reagire in modo veloce e lineare per attutire i rischi. Come abbiamo già visto parlando di accountability, anche tenere un atteggiamento proattivo, che guarda avanti e indaga in anticipo le mosse del destino (come in una partita a scacchi), aiuta ad evitare la catastrofe.

 

La compilazione del registro dei casi di data breach, oltre ad essere un obbligo di legge, permette di avere un utile storico per valutare quali sono le possibili falle e vulnerabilità del sistema e capire quali test periodici effettuare per verificare la validità del protocollo.

 

Pochi Hacker all’orizzonte

 

Quando si pensa al data breach la mente subito corre all’immagine dell’hacker che buca sistemi informatici digitando dati a velocità incredibile sulla tastiera per rubare password e conti correnti di poveri utenti.

 

Certo, questo accade, ma la maggior parte dei data breach che riguardano aziende di medie e grandi dimensioni sono causati da errori umani, principalmente dei dipendenti. Che sia la mancata collocazione dei dati in un luogo effettivamente sicuro, o la trasmissione di dati personali alla persona sbagliata, sono tante le prassi aziendali errate che causano violazioni, magari di piccola entità, ma che spesso non vengono neanche riconosciute come tali.

 

Il registro è vuoto: ma siamo davvero così bravi?

 

Siamo onesti: è impossibile che un’azienda non abbia mai avuto un data breach! Che siate un piccolo laboratorio artigianale o una grande società di telecomunicazioni o di sanità, qualcosa è sicuramente successo.

 

Bisognerebbe capire se chi ha commesso o è entrato in contatto con la violazione si è accorto di averla fatta o vista. Magari dopo aver inviato la mail al destinatario sbagliato si è affrettato a riscrivere alla persona chiedendo di cestinare la mail, e dopo aver ricevuto risposta positiva ha considerato chiuso il fatto: nessun bisogno di registrazione.

O ancora una telefonata che non andava fatta, oppure, per velocizzare una pratica, la richiesta ad un cliente dell’invio di alcuni dati sul proprio cellulare personale.

 

Sono tante le situazioni, sicuramente a basso rischio, che sono configurabili come data breach. In ogni caso, anche se non c’è notifica per il garante, il registro va compilato.

È importante avere un documento sempre aggiornato: il registro dei casi non dev’essere visto come “il quaderno della vergogna”, ma come uno storico degli eventi su cui valutare come migliorare.

 

Nel GDPR, come nella legge italiana, l’ignoranza non è una scusante. I dipendenti devono essere istruiti, attraverso dei corsi, per saper riconoscere un data breach. Se questo non avviene, le responsabilità possono essere dei titolari (se non hanno fatto fare i corsi ai dipendenti), o dei dipendenti (se hanno fatto i corsi ma non hanno seguito).

Data breach
Scopri di più sull'autore di questo articolo!

Data Breach? Niente panico. Ecco come comportarsi. Leggi tutto »

dpo esterno

Dal sapere al saper fare

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Apparentemente ormai tutti sanno cosa sia il GDPR, si discute di privacy by design, best practice e cybersecurity e dell’importanza di integrare il concetto di privacy nelle fondamenta stesse dell’azienda.

Di norma, dopo aver discusso è normale che maturi la consapevolezza che ci sono parecchie cose da fare, ma chi si occuperà di controllare che tutto fluisca nel modo giusto, coordinare i Consulenti Privacy, gli IT manager e tutte le altre funzioni aziendali?

Il Data Protection Officer

Anche dando per acquisito il fatto che il DPO sia una figura ormai nota ai più – perché su di essa sono state scritte molte parole, anche da parte del Garante Italiano per la Protezione dei Dati personali – vorrei cominciare col scrivere che il DPO può essere considerato una funzione aziendale, prima ancora che un ruolo attribuito ad una persona fisica o giuridica. È, nei fatti, un compito da svolgere, richiesto dalle Autorità Garanti, per fare da supervisore su tutti gli aspetti e figure (aziendali o di enti pubblici) coinvolte nella gestione dei dati personali.

Per poter efficacemente mettere in pratica ciò che la società digitale, prima ancora che la legge, ci impone in termini di sicurezza ed efficienza, è necessario che l’ufficio del DPO ed il suo staff, interno o esterno, siano in grado di esprimere e coordinare tutte le competenze specifiche riguardanti i vari aspetti della protezione dei dati. Ha espresso questo Tom Nichols, nel saggio “The death of expertise” (Oxford Press 2017) che qui traduco per semplicità:

Nessuno è un esperto su tutto. Per quanto grandi siano le nostre aspirazioni, siamo ostacolati dal tempo e dai limiti dei nostri talenti. Abbiamo successo perché ci specializziamo e contemporaneamente sviluppiamo sistemi formali e informali che ci consentono di fidarci delle reciproche competenze.

Ecco perché in questa attività sono fondamentali tre passaggi.

Il primo riguarda la necessità di coinvolgere tutta l’azienda o l’ente pubblico in questione, attraverso la capacità di comunicare, formare e coinvolgere attivamente il personale, dai vertici fino all’ultimo degli operatori. Il secondo passaggio riguarda la necessità da parte del DPO di avere una conoscenza approfondita dell’ente o azienda di cui si è fatto carico, in particolare della cultura aziendale, del suo funzionamento e delle sue procedure. Questa conoscenza deve essere reciproca poiché il DPO deve essere percepito come una risorsa disponibile e al servizio di tutte le figure chiave dell’organizzazione.

Infine, il DPO, con il suo staff, deve essere in grado di fare una cosa difficilissima: adattarsi ed adattare le sue indicazioni alla realtà operativa, né un “signor No” né uno “Yes men”. La ragione della necessità di questo equilibrio ed attenzione ce la spiegano le primissime righe del Regolamento, che qui riporto:

Art.1 Par. 1.
Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.

Il DPO ha dunque la responsabilità di garantire contemporaneamente sia la libera circolazione dei dati, che la protezione dai rischi che questa circolazione comporta.

Facile no?

 

Articolo originariamente pubblicato sulla rivista “GDPR POST – Il punto di riferimento per il GDPR, Speciale Coronavirus 2020. Editore: PrivacyLab Srl
dpo esterno
Scopri di più sull'autore di questo articolo!

Dal sapere al saper fare Leggi tutto »

servizi dpo

Il Servizio DPO: Una Chiave Cruciale nell’Intricato Mondo dei Dati

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Navigare nell’universo del GDPR può sembrare una passeggiata su un filo sospeso, ma la figura del Data Protection Officer (DPO) funge da bussola affidabile. In un’epoca in cui la mole di dati gestita dalle aziende aumenta a ritmo esponenziale, scegliere un servizio DPO di qualità è divenuto una scelta strategica e non un semplice adempimento normativo.

Cosa fa, esattamente, un DPO? Un DPO è un vero e proprio pilota nel mare tempestoso della privacy, che assicura la conformità alla normativa sul trattamento dei dati personali, prevenendo sanzioni che possono raggiungere cifre stellari. È un consulente, un formatore, un mediatore e molto altro.

Ma ogni DPO non è uguale all’altro. Scegliere un servizio DPO richiede attenzione e criterio, poiché non si tratta solo di un ruolo funzionale, ma di una figura che può davvero fare la differenza nell’efficienza operativa e nella reputazione della vostra organizzazione.

Un buon servizio DPO non è solo reattivo, ma proattivo. Non aspetta che i problemi si presentino, ma li previene. Non si limita a risolvere i problemi di conformità, ma agisce come un vero e proprio innovatore, cercando modi per sfruttare i dati in modo sicuro e responsabile, promuovendo l’innovazione e la crescita.

Un servizio DPO di qualità ha una visione globale, capace di navigare nel mutevole panorama delle leggi sulla privacy, mantenendo un occhio vigile sulle nuove tecnologie emergenti. Aiuta l’azienda a adottare queste tecnologie, garantendo al contempo che le pratiche di gestione dei dati siano adeguate e aggiornate.

In conclusione, il servizio DPO è una componente chiave della vostra strategia aziendale. La sua scelta deve essere ponderata e mirata, perché un buon DPO non è solo un custode, ma un alleato di valore. Ricordate: in un mondo sempre più connesso, un efficace servizio DPO può fare la differenza tra navigare con sicurezza o naufragare nell’oceano digitale.

Scopri di più sull'autore di questo articolo!

Il Servizio DPO: Una Chiave Cruciale nell’Intricato Mondo dei Dati Leggi tutto »

dpo esterno

Il ruolo del DPO nelle scuole

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

La tendenza degli ultimi anni verso la didattica a distanza ha reso necessario accrescere una maggiore attenzione sul tema della tutela della privacy e dei dati personali. Nonostante, però, l’attenzione verso questo tema sia recente, la questione non è nuova dal punto di vista normativo.

Il DPO è, infatti, obbligatorio per gli istituti scolastici già da maggio 2018, grazie all’entrata in vigore del Regolamento generale sulla protezione dei dati n.2016/679 (di seguito GDPR). La normativa prevede, infatti, che il DPO sia obbligatorio per ogni ente pubblico o privato che tratti dati personali di cittadini europei.

Nuove necessità: il DPO nella scuola

Se partiamo dal presupposto che l’intento del GDPR è quello di tutelare il diritto delle persone ad avere il controllo totale delle informazioni che le riguardano in un mondo sempre più esposto  allo sviluppo della tecnologia, gli istituti scolastici non possono certamente essere esclusi dal campo applicativo della normativa in esame.

Seppur obbligatoria ormai da qualche anno, la figura del DPO in ambito scolastico non è mai stata così indispensabile. Sia esso soggetto parte dell’organico aziendale o una persona fisica o giuridica esterna, la sua presenza è ormai inderogabile. Negli ultimi anni, infatti, la mole di dati trattati è aumentata esponenzialmente e l’utilizzo di tools di terze parti come Zoom e Google Meet, che permettono l’erogazione della didattica a distanza, ha reso la governance sul trattamento dei dati un’attività ben più complessa.

Il garante è intervenuto in materia il 26 marzo 2020 con un provvedimento recante le prime indicazioni sulla didattica a distanza, sottolineando la necessità di conformare l’attività delle scuole ai principi del GDPR, offrendo agli interessati valide garanzie sul piano della protezione dei dati personali. Per quanto la responsabilità ultima in materia di privacy spetti alla singola istituzione, il DPO entra in gioco per la risoluzione di tutte le problematiche del caso, potendo agire su più fronti. Partendo dall’offerta di consulenza per la valutazione d’impatto (DPIA) e dall’adozione di misure di sicurezza, il responsabile per la protezione dei dati personali può essere un grande aiuto per la scelta delle tecnologie più appropriate per lo svolgimento delle attività scolastiche in conformità alle disposizioni normative. Può fornire, inoltre, supporto nella ricerca e nella redazione del contratto con i fornitori degli strumenti operativi per lo svolgimento della DAD e svolgere campagne di sensibilizzazione sulla tutela della privacy per il personale.

A chi è meglio affidarsi, DPO esterno o DPO interno?

Difficile stabilire se la scelta migliore per un istituto scolastico sia la nomina di un DPO esterno o interno. Le ipotetiche soluzioni applicative restano due. La prima prevede la nomina di un DPO esterno e l’individuazione di uno o più soggetti interni che siano formati adeguatamente per la gestione dei vari compiti in materia di privacy. La seconda prevede la nomina di un DPO interno che operi con l’appoggio di un consulente esterno. Resta a vedere quali siano le concrete necessità di un istituto scolastico per potersi approcciare alla soluzione più adeguata. Certo è che il DPO resta una figura chiamata a svolgere attività che non possono essere incompatibili con ulteriori attività svolte all’interno dell’istituzione, incompatibilità esclusa alla radice nel caso in cui il ruolo sia affidato a un soggetto esterno. Senza dimenticare che tale scelta costituirebbe un risparmio di tempo e denaro che sarebbero destinati alla formazione del personale dipendente a cui verrebbe affidato tale compito, che dovrebbe cimentarsi con le tematiche della privacy e della protezione dei dati personali, non esattamente il pane quotidiano della maggior parte delle realtà scolastiche. Per approfondire la questione si veda l’articolo il paradosso del DPO.

dpo esterno
Scopri di più sull'autore di questo articolo!

Il ruolo del DPO nelle scuole Leggi tutto »

servizio dpo

DPO: chi è costui?

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Sales Executive.
Privacy Consultant- PrivacyLab Certified,
DPO UNICERT/DAKKS and UNI 11697:2017,
Certified Innovation Manager,
Lead Auditor ISO/IEC 27001:2017

Laureato e Dottorato in Chimica con attività di ricerca e pubblicazioni nell'ambito della Chimica Computazionale, dove sviluppa il suo interesse per l'informatica e i grandi numeri ( quelli che oggi chiamano tutti Big Data).
Un volta uscito dal mondo accademico si è formato prima sulle vendite, poi sul marketing ed infine sulla gestione delle relazioni e delle reti tra imprese ed imprenditori.
Dal 2018 Socio di Alchimie digitali, e socio fondatore di Agile DPO Fa parte della "prima classe" dei consulenti certificati e tra i primi in Italia ad avere la doppia certificazione come DPO sia DPO UNICERT/DAKKS che UNI 11697:2017.
Di recente ha completato la certificazione di Lead Auditor ISO 27001 ed è nell'elenco dei Manager dell'Innovazione del Ministero dello Sviluppo Economico.

Ormai sapete tutti cosa sia il GDPR (se non lo sapete leggete QUI, e cospargetevi anche il capo di cenere! È il 2020, non avete più scuse), e abbiamo già parlato della Privacy by Design e dell’importanza di integrare il concetto di privacy nelle fondamenta stesse dell’azienda.

Ci sono parecchie cose da fare, ma chi si occuperà di controllare che tutto fluisca nel modo giusto?

È ora di introdurre un nuovo acronimo: il DPO.

Il Data Protection Officer


Tradotto suonerebbe circa come l’ufficiale protezione dati. Non so voi, ma di primo acchito io me lo immagino minaccioso come un sergente dei marines, che marcia avanti indietro urlando direttive con mani alla cintura, sguardo truce, e poco incline a fare battutine.

Ma le cose non stanno così: prima di farci prendere dal panico, cerchiamo di capire chi è, cosa fa, e soprattutto quando è necessario averlo in azienda.

DPO, chi era costui? 

Cominciamo col dire che il DPO è un supervisore. È l’anello di congiunzione tra il Garante della privacy e la vostra azienda. È a lui che ci si rivolge, e nel contempo è lui che controlla. In pratica svolge le funzioni di sorveglianza della normativa GDPR, offre consulenza al titolare del trattamento, e, quando richiesto, dà il suo parere. L’assunzione di questa figura è obbligatoria per la pubblica amministrazione. Diverso il discorso per il privato.

Le  società che devono coinvolgere un DPO sono quelle che hanno nel loro core business il monitoraggio di dati particolari, come quelli giudiziari, biometrici o della salute, oppure il monitoraggio delle persone. È inoltre suggerito per i concessionari di pubblico servizio, le cosiddette utilities come le società di gestione e fornitori di acqua, gas, ed energia.

Altri esempi di aziende private tenute (o per cui è fortemente consigliato) a designare un DPO sono: società finanziarie, di credito, assicurative, caf e patronati, partiti politici, ospedali privati, laboratori privati, terme, società operanti nelle utilities, call center, etc. 

C’è poi un altro aspetto da sottolineare. Oggi che il tema della tutela della privacy e della protezione dei dati personali è diventato di pubblico dominio e gli utenti sono sempre più consapevoli dei loro diritti e delle trappole in cui rischiano di cadere, avere in azienda un DPO è un ulteriore elemento di fiducia e trasparenza per i consumatori che si rivolgono all’azienda.

DPO esterno o interno?

Detta così, sembra quasi che parliamo di qualche dispositivo medico, ma la questione, riguardo al DPO, non è così banale.

Consideriamo prima di tutto che il nostro supervisore, ora più gentile e collaborativo, necessita di personale, locali, attrezzature e, possibilmente, di una linea di budget: tutti strumenti che gli consentono di svolgere i compiti per i quali è stato chiamato in azienda. 

Scartabellando tra i codici del GDPR, l’art 37, par. 6 ci informa che il DPO può essere “un dipendente, oppure assolvere i suoi compiti in base ad un contratto di servizi”, può cioè, essere una persona esterna all’azienda. Elemento che contribuisce anche a fugare qualsiasi conflitto di interessi.

A seguito di una sentenza per un concorso di assunzione per DPO di una Asl piemontese, è stato specificato che anche una persona giuridica, cioè una società, può essere nominata come DPO esterno. Un’azienda permette, tra l’altro, di mettere in rete figure attinenti a diverse discipline – legali, periti, ingegneri, consulenti – per una gestione sicura dei dati personali.

Affidandoti ad AgileDPO, potrai avere a tua disposizione l’esperienza di un team multidisciplinare formata da DPO esperti e certificati. 

Se hai domande a proposito della nomina di un DPO, o più in generale, sul mondo della Protezione dei Dati, puoi contattarci tramite e-mail, Facebook o Linkedin oppure semplicemente chiamandoci!
In alternativa se preferisci, puoi anche compilare il nostro Form di contatto QUI!

Siamo a tua disposizione, per ogni quesito!

Scopri di più sull'autore di questo articolo!
Contatti

DPO: chi è costui? Leggi tutto »

Privacy vs protezione dei dati

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Siete pronti? Il garante della privacy non è il garante della privacy, ma è il garante per la protezione dei dati personali. Non è uno scioglilingua: le cose stanno proprio così, perché privacy e protezione dei dati, anche se spesso usati come sinonimi, in realtà sono concetti diversi, e forse è arrivato il momento di fare chiarezza.

 

Facciamo un minimo di cronistoria. Il concetto di privacy è vecchio come l’uomo e fa parte della sua storia nell’arte, nella società e nei rapporti tra le persone. L’idea che quello che faccio tra le mura di casa mia rimane un fatto mio personale risale probabilmente allo strutturarsi della vita sociale.

 

Ma la privacy ha anche un altro aspetto, di natura più giuridica, che nasce negli Stati Uniti nel 1890, con l’articolo pubblicato sulla Harvard Law Review “Right to privacy”, scritto da due avvocati di Boston: Samuel D. Warren e Louis D. Brandeis. Il principale concetto che ne emerge è quello di privacy come difesa del proprio cortile privato dalle invasioni dei giornalisti e della stampa scandalista che in quegli anni muoveva i primi passi.

È quindi una privacy strettamente correlata all’aspetto della protezione domestica, della persona e della sua intimità.

 

L’idea di protezione dei dati, invece, ha un’origine più europea, e nasce nel ‘900 durante le esperienza del totalitarismo, come protezione dei miei dati dal controllo dello stato che può poi usufruirne per attività discriminatorie o di profilazione legate poi agli episodi drammatici che hanno segnato il secolo scorso (sterminio minoranze, guerra fredda, schedature dei dipendenti, etc.).

 

Cambia quindi l’approccio: al centro non c’è più soltanto la vita intima delle persone (come nella privacy nord americana), ma è una protezione del dato del soggetto in società. Se quando parlo di privacy intendo quindi il mio personale concetto di ciò che ritengo inviolabile della mia vita privata e quello che invece decido di divulgare liberamente; la protezione dei dati, invece, è la normativa che la Comunità europea ha partorito attraverso numerosi passaggi per proteggere il cittadino nel momento in cui la società ha raggiunto un alto livello di controllo.

 

Protezione dei dati: il cittadino al centro del regolamento

 

L’avvento della società digitale ha alzato ulteriori minacce alla privacy che la normativa per la protezione dei dati cerca di contenere. Sempre di più privacy e GDPR sono accomunate, spesso si intersecano, ma ancora: non sono la stessa cosa. La privacy tra cittadini è già tutelata dal diritto civile, mentre la protezione dei dati interviene quando la persona, o meglio la sua rappresentazione elettronica/digitale, entra in contatto con le grandi aziende.

 

La confusione rimane, soprattutto quando sono io cittadino disposto a cedere i miei dati in cambio di servizi che necessitano di quei dati per funzionare correttamente. Se ci rivolgiamo ai social network il discorso si complica ancora di più, perché in questo caso l’esibizione e la divulgazione del dato sensibile e delle informazioni personali della propria vita privata diventa la regola.

 

Rimaniamo però nell’ambito del GDPR. L’elemento cardine di questo regolamento è che è stato costruito attorno ai diritti della persona. È difficile trovare nel regolamento delle disposizioni che siano favorevoli o agevoli all’impresa.

 

Questo significa che i dati raccolti dalle aziende (siano esse pubbliche o private), devono essere protetti, tutelati, e tenuto riservati, attraverso i principi di liceità e trasparenza. L’azienda, inoltre, è tenuta ad utilizzarli solo per la necessità che ne ha richiesto la raccolta, e non per altre.

 

Il GDPR interviene proprio in questo punto del rapporto, controllando il trattamento dei dati da parte degli enti che li raccolgono, cioè che non ne facciano un uso improprio e pretendendo anche la protezione nei confronti di tentativi di data breach. Inoltre i gestori dei dati devono rimanere a disposizione dell’utente qualora volesse richiederne la modifica o la cancellazione.

 

Che il dato sia raccolto attraverso il mio consenso, come ad esempio la necessità di rivelare certi particolari sensibili ad un’azienda sanitaria per un intervento, o che siano stati presi involontariamente, come può capitare a Google Street view nella realizzazione delle mappe fotografiche della città, la persona proprietaria di quel dato ha sempre diritto di intervenire. Il GDPR obbliga l’azienda a rispondere alla richiesta, ed eventualmente la sanziona se questo non avviene.

 

È quindi un regolamento fondamentale in un periodo in cui la circolazione dei dati è continua (app, social network, aziende gestione utilities, etc.) e in cui i dati acquistano sempre più valore sociale ed economico.

Proprio per questo è importante continuare a fare una corretta distinzione tra privacy e data Protection.  Perché il GDPR è il risultato di una specifica tradizione europea di protezione del cittadino non tanto – o non solo – della sua sfera privata (per le querelle tra cittadini ci pensa il diritto privato), ma in quadro sociale di tutela dei dati sensibili contro l’occhio indiscreto del grande fratello.

dpo esterno
Scopri di più sull'autore di questo articolo!

Privacy vs protezione dei dati Leggi tutto »

Nomina a responsabile esterno – Come tutelarsi?

L'autore

Picture of BEATRICE BARDELLI

BEATRICE BARDELLI

DPO
Esperta in revisione documentale e compliance
Scienze forensi e Criminologiche
Project management
Consulente Certificato PrivacyLab

Bio dell'Autore

Per adeguarsi a quanto richiede il GDPR non basta predisporre una informativa ben fatta. Ci sono svariati adempimenti da rispettare per poter trattare i dati in modo lecito.

Uno di questi è la nomina a responsabile esterno quando si decide di esternalizzare un servizio.

Come abbiamo spiegato in un precedente articolo del nostro blog, il titolare ha l’obbligo e la responsabilità di nominare il proprio fornitore e assicurarsi di fornirgli tutte le istruzioni affinché sappia come deve trattare in dati, quali sono i suoi obblighi e quali garanzie per la sicurezza dei dati deve adottare.  

Purtroppo, però, dopo più di 2 anni dall’entrata in vigore del GDPR ci imbattiamo ancora in vicende che vedono aziende sanzionate per non aver nominato i propri fornitori come responsabili esterni, secondo quanto previsto dall’articolo 28 del Regolamento.

È il caso della Regione Lazio che è stata sanzionata per 75 mila euro per non aver nominato responsabile del trattamento dati la società di call center a cui aveva affidato la gestione delle prenotazioni di prestazioni sanitarie dei propri utenti. L’assenza di una chiara definizione del rapporto tra il titolare e il responsabile comporta la mancanza di una base giuridica sulla quale dovrebbe basarsi il trattamento dei dati: per un decennio quindi questa società ha trattato in maniera illecita i dati a lei affidati.

Il responsabile esterno è sempre corresponsabile per una mancata nomina?

In generale la mancata nomina a responsabile esterno rende vulnerabile e a rischio di sanzione sia il titolare del trattamento che il fornitore stesso, perché avrebbe dovuto regolarizzare la sua posizione per garantire un corretto trattamento dei dati secondo le istruzioni che il titolare avrebbe dovuto fornirgli.

Diversamente da quanto è successo per il caso “Roma Capitale” nella vicenda che stiamo analizzando, però, la società coinvolta non è stata questa volta sanzionata dal Garante ma soltanto ammonita. È emerso, infatti, che la società di call center aveva ripetutamente ribadito alla Regione Lazio la necessità di essere nominata responsabile del trattamento e aveva messo in atto misure conformi a quanto richiesto dal GDPR, istituendo il registro dei trattamenti e adoperandosi per garantire adeguate misure di sicurezza.

Si evince, quindi, che non sempre l’assenza della nomina si possa imputare ad una disattenzione o a una scelta del responsabile esterno, ma capiti anche che i titolari, che per primi dovrebbero garantire la sicurezza e l’implementazione di tutte le misure necessarie a trattare i dati dei loro interessati, tralascino una parte importante dei loro obblighi.

Non è detto che un’indagine ispettiva che, in prima battuta, non riguarda la propria azienda ma ne coinvolge una alla quale si offrono servizi non comporti, in un secondo momento, anche dei controlli su di noi. È bene quindi non farsi trovare impreparati!

È fondamentale impegnarsi a implementare quanto richiesto dal GDPR e a sollecitare i titolari ai quali si sta fornendo un servizio affinché venga sottoscritta una nomina (preferibilmente prima di iniziare ad erogare la prestazione), proprio perché, se c’è evidenza che si siano compiute tutte le operazioni necessarie richieste, il rischio di incorrere in una sanzione pecuniaria, in caso di ispezioni, si riduce e può trasformarsi in un semplice ammonimento, come abbiamo visto.

È per questo che, come DPO esterni, consigliamo sempre alle società che forniscono servizi, di includere nei propri contratti l’auto-nomina a responsabile esterno ex art. 28 GDPR, per tutelare sé stessi e per offrire un servizio attento anche a quei titolari un po’ disattenti.

dpo esterno
Scopri di più sull'autore di questo articolo!

Nomina a responsabile esterno – Come tutelarsi? Leggi tutto »

Accountability nel GDPR: significato e applicazione.

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Nella selva di termini anglosassoni e acronimi che ruotano attorno alla privacy, oggi affrontiamo l’accountability. Qui le cose si complicano, perché il termine non ha una traduzione semplice e lineare, e identifica un concetto molto ampio.

Lo ignoriamo e passiamo oltre? Assolutamente no, perché all’interno del GDPR, l’accountability svolge un ruolo di primo piano.

 

Partiamo dallo stato della questione. Nell’articolo 24 del GDPR così viene definito il termine:

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

Siamo alla prova del fuoco. Arriva il momento in cui bisogna dimostrare che le misure adottate per la protezione dei dati “funzionano”. In questa fase si situa l’accountability, che spesso viene tradotto, in modo incompleto, con responsabilizzazione o responsabilità. Incompleto perché la “responsabilità” è compresa all’interno del concetto di accountability, ma non lo esaurisce.

Responsabilità, perché, appunto, di fronte ad un problema di gestione dei dati si devono avviare tutte le procedure necessarie atte a risolverlo. Il trattamento, insomma, deve agire bene, e si deve dimostrare di aver fatto tutto il necessario e di averlo fatto bene, progettando, alla base, tutta l’impalcatura nel modo corretto.

 

Ma, come detto, l’accountability non è solo questo.

 

Accountability: dalla definizione all’applicazione

 

Come si faceva ai tempi della scuola, partiamo dal dizionario. L’Oxford Dictionary, definisce accountability: “Il fatto o la condizione di essere accountable”. Perfetto. Quindi cerchiamo accountable, e troviamo due definizioni:

  1. Required or expected to justify actions or decisions. Responsible.
  2. Able to be explained or understood.

Tradotte:

  1. Quando è necessario o previsto giustificare le proprie azioni o decisioni. Responsabile.
  2. Capace di essere spiegato o capito.

Quindi, la responsabilità c’è, ma non è sola. Si trova insieme ad un altro concetto che in italiano potremmo tradurre con: dare conto di…, giustificare…, saper dimostrare cosa si è fatto e per quale motivo.

 

Ecco che il concetto di accountability, declinato sul GDPR, comincia a delinearsi meglio, ovvero non solo la responsabilità nell’attuare le misure messe in campo, ma anche nella dimostrazione che queste sono efficaci, funzionali e ben progettate. E soprattutto che questa funzionalità è verificabile.

 

Ora facciamo un passo indietro. Ricordate quando abbiamo parlato di Privacy by design, ovvero del concetto di iniettare la tutela dei dati direttamente nelle fondamenta dell’azienda, in modo da non renderla un elemento posticcio e accessorio ma integrato nel sistema? Ecco, qui stanno le basi dell’accountability, in un atteggiamento proattivo, ovvero che cerca di prevenire il problema, che ha definito gli obiettivi in anticipo, con attenzione, attraverso un sistema coerente ed efficace.

Il contrario di Accountability

 

Quando questo meccanismo si inceppa o non è calibrato bene alla base, l’accountability rischia di trasformarsi nel più italico “scaricabarili”. L’iter è quello ben conosciuto: si presenta un problema, il processo attivato non è quello giusto, o non ha funzionato come ci si aspettava, allora la responsabilità viene rimbalzata tra il responsabile del trattamento dei dati, il tecnico informatico, i commerciali, il Ceo e via così fino a che qualcuno rimane senza buoni argomenti.

 

Tutela dei dati: dall’adeguamento alla responsabilità

 

L’accountability, insieme alla Privacy by design, ci rammentano che per aver un giusto approccio al trattamento dei dati non è sufficiente adeguare le misure, inserire un banner, un modulo da cliccare o compilare e basta. Giusto per dire: “ho adempiuto agli obblighi di legge e ora riprendo la mia attività”.

 

Poter dimostrare l’efficacia delle misure, essere proattivi, vuol dire conoscere bene le misure da attuare e saper rendicontare l’atteggiamento tenuto. Ovvio che questo non mette al riparo da errori o sviste, ma, di fronte ad un accertamento, è comunque una condizione di favore nell’aver dimostrato di aver arginato i rischi, tale da poter persino trasformare la sanzione in un semplice ammonimento.

Se “l’accountability funziona” vuol dire che il processo è

  • trasparente
  • funzionale
  • comprensibile.

Rileggendo ora l’articolo 24 del GDPR – quello che introduce il principio dell’accountability – il suo significato ci appare più chiaro.

“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

 

Chi ha la responsabilità del trattamento deve quindi dimostrare con quali modalità ha tutelato i dati e quali sono state le decisioni che lo hanno portato a determinare la scelta. Se la privacy by design è stata ben architettata, ha già tutto sottomano.

 

Se desideri verificare lo stato di accountability della tua organizzazione, puoi contattarci attraverso il form di contatto.

Accountability
Scopri di più sull'autore di questo articolo!

Accountability nel GDPR: significato e applicazione. Leggi tutto »