General data protection regulation: è questo il nome del regolamento Ue che presidia la privacy e il rispetto dei dati personali di ogni cittadino europeo nel continente e nel mondo. Un acronimo a cui si affianca un altro inglesismo: Data Protection Officer, ossia la sentinella delle informazioni custodite e trattate in un’azienda. Ma di cosa parliamo veramente? Perché da questi termini dipende la nostra sicurezza? In questa intervista ce lo spiega Daniele Bianchi, Dpo di Eolo
Da una parte il Gdpr (General data protection regulation), ossia il regolamento europeo su privacy e dati entrato in vigore nel 2018. Dall’altra la professione del Dpo (Data Protection Officer). Inglesismi, sigle sconosciute ai più, ma di grande importanza per la sicurezza informatica e la protezione delle informazioni di aziende e privati. Come dimostra l’esperienza di Daniele Bianchi che dell’Internet service provider di Busto Arsizio, Eolo, è proprio Dpo da quattro anni.
Di che cosa si occupa questa figura sempre più diffusa tra le imprese?
Il Dpo ha un ruolo che è definito dal Gdpr, che personalmente ritengo possa essere riassunto, fuori dalla definizione formale, come quello di professionista della digitalizzazione che si occupa di privacy, con un ruolo di coordinamento nel trattamento dei dati personali che, con la sua attività multidisciplinare, contribuisce nella creazione della fiducia verso il mercato, l’Autorità Garante e verso i clienti. Il Gdpr prevede che una organizzazione designi un Dpo in caso di amministrazioni dello Stato, enti pubblici nazionali, regionali e locali. In questi casi la designazione di un Dpo è obbligatoria. Per quanto riguarda i soggetti privati, sono tenuti alla designazione del Dpo le imprese il cui core business consista in trattamenti che richiedono il “monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati”, ovvero che svolgono processi di gestione di rilevanti volumi di dati personali o di gestione dei dati comunemente detti ‘sensibili’. Sono così tenuti alla nomina, a titolo esemplificativo: banche, assicurazioni, finanziarie, società di recupero crediti, istituti di vigilanza, le cosiddette “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas), imprese di somministrazione di lavoro e ricerca del personale; società di call center, società di informatica e società che lavorano nel settore della salute. Il Dpo può essere un dipendente oppure un soggetto esterno. Si occupa di fornire consulenza all’azienda - anche interagendo direttamente con i dipendenti che eseguono il trattamento dei dati - in merito agli obblighi previsti in materia di protezione dei dati personali e ne sorveglia l’osservanza, inclusa la sensibilizzazione e formazione del personale. Nello svolgimento della propria attività, esprime pareri in merito al trattamento dei dati personali e si occupa in particolare della valutazione d’impatto (la cosiddetta Dpia) che deve essere svolta qualora un trattamento di dati possa presentare un rischio elevato per i diritti e le libertà delle persone.
Quanto è importante l’applicazione del Gdpr nella protezione dei dati in azienda e nella Sicurezza Informatica in generale? E qual è il ruolo del Dpo in caso di incidente rilevante come un data breach o un attacco ransomware?
Il Gdpr pone con forza l’accento sul principio di responsabilità (accountability) delle aziende, ossia, sull’adozione di comportamenti proattivi tali che possano dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento. Viene affidato alle aziende il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative indicate nel Regolamento. Nella “data economy”, le aziende per lavorare e prosperare in ambienti concorrenziali hanno bisogno di avere accesso a grandi e diversi insiemi di dati, anche personali. In questo contesto le esigenze economiche di gestione dei dati devono contemperarsi con i principi che sono alla base della protezione dei dati di carattere personale: se una organizzazione non è in grado di dimostrare e attuare una adeguata protezione dei dati personali alla base dei propri processi, si espone a sanzioni che possono danneggiare sia il conto economico che la brand reputation. Nonostante le misure di sicurezza implementate per evitarne l’accadere, in caso di incidente di sicurezza rilevante è sempre opportuno coinvolgere il Dpo: in primis per l’assistenza necessaria per determinare se l’incidente è da considerarsi un data breach o meno e, di conseguenza, per la valutazione circa la necessità di notifica all’Autorità Garante e di comunicazione dell’accaduto agli interessati.
Il Gdpr pone con forza l’accento sul principio di responsabilità (accountability) delle aziende, ossia, sull’adozione di comportamenti proattivi tali che possano dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento
Come può un’azienda conciliare le policy che governano la protezione dei dati con l’allargamento della “superficie di rischio” derivante dallo smart working?
Con lo scoppio della pandemia lo smart working è entrato prepotentemente nell’organizzazione del lavoro per Eolo, così come è avvenuto in molte altre imprese. L’elevato tasso di digitalizzazione dei nostri processi aziendali e la cultura organizzativa preesistente hanno agevolato notevolmente l’adozione della nuova modalità di approccio al lavoro. Il primo periodo di sperimentazione (forzata), è stato un successo: tutti hanno approcciato questa sfida con il giusto spirito di adattamento, contribuendo così al raggiungimento di importanti risultati. Così, nell’attuale fase di ripartenza, con lo sguardo rivolto al lungo periodo (seppur nella consapevolezza di non essere fuori dall’emergenza) l’azienda prevede di mantenere il ricorso al lavoro agile, ponendo la dovuta attenzione alla formazione online, al comfort della postazione di lavoro e al mantenimento del “work life balance”. Conseguentemente, è corretto valutare l’ampliamento della superficie di rischio, in particolare, tenuto conto delle supply chain integrate che portano tale ampliamento dei rischi a dover essere valutati come duraturi. Gli obiettivi delle policy di sicurezza di un’azienda, in estrema sintesi, consistono nel garantire la disponibilità (accessibilità), l’integrità (accuratezza e completezza) e la riservatezza (accessi autorizzati) dei dati, anche quelli personali. La declinazione delle misure previste nelle policy può avvenire su due livelli e sulla loro combinazione: tecnico e organizzativo. Fra le minacce cyber che si sono più approfittate della situazione di veloce passaggio allo smart working dovuto alla pandemia, certamente c’è il phishing nella sua variante dello spear phishing, ovvero mail di phishing appositamente scritte per la vittima. Generalmente i cybercriminali si spacciano per un collega o per un superiore, chiedendo di effettuare delle operazioni (inviare una password, effettuare un bonifico, controllare un file...) firmandosi a suo nome e in taluni casi utilizzando anche la firma aziendale per aumentare il realismo. In questo contesto, ritengo che l’allargamento della superficie di rischio si possa governare, soprattutto nella dimensione organizzativa dell’implementazione delle misure di sicurezza, con dosi massicce di formazione, attività che spesso è l’unica reale mitigazione possibile contro molte minacce, il phishing primo fra tutte.
La pandemia ci ha messo di fronte ad alcune situazioni dove il Gdpr è sembrato un limite all’operatività dettata dall’emergenza. È ancora uno strumento adeguato alle sfide del prossimo futuro?
Durante la pandemia, molti governi hanno dovuto mettere in atto misure senza precedenti per tracciare e cercare di contenere il virus, sfruttando le tecnologie digitali disponibili per analizzare e collezionare i dati. Dal canto loro, le Autorità Garanti hanno spesso e giustamente richiamato il rispetto dei principi fondamentali di protezione dei dati personali e il necessario bilanciamento tra diritti di pari rilevanza: da una parte, la libertà personale e il diritto alla protezione dei dati personali, dall’altra, il diritto alla salute individuale e pubblica. Il Gdpr, pur riconoscendo il trattamento dei dati personali come diritto fondamentale, esclude che si tratti di una “prerogativa assoluta”, affermando che questa tutela vada contemperata con gli altri diritti fondamentali. Più in generale, penso che l’impatto del Gdpr sia stato rivoluzionario: basta considerare quanto sia innovativa l’idea concepita nel Regolamento del distacco fra territorialità e diritti degli interessati, ovunque siano: se sei cittadino Europeo, il Regolamento ti garantisce protezione indipendentemente dal Paese dove sei o dove si trova la società che tratta i tuoi dati. Ritengo che il Gdpr sia stato scritto con le giuste intenzioni, contenga un alto livello di principi tecnologicamente neutrali, orienti efficacemente rispetto alle responsabilità (accountability) ed in generale contenga concetti e idee estremamente corretti e per questo possa rimanere adeguato anche alle sfide del prossimo futuro.
Per saperne di più leggi anche: