I 3 cappelli del DPO
Il GDPR tutto sommato è piuttosto semplice da applicare e solo in alcuni specifici casi previsti dal Reg. UE 679/2016 è obbligatorio.
Semplicemente per essere sulla buona strada nell'applicare il GDPR, ogni qualvolta si fa un trattamento di dati personali, ci si dovrebbe fermare e ci si dovrebbe porre alcune domande?
Le domande non sono particolarmente difficili ma vanno poste, potrebbero apparire un'inutile scocciatura ma sono di buon senso, se ci si pone nei panni dell'Interessato, l'unico e vero proprietario dei dati.
Il primo grande errore che si commette è di voler continuare a gestire i dati come si era soliti fare prima dell'entrata in vigore del GDPR, quando invero già esisteva una normativa di riferimento, forse una pò bistrattata o poco applicata, ma pur sempre valida, il vecchio e caro "Codice Privacy" alla cronaca D.Lgs.196/2003.
Il secondo grande errore è scegliere un DPO inadatto, inesperto o sprovvisto di tutte le necessarie competenze.
Le competenze necessarie a coprire tutte le specifiche del GDPR sono di 3 macrotipologie diverse. Per averne piena compiutezza bisognerebbe poter indossare contemporaneamente 3 diversi cappelli.
Ma quali sono questi 3 cappelli?
I 3 cappelli corrispondono a 3 competenze molto distinte fra loro.
Il cappello del legale va indossato prima ancora che il dato venga trattato.
Dovremmo chiederci se il trattamento dei dati sia conforme al Regolamento europeo 679/2016 (GDPR), già in fase di progettazione dell'attività e non dopo. Il GDPR chiama questa attitudine "Privacy by design”. Nella pratica quotidiana corrisponde alla semplice domanda: “Possiamo farlo?”.
Il cappello del sistemista gestionale va indossato solo dopo che la precedente domande ha avuto esito positivo. Appurato che si possa svolgere il trattamento dati in questione, dovremmo gestirne l'acquisizione dei dati, dove questi transitino all'interno dell'organizzazione, chi vi abbia accesso, dove vengano conservati.
Il capello del tecnico della sicurezza informatica va indossato simultaneamente, se non addirittura molto prima. Dovremmo infatti preoccuparci della sicurezza dei dati incamerati, della loro conservazione, della loro riservatezza, integrità, disponibilità. Dovremmo garantire la sicurezza della nostra infrastruttura ICT e del nostro patrimonio informativo.
Difficilmente una singola persona può calzare tre cappelli.
Il cappello del legale
Il cappello del legale non deve essere per forza indossato da un legale ma sicuramente da qualcuno che abbia almeno dimestichezza con il testo del GDPR, con le Lineguida di EDPB - Europea Data Protection Board - e con i provvedimenti del Garante per la protezione dei dati italiano.
Non tutte le realtà necessitano di un DPO - Data Protection Officer, ma quasi tutte, se non tutte, fanno trattamento dati. Avere a portata di voce qualcuno all’interno e/o all’esterno dell’organizzazione, che mastichi quotidianamente un pò di privacy potrebbe essere molto utile.
Cosa accade solitamente? Prima si decide di fare una qualche nuova operazione (servizio, attività, prodotto), che al giorno d’oggi nell’Era dell’Informazione equivale quasi sempre a fare trattamento dati. Successivamente alla messa in pista del progetto, a qualcuno si accende il “Privacy allert” una specie di lucina rossa auto-installata dalle ultime e recenti news sulle multimilionarie sanzioni inflitte dal Garante della Privacy. Di conseguenza si cerca di correre ai ripari, cercando di mettere una pezza giustificativa.
Per essere conformi invece, prima di mettere in pista una qualsiasi operazione, che implichi il trattamento dei dati, dovremmo interrogarci sulle finalità del trattamento, sulle basi giuridiche che lo rendono lecito, sulla natura dei dati trattati e se si rispettino i principi e le prescrizioni del GDPR. Dovremmo predisporre i necessari documenti di corredo, preoccuparci di elementi quali i diritti degli interessati, i tempi di conservazione e molto altro ancora.
Tutto ciò andrebbe fatto dopo che ci si è chiesti: “Posso farlo? posso fare questo trattamento di dati?”.
Il cappello del sistemista di gestione
Il cappello del sistemista di gestione non deve essere per forza indossato da un ingegnere gestionale ma sicuramente da qualcuno che abbia almeno dimestichezza con processi, flussi informazioni, sistemi organizzativi.
Questa capacità è fondamentale se si vuole che la privacy non sia un mero castello di carta. È fondamentale colmare le macroscopiche difformità fra costrutto documentale e consuetudini quotidiane del personale.
Cosa accade solitamente? Si redige una documentazione formalmente ineccepibile ma che purtroppo descrive una situazione difforme dalla realtà. Ad esempio le nomine degli autorizzati al trattamento e i reali accessi documentali, siano essi digitali o analogici, sono coerenti? La segregazione degli accessi infatti è spesso fallace e numerose sanzioni sono già state inflitte per questa mancanza.
I dati una volta incamerati dall’organizzazione vengono replicati, messi a sistema, consultati, inviati, archiviati, moltiplicati. Tale attività raramente è governata e monitorata.
Il cappello del ICT
Il cappello del ICT manager non deve essere per forza indossato da un ingegnere informatico ma sicuramente da qualcuno che abbia almeno dimestichezza con data security, cyber security, back up, firewall, pseudonomizzazione, crittografia, patch, registri risorse IT, BYOND Policy, Penetration test, Vulnerability assesments.
Queste competenze sono fondamentali se si vuole che il patrimonio informativo sia in sicurezza sia da eventi interni che esterni.
Cosa accade solitamente? Il personale non ha ricevuto adeguata formazione in tema di data security e perpetua comportamenti pericolosi. Il sistema non è monitorato a dovere, i back up non vengono testati, i sistemi aggiornati. Spesso l’investimento in cyber security è visto come un mero costo e ci si preoccupa solo a seguito di violazioni e/o data breach.
