DPO GDPR

Con l’introduzione del GDPR (Regolamento Generale sulla Protezione dei Dati) è stata creata anche la figura del DPO (Data Protection Officer), colui cioè che cura i rapporti con l’Autorità Garante per la Protezione dei dati personali per conto dell’organizzazione/azienda. Un ruolo delicato e mai di facciata.

Chi è il DPO per il GDPR e cosa fa

Il DPO è un professionista (interno o esterno all’azienda, poco importa) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica o privata), affinché questi dati siano trattati nel rispetto delle normative privacy europee e nazionali.

I dati personali dei quali si deve occupare il DPO sono particolarmente delicati e, come enuncia il GDPR, sono: “le categorie particolari di dati personali (ex dati sensibili) ed in particolare i dati personali che “rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

Il DPO: un aiuto per l’azienda, oltre che un obbligo di legge

Quello dei dati personali è un business milionario, remunerativo quanto illegale, generato dal furto di dati sensibili, personali e aziendali, che si trovano su diverse piattaforme informatiche (cloud, siti internet, intranet, social media, etc.). Nel cyberspazio, cioè quello spazio virtuale creato da computer, reti telematiche e ogni altra tecnologia informatica ed elettronica, è una realtà concreta che si compone di un complesso di informazioni e dati (personali e non), dati che circolano ininterrottamente nello spazio virtuale, in un sistema di collegamenti e interazioni continue che, arricchendosi di ulteriori dati, arrivano a definire profili dettagliati su persone, cose, aziende, luoghi e bisogni.

E l’identità di ciascuna persona è ormai perfettamente tracciata nel cyberspazio, grazie all’interazione tra essere umani ed esseri umani e device. Qualche esempio? Il CV online; l’anagrafica dei clienti di un supermercato con le carte fedeltà; lo storico dati dei pazienti di uno studio medico; il database dell’Agenzia delle Entrate, INPS, ASL, etc. E tutti questi dati personali sono alcuni, oltre ad altri ancora più specifici, presenti in un’azienda.  Da questi dati è possibile estrapolare nomi, indirizzi di magazzini e di consegne, luoghi di lavoro e di smart working, abitudini di spesa e liste di fornitori e clienti. Si pensi all’ipotesi di hackeraggio nei confronti di qualunque database aziendale, anche di un’azienda di piccola o di media dimensione. L’hacker, in caso di riuscita positiva al suo attacco informatico, avrebbe a disposizioni i dati contrattuali dei dipendenti, dei collaboratori, dei clienti, i budget disponibili e in allocazione, i bilanci e le spese. E potrebbe ricattare il titolare dell’azienda.

Proteggere i dati di un’azienda è quindi molto importante, al di là dell’obbligo indicato dal GDPR. Questi dati, infatti, contengono notizie personali e finanziarie, ma anche intellettuali e industriali. Il furto di tutto quanto concerne brevetti, processi aziendali e simili, affidato nelle mani sbagliate, condurrebbe ad un’alterazione significativa della privativa industriale aziendale, ripercuotendosi negativamente sulla competitività e sul posizionamento di mercato della malcapitata azienda.

Si pensi al danno all’immagine e alla reputazione di un’azienda che si lascia depauperare dei dati sensibili dei propri clienti. L’inevitabile perdita di fiducia dei clienti esistenti (e dei potenziali nuovi), comporterebbe un crollo nelle vendite nonché un calo di partner commerciali.

La figura del DPO quindi non risponde solo ad un obbligo legale, ma rappresenta un elemento fondamentale per un’azienda che non voglia rischiare di perdere clienti e denaro.

DPO GDPR: i settori più interessati alla tutela dei dati personali

Ogni azienda, piccola o grande che sia, custodisce dati sensibili, propri o di persone. Ma ci sono sicuramente settori che custodiscono una mole impressionante di dati sensibili e che sono per questo più a rischio di altri.

Quello sanitario è tra i settori più critici sotto il profilo della sicurezza informatica: come rilevato dal Rapporto Clusit, i cyber attacchi ai suoi danni, nel 2019, sono aumentati del 17% rispetto all’anno precedente. La ragione sta nella progressiva digitalizzazione del mondo sanitario, con cartelle cliniche informatizzate e diffusione dei dispositivi IoMT – Internet of Medical Things, tra cui strumentazioni connesse a Internet – che mandano online dati anagrafici dei pazienti, anamnesi, immagini, ricette mediche, referti di esami e informazioni riguardanti le patologie diagnosticate – e dispositivi indossabili da parte del personale – sensori inseriti all’interno di orologi, di braccialetti o di occhiali – atti a rilevare i parametri vitali dei pazienti. Altro settore è quello degli studi legali e commercialisti: i dati con cui un avvocato viene in contatto nell’esercizio della professione sono, per natura, particolarmente sensibili. Oltre ai semplici dati anagrafici, un legale viene immediatamente a conoscenza dei dati giudiziari dei propri assistiti, oltre a quelli che possono rivelare l’orientamento religioso o politico (si pensi all’appartenenza ad una sigla sindacale, riconosciuto dato sensibile dallo stesso Garante), ma anche il quadro completo del contesto familiare, compresi i dati di minori, oltre a quelli di tutte le controparti e di coloro con cui si può venire in contatto quotidianamente. Si pensi non solo a testimoni o consulenti, ma anche carabinieri o agenti di PS con i loro gradi e mansioni ovvero, in procedimenti penali con pluralità di imputati, i dati personali di tutti questi. Una mole di dati su cui, purtroppo, spesso non si riflette. Per i commercialisti, basti pensare alla dichiarazione dei redditi, nella quale confluiscono certificati medici ovvero dati relativi ad esempio a donazioni effettuate nei confronti di enti religiosi che fanno emergere convinzioni private del contribuente.

E poi banche, istituti finanziari e agenzie immobiliari: per le prime, una delle minacce più grandi è il furto d’identità. Secondo i dati raccolti dall’Osservatorio CRIF, ogni anno in Italia ci sono circa 32.000 casi di frodi creditizie perpetrate attraverso il furto d’identità dei clienti, per un costo stimato di circa 135 milioni di euro nel 2019.

La figura del DPO, richiesta dal GDPR, non deve quindi essere vista come una spesa e una seccatura inutile per la piccola o media azienda, ma come un investimento che a lungo termine può addirittura aiutare nel processo di incremento dei ricavi.

  New call-to-action