Data Protection Officer, il custode della privacy

L’esigenza di competitività in un mondo globalizzato e tecnologicamente evoluto come quello odierno ha favorito, specie negli ultimi anni, un’importante crescita del fenomeno della c.d. digitalizzazione delle società, ossia di quel procedimento di adattamento dei processi aziendali alle esigenze imposte dall’era digitale.

Da quanto appena detto si può dedurre il seguente corollario: le società non possono più trattare i dati personali con leggerezza. Complice la pandemia da Covid-19, infatti, gran parte delle società (non solo italiane) ha dovuto riadattare le proprie strutture, implementando i sistemi di gestione aziendale e privilegiando la dimensione digitale a quella reale, con evidenti ripercussioni in materia di protezione dei dati personali specie a seguito dell’entrata in vigore del Regolamento UE 2016/679 (il c.d. GDPR), la cui violazione può comportare l’applicazione di aspre sanzioni.

Analisi di big data, iperconnessione e accesso remoto ai dati aziendali hanno rivoluzionato il modo in cui funzionano le società moderne. Tale fenomeno (i.e. quello della digitalizzazione) presenta senza dubbi un’importante opportunità, ma allo stesso tempo comporta rischi che bisogna ben comprendere e saper affrontare. Se da un lato, infatti, digitalizzazione significa maggiore competitività sul mercato, dall’altro lato una maggiore interconnessione acutizza il rischio di attacchi informatici non irrilevanti sul fronte della privacy.

Il piano di incident response

Nessuna società, grande o piccola, dotata di una rete informatica connessa a internet, può sentirsi del tutto al sicuro di fronte al rischio di attacchi informatici. Ciononostante, è possibile (anzi, opportuno) dotare la propria struttura aziendale di misure di protezione dei dati personali adeguate in modo tale da rilevare tali attacchi il prima possibile, rimuoverne le cause e contenere gli effetti.

Per tali ragioni, predisporre un c.d. piano di incident response (insieme di procedure e risorse utilizzate per reagire a incidenti informatici) appare fondamentale sia per limitare i danni e preservare il business e la reputazione dell’organizzazione, sia per ottemperare alle disposizioni di legge in materia di sicurezza informatica e protezione dei dati. E infatti, qualora si verificasse un data breach, un incident response plan ben disegnato potrà escludere qualsivoglia responsabilità in capo alla società, evitando sanzioni o quantomeno limitando il danno.

Alla luce della dirompente digitalizzazione delle società, tra le principali novità introdotte dal GDPR vi è quello relativo alla nomina del Data Protection Officer (DPO), figura storicamente già presente in alcune legislazioni europee. In particolare, le organizzazioni espressamente indicate all’art. 37 del GDPR sono tenute alla nomina di un DPO, ossia del soggetto responsabile della protezione dei dati e della conformità ai requisiti specificati dal GDPR all’interno dell’organizzazione e le comunicazioni da effettuare in caso di violazione dei dati. Tale figura riveste un ruolo essenziale nell’organizzazione aziendale e la sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. Per le organizzazioni, invece, non indicate nel suddetto art. 37 la nomina del DPO è facoltativa (anche se raccomandabile).

Indipendentemente dalle dimensioni dell’azienda e dall’assistenza di consulenti GDPR o degli esperti di cyber security, al fine di limitare i rischi connessi ad eventuali attacchi informatici può inoltre essere utile sottoscrivere una buona cyber insurance sul rischio informatico. Si tratta di polizze assicurative, oggi sempre più diffuse, che forniscono il necessario supporto finanziario per le aziende che si trovano ad affrontare un incidente informatico. Solitamente tale tipologia di copertura si applica sia ai costi sostenuti dall’assicurato quando esso risponde direttamente a un evento informatico, sia nell’ipotesi di responsabilità qualora la società assicurata commetta un errore che comporti una violazione di dati o attacco informatico ai danni di un cliente.