Tempo di lettura stimato: 5'
Era una notte buia e tempestosa, un fulmine squarciò le tenebre rivelando che il colpo era andato a segno. I dati erano stati violati. C’era solo un imputato, col volto madido di sudore, sotto la luce giallastra della lampada: il Data Protection Officer. Ma era chiaro che era stato incastrato.
La vera domanda era: chi lo aveva incastrato?
Va bene, mettiamo da parte l’inizio da romanzo d’appendice, ma teniamo per buona la situazione. Quando c’è un problema relativo alla sicurezza e alla mancata tutela dei dati all’interno di un’azienda, i sospetti cadono subito sul DPO. Ma non sempre le cose sono come sembrano. Può accadere, e spesso accade, che anche il DPO sia stato vittima di un sistema di comunicazione che non ha fatto il suo dovere, di una mancata segnalazione, di una preparazione scarsa, oppure che la situazione fosse già da prima precaria e problematica, ma lui non ne fosse stato messo al corrente.
Facciamo ora un passo indietro. Una premessa per chi si fosse perso un pezzo. Chi è il DPO?
Chi è il DPO
Il DPO è una figura di supervisione che controlla che la normativa GDPR sia ben applicata e offre consulenza al titolare del trattamento e, quando richiesto, dà il suo parere.
È obbligatoria per la pubblica amministrazione e per le società il cui monitoraggio dei dati fa parte del core business, ma è consigliatissima per tutte le aziende, come le utilities, che trattano dati sensibili.
Può essere sia una figura interna all’azienda, che un consulente esterno.
In pratica, è la persona su cui vengono scaricate tutte le beghe relative al controllo del trattamento e della protezione dei dati.
Ora torniamo alla situazione iniziale.
C’è stata un violazione: chi ha incastrato il DPO?
C’è stata una violazione, un data breach, tutti gli occhi ora sono puntati sul DPO. Com’è stato possibile? Qualcuno deve averlo incastrato. Ma chi?
Come nei migliori romanzi gialli, tutti i sospetti sono ora nella sala della grande villa. Chi seduto sul divano, chi alla sedia della scrivania, chi in piedi, chi cammina nervoso avanti e indietro, davanti al camino acceso.
E c’è un ispettore, Andrea Kaiser (già protagonista di “Chi ha paura del GPDR?” e del racconto breve “Il corvo. Una giornata da dimenticare per Andrea Kaiser”).
Kaiser squadra i presenti uno a uno.
«A incastrare il DPO potrebbe essere stato il titolare dell’azienda? » ipotizza «Il principale si è messo a norma in fretta e furia. Ha preso qualche stagista, gli ha fatto leggere la regolamentazione sul GDPR per capire esattamente cosa fosse, e poi semplicemente ha fatto aggiungere due banner sul sito, un hard disk per fare il backup dei dati e uno schedario con un lucchetto nel sottoscala dell’azienda dove finiscono i toner usati. Ma in realtà, nessuno nell’azienda sa cosa voglia dire essere a norma col GDPR, come trattare i dati degli utenti e soprattutto come proteggerli.»
«È vero» risponde il titolare «abbiamo chiamato il DPO per fare cadere su di lui le responsabilità. C’è lui, che se ne occupi lui.»
«Non così in fretta.» Lo sguardo di Kaiser si sposta allora sul responsabile esterno del trattamento.
«Il responsabile esterno del trattamento affianca il titolare. Certo, non è lui a decidere come trattare i dati, né decide come raccoglierli e se divulgarli. Questi sono compiti del titolare del trattamento che ha la completa autonomia decisionale ed è lui che può decidere se notificare al garante il data breach. Ma il responsabile deve garantire la sicurezza dei dati e rispettare le norme del GDPR, oltre ad assicurarsi che tutte le misure idonee siano state messe in atto.»
“Forse il responsabile ha impiegato troppo tempo ad avvertire il titolare ed il DPO? Oppure ha evitato di girare al DPO tutte le informazioni necessarie per trattare e valutare quali operazioni mettere in campo per affrontare e risolvere il data breach? O magari il titolare non sapeva che pesci pigliare e ha lasciato passare del tempo in modo che la responsabilità scivolasse da lui al DPO?” Si chiede Kaiser.
Intanto il responsabile non risponde, guarda in basso, mordendosi il labbro.
«Alcune volte le minacce vengono dall’alto» riprende Kaiser «magari a mettere in scacco il DPO è stato proprio il Garante!»
Un silenzioso sconcerto serpeggia nella sala.
«Il DPO è sempre sotto osservazione. Costretto a formazione continua, ad approfondire la conoscenza di argomenti che vanno dallo studio del regolamento, fino ai rudimenti dell’informatica, i sistemi di criptazione e tutti gli argomenti dello scibile umano. » Riprende Kaiser guardandoli uno a uno negli occhi «Come si tutelano i dati? Che cos’è la privacy by design? Quali sono i migliori sistemi informatici per proteggere i dati? Come si installa un WI-FI? Come si affronta il data breach? Quanti fagioli ci sono in questo barattolo? Di fronte ad una tale mole di informazioni e conoscenze da acquisire anche il migliore DPO vacilla, si ferma, piegato dalla stanchezza. Ed il Garante, impietoso, lo colpisce. Come ci si comporta in base al Privacy Shield? È stato abrogato o è ancora attivo?»
Nessuno risponde a queste domande.
Andrea Kaiser non ha ancora finito. Si ferma a prendere respiro e poi ricomincia.
«Spesso sono coloro che promettiamo di difendere i nostri peggiori nemici. Gli utenti, le persone di cui raccogliamo i dati per fornire i servizi richiesti. Spaventati da un continuo attacco alla loro libertà personale, temono che ogni raccolta dati nasconda un tentativo di furto.
Ecco che il DPO è subissato di mail di richiesta di controllo, rilegge le normative, si sincera che tutte le procedure siano attuate nel modo corretto. Ma le richieste continuano, anzi aumentano. Il responsabile del trattamento, o il programmatore che ha preparato il banner, ha lasciato nell’informativa per gli utenti, non solo la mail, ma anche il cellulare del DPO. Le chiamate arrivano ad ogni ora_ “Ma i miei dati sono al sicuro? Li state usando per loschi fini? Vorrei che li cancellaste, mi può mandare un messaggino di conferma?” Il DPO non sa quanto a lungo potrà sopportare tutto questo stress.»
Kaiser continua a camminare avanti indietro, mentre tutti, nella stanza, attendono il responso. Ma lui ha pronto l’ultimo coup de théâtre.
«Oppure l’unico vero colpevole qui è proprio il DPO! »
Nella sala serpeggia lo sbigottimento e l’incredulità.
«La colpa è del DPO che ha accetto l’incarico del titolare dell’azienda senza prima verificare lo stato di adeguamento al GDPR della società. È stato sempre lui che nel confrontarsi con i dipendenti non ha controllato che tutte le norme fossero seguite. O magari» continua sardonico Andrea Kaiser «preso dal desiderio di essere un bravo DPO, il migliore DPO, ha promesso ai clienti di estendere la tutela promettendo una serie di pratiche non realizzabili e non richieste dal codice? Convinto che essere DPO significasse semplicemente controllare, il nostro uomo non si è aggiornato, non ha controllato l’adeguamento e l’evolversi delle normative e si è trovato, così, ad essere l’ultimo, tra tutti, a rimanere in piedi quando la musica è finita.»
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.