Tutte le preoccupazioni dei Data Protection Officer nel rapporto di Federprivacy
Tra le potenziali emergenze, è la minaccia del ransomware la più temuta dai DPO (70,4%) e il 55% di essi avverte la necessità di formarsi nel campo della cybersecurity. Ad evidenziarlo è un sondaggio condotto su oltre mille addetti ai lavori. Il 57% degli intervistati include nelle situazioni di criticità anche i trattamenti illeciti di dati personali e sono più preoccupati da una possibile ispezione del Garante della Privacy (53%) che da un’eventuale nuova pandemia (17,2%). Nel 70,8% dei casi preoccupano la sottovalutazione dei rischi sui dati, e poi l’incompetenza degli addetti che trattano dati (64%), mentre il 58% degli intervistati ammette che il pericolo potrebbe essere la non sufficiente preparazione dello stesso DPO, e il 77% di essi teme di finire sotto processo da parte del management per una criticità gestita male
Firenze, 12 ottobre 2022 – La frenetica evoluzione degli scenari mondiali di questi ultimi anni ha complicato non poco la protezione dei dati personali, in particolare per gli addetti ai lavori che hanno il compito di tutelare la privacy, i quali devono abituarsi loro malgrado a gestire criticità sempre più frequenti oppure ad affrontare vere e proprie situazioni d’emergenza.
Ad esempio, come evidenzia un recente rapporto della società di sicurezza informatica israeliana Check Point Software Technologies, basti pensare che, complici il ricorso massivo allo smart working durante la pandemia da Covid-19 e poi le tensioni geopolitiche scaturite dal conflitto in Ucraina, il fenomeno dei ransomware è aumentato del 59% in un solo anno.
Ma anche le conseguenze dei cambiamenti climatici richiedono sempre più l’attenzione delle aziende, che sono chiamate a prevedere misure di sicurezza adeguate per garantire la conservazione dei dati anche in caso di inondazioni ed altre calamità naturali. Inoltre la crescente diffusione delle tecniche di intelligenza artificiale comportano attività di monitoraggio invasive e processi decisionali automatizzati con rilevanti impatti sulla sfera privata dell’individuo, che da una parte è tutelata dal GDPR e dagli altri atti legislativi in materia che vengono emanati dall’UE, ma nel suo insieme sconta però un quadro normativo sempre più complesso, che talvolta richiede notevoli sforzi per individuarne la corretta applicazione anche per gli stessi professionisti della protezione dei dati.
Ad evidenziarlo, è un rapporto pubblicato da Federprivacy a seguito di un sondaggio condotto su 1.123 professionisti italiani che ricoprono il ruolo di Data Protection Officer in imprese private e pubbliche amministrazioni, da cui è emerso che il 76,7% degli intervistati ritiene molto probabile che prima o poi dovrà affrontare un caso critico o una situazione d’emergenza, mentre uno su cinque (19%) ammette che già al presente capita spesso di trovarsi a tali situazioni.
Meno di uno su cinque (17,2%) è preoccupato dagli effetti di una eventuale nuova emergenza sanitaria, mentre il 70,4% di essi teme le minacce dei ransomware e degli attacchi hacker, e il 79,3% è preoccupato per la possibile diffusione di informazioni sensibili che potrebbe verificarsi a seguito di un data breach.
Ma a tenere in ansia i DPO non sono solo i cybercriminali, in quanto il 57,2% dei professionisti includono tra le situazioni a rischio critico anche i trattamenti di dati personali di dubbia liceità ed altri casi di non conformità normative che sono difficili da dirimere, mentre il 53,2% si preoccupa al pensiero che il Garante o il Nucleo Privacy della Guardia di Finanza possano bussare alla loro porta per un’ispezione. Invece, al presente non sembrano impensierire più di tanto i DPO le potenziali conseguenze di allagamenti e incendi di server ed archivi (15,4%) e neppure i blackout (6,7%).
Più della metà dei Data Protection Officer sono quindi più preoccupati da un'ispezione del Garante della Privacy che da una eventuale nuova emergenza sanitaria.
Se il quadro che emerge dal sondaggio circa la tipologia dei potenziali eventi emergenziali che potrebbero colpire le aziende non sembra riservare grandi sorprese, a destare non poche preoccupazioni sono però le risposte che i DPO hanno fornito riguardo a quali potrebbero essere le cause scatenanti un’improvvisa situazione da codice rosso:
Il 70,8% ha dichiarato che il motivo potrebbe essere la sottovalutazione dei rischi sui dati personali, il 70,7% vede il pericolo nella mancata adozione di adeguate misure di sicurezza o di procedure specifiche, il 64% teme l’impreparazione o l’incompetenza del personale che tratta dati personali, il 56,5% pensa che l’innesco potrebbe essere l’errore umano dall’interno dell’azienda, e il 54,3% ritiene che a causare l’emergenza potrebbe essere il mancato coinvolgimento del DPO all’insorgere della crisi, anche se il 58,2% ammette che una penalizzazione potrebbe derivare da un livello insufficiente di preparazione o dalla mancanza di conoscenza specialistica della normativa, e per questo non sorprende che solo il 13% dei DPO non pensa a documentarsi su come gestire le criticità e le situazioni d’emergenza leggendo manuali e testi specifici. Inoltre, il 77,6% degli stessi intervistati ammettono di temere che a seguito di una situazione critica gestita male il management potrebbe attribuire responsabilità o colpe proprio a loro.
Anche perché, nonostante questa figura sia stata introdotta oltre 4 anni fa, a quanto pare i DPO non sono ancora riusciti ad affermare pienamente il loro ruolo nelle organizzazioni, in quanto il 69,6% lamenta che le penalizzazioni possono derivare dalla mancanza di sostegno da parte dei vertici aziendali, e il 44,4% ritiene che il DPO possa essere addirittura penalizzato dalla mancanza di un filo diretto con il management, mentre uno su tre (34,6%) ammette che le difficoltà possono sorgere dal fatto di non operare in modo realmente indipendente come richiederebbe il Regolamento UE sulla protezione dei dati personali.
Ciò non toglie che la maggioranza (74,7%) dei professionisti intervistati siano convinti che la figura del Data Protection Officer abbia molto peso per gestire efficacemente criticità ed emergenze, specialmente quando il professionista incaricato ha competenze trasversali (68,4%) comprendenti la conoscenza della normativa giuridica, gli skills informatici, e le capacità organizzative. Per la cronaca, uno su tre (30,7%) vede il pericolo nei malfunzionamenti di strumenti informatici o dei sistemi di intelligenza artificiale che comportano decisioni automatizzate, e nel cattivo operato di un fornitore esterno (29,7%), come ad esempio può essere un internet provider o una società spedizioni a cui vengono affidati i dati dell’azienda.
Per prepararsi ad affrontare criticità e situazioni di emergenza sulla protezione dei dati, Federprivacy ha organizzato anche un corso.
Tra le misure da adottare per correre ai ripari per gestire dovutamente (e se possibile prevenire) le situazioni emergenziali, il 67,9% dei professionisti intervistati pensano che sia necessario curare la propria formazione anche per ciò che riguarda casi complessi ed emergenze, e più della metà (55,3%) avverte la necessità di acquisire specifiche conoscenze nel campo della cybersecurity, sensibilizzando poi anche i colleghi e lo stesso management sui rischi che incombono sui dati, anche se in modo apparentemente contradditorio l’87% dei DPO non pensa che sia opportuno prendersi del tempo per studiare manuali e testi che affrontano tali temi sul piano teorico. Nelle strategie operative invece, due terzi (64,6%) ritengono che sia opportuno mettere a punto delle procedure efficaci che contemplino anche gli eventi critici imprevisti, organizzando audit specifici che contemplino anche la gestione delle emergenze.
Inoltre, per mettersi nelle condizioni per vincere la sfida delle sempre più frequenti criticità ed emergenze che deve affrontare, il 61,4% dei DPO desidererebbero contare su un team di colleghi competenti in materia di protezione dati, il 45,1% vorrebbero disporre anche di un supporto consulenziale specializzato, quasi la metà (46,9%) vorrebbero avere la possibilità di partecipare a percorsi formativi che ritiene opportuni per il suo ruolo, e il 64,1% aspirano a guadagnarsi quel filo diretto con i vertici aziendali che servirebbe loro per essere in grado di svolgere il proprio ruolo in modo realmente efficace.