Privacy: cosa fare prima delle vacanze


Le ferie si avvicinano e, se da un lato si pregusta già il prossimo viaggio, dall’altra occorre tenere ben presente che la privacy non può mai andare in vacanza. Cosa significa questo? Che il titolare, così come il responsabile del trattamento dei dati e il Data Protection Officer devono adoperarsi affinché tutto sia assolutamente a posto, che non ci siano minacce informatiche o che i dati non siano esposti o esponibili ad una violazione.

Poche semplici regole che le aziende, ed i relativi DPO, devono recepire.

Noi di Labor Project abbiamo pensato di seguirvi in questo processo di preparazione alle ferie con un vademecum di utili consigli su come gestire la privacy e mettere in sicurezza i dati.

INDICE

 

Le ferie del DPO

Le regole per una corretta privacy

Conseguenze da evitare

Sanzioni

 

Le ferie del DPO

 

 

Il primo principio è che il Data Protection Officer non può mai andare in vacanza. Quindi quando il DPO va in ferie deve trovare un sostituto.

  • Il sostituto

È consuetudine cercare nel team di lavoro un Data Protection Officer alternativo che possa attuare l’azione di controllo durante l’assenza del DPO. Questo passaggio è fondamentale perché nel caso ci fosse una violazione dei dati o una criticità particolare deve essere gestita.

Il sostituto può essere:

  • un collega che già lavora nel team privacy
  • una società esterna alla quale dare il servizio di outsourcing in assenza del Data Protection Officer

Le regole per una corretta privacy

 

 

 

Prima delle vacanze è necessario stilare un Vademecum di attività da compiere per non farsi trovare impreparati.

  • Per l’azienda

Quando il DPO va in ferie deve fare in modo che tutta l’operatività dell’azienda in riferimento al tema privacy e trattamento dei dati non venga compromessa. Di seguito alcune semplici regole da seguire:

  • Dare tutte le risposte ai quesiti posti dai clienti interessati al trattamento. È vero che per legge le pratiche possono essere evase entro un mese, ma è altrettanto vero che è sempre meglio non partire lasciando questioni in sospeso.
  • Verificare che i Pc siano spenti.
  • Nominare dei fiduciari per la lettura della posta.
  • Evitare di mettere in risalto sui social media l’assenza del DPO.
  • Predisporre un decalogo di sane abitudini per i dipendenti.

 

 

  • Per i dipendenti

Quando il dipendente va in ferie non deve mai dimenticare di avere delle responsabilità, in particolare se ha in dotazione telefono e pc aziendali.

  • Attenzione ai selfie: mostrare località di villeggiatura potrebbe far comprendere un’assenza dal luogo di lavoro
  • Prima di tutto la reputazione: se nell’azienda ci sono social media policy è importante fare attenzione alle fotografie che si postano sui social per non incorrere in guai reputazionali
  • Mai portare in vacanza tablet o telefoni aziendali, se non richiesto dall’azienda: un’eventuale perdita o un furto potrebbero mettere a rischio la sicurezza delle informazioni. In tal caso la perdita o il furto devono essere denunciati e resi noti al DPO entro poche ore.

 

Rischi in cui può incorrere il DPO

 

 

 

Il principale rischio per il Data Protection Officer è di non essere reattivo rispetto alla perdita di dati o ad accessi abusivi ai sistemi.

  • Furto

    Nell’ipotesi in cui venga bucato un servizio on line e le password di pagamento durante l’assenza del DPO, il suo sostituto dovrà fare in modo di avvisare repentinamente ( massimo 72 ore) l’autorità garante e tutti gli utenti per evitare maggiori danni. Dopodiché dovrà provvedere al ripristino del servizio.

  • Sospensione servizi online 

    Nel caso in cui l’azienda sia chiusa, ma sia attivo un servizio on line, il DPO deve avvisare il responsabile esterno designato per ripristinare il servizio nel più breve tempo possibile.

 

  • Cosa dice la norma

Per legge ci sono 72 ore di tempo per notificare all’autorità garante un data breach cioè la violazione dei dati e per comunicare la situazione agli utenti interessati.

Non ci sono, al riguardo, grandi differenze tra pubblico e privato.

 

Sanzioni

 

 

 

Se i dati sono stati crittografati intellegibili  e salvati nel modo corretto, rispettando tutte le norme di sicurezza, si possono evitare pesanti sanzioni.

Qualora non fossero state rispettate le procedure, potrebbero esserci delle sanzioni  economiche fino a 20 milioni di euro e fino al 4% del fatturato globale, a seconda della tipologia dei dati  smarriti, danneggiati o resi indisponibili, senza tener conto del danno reputazionale generato dalla pubblicazione della sentenza.

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia