.

.

Ciao

Benvenuta e benvenuto nel Blog di Christian Bernieri. Sei in un posto dove riflettere e rimuginare in libertà su privacy, sicurezza, protezione dei dati personali e sui fatti che accadono nel mondo, sempre in salsa privacy. Con una tempistica assolutamente randomica, con format per nulla omogenei, con un linguaggio decisamente inappropriato, senza alcuna padronanza della grammatica e della sintassi, ti propongo articoli che nessun editore accetterebbe mai di pubblicare... Divertiti.

04 maggio 2024

C'è... no, meglio, ci sarebbe posta per te.

🎵 Hey, how you're doin'? 🎶

I'm sorry you couldn't get through

'Cause this is a message that's been recorded 🎵

🎶 Especially for you

And if you leave a name and your number

🎵 We'll get right back to you 🎶

You can leave a message now if you want to

When the bleeps are through 🎵

🎶


Cantavano i Curiosity Killed the Cat








Certe volte chiamare qualcuno e non trovarlo è frustrante. 

Altre volte può essere un sollievo.

Ci sono casi in cui è un problema.



Ogni volta che vengo nominato Dpo, organizzo i primi passi e, tra questi, la comunicazione al garante e l’aggiornamento delle informative in modo da riportare i dati di contatto aggiornati del dopo, esattamente come previsto dalla legge. Nulla di strano, è un adempimento e chiunque abbia un DPO lo deve fare. 


Il tema è solo apparentemente banale ed è il primo punto su cui mi è capitato di confrontarmi e che, in alcuni casi, ha creato anche un po’ di tensione. 


Quale e-mail indichiamo? Quella aziendale dell’amministrazione? Una e-mail aziendale apposta in uso al dpo? Un’e-mail del Dpo, sua, non aziendale? Ma non sarà come fare pubblicità al dpo? E se poi il Dpo cambia, dobbiamo cambiare tutto? Non è meglio lasciare un’e-mail generica tipo Dpo@Azienda.it in modo da non avere più problemi anche in futuro e non dover fare questa trafila ogni volta? 


E invece è proprio qui che i problemi si moltiplicano. 


Il recentissimo caso di synlab,  noto a tutti, ha evidenziato quanto sia importante scegliere in modo previdente i dati di contatto del Dpo che, tra le altre cose, entra in gioco nel momento in cui il gioco si fa duro, ossia, per esempio, quando bisogna gestire un data breach e le sue conseguenze. 


Presso Synlab, il Dpo aveva una e-mail interna, per esempio, Dpo@Synlab.it molte aziende fanno la stessa cosa: privacy@azienda.it info@azienda.it , rdp@azienda.it. Ecc. Tutte queste e-mail hanno una caratteristica in comune: sono gestite dall’azienda e attribuite al DPO protempore. Nei casi peggiori arrivano all’amministrazione che, di volta in volta, trasmette al Dpo i messaggi che lo riguardano. Questo è lo scenario peggiore naturalmente perché un filtro tra gli interessati ed il Dpo non dovrebbe proprio esistere. 

In altri casi l’e-mail aziendale emessa a disposizione del Dpo che dispone di user Name e password e riceve direttamente i messaggi che, tuttavia, dipendono dai server dell’azienda e sono quindi gestiti e accessibili anche solo per funzioni tecniche.


Cosa succede durante un data breach di quelli brutti? Nel caso di Synlab, oltre all’indisponibilità e all’accesso abusivo di tutti i dati, sono stati compromessi anche tutti i sistemi di posta.


Niente più E-mail

Niente più dati di contatto del Dpo


  

Ecco cosa ha ricevuto come risposta ogni interessato che ha provato a scrivere al DPO di synlab:


Dopo parecchi giorni è stato attivato un indirizzo alternativo, comunicato con foglietti appiccicati alle serrande dei negozi chiusi e sugli account social (!!!) synlabDPO@cms-aacs.com 
Una barzelletta, se non fosse per i risvolti tragici suggeriti dalla risposta standard inviata da questo secondo indirizzo:



Decisamente problematico se visto con gli occhi del DPO, deprimente agli occhi degli interessati, assurdo agli occhi di un Garante.




Forse in quel mento qualunque manager si sarebbe reso conto di aver fatto una un errore, di quelli con la doppia Z, dicendo cose poco gradite al clero e avrebbe desiderato, a posteriori, dare ascolto al parere del Dpo. 


Tutto ciò non è solo un fastidio, è un grosso problema perché l’azienda si mette colpevolmente nella condizione di non poter dare riscontro agli interessati nei tempi previsti dal GDPR,  di non poter essere raggiunta dal garante in modo agevole e di veder crollati tutti tutti i ponti che la collegano con il resto del mondo. 

Dato che il riscontro agli interessati e al garante costituiscono un adempimento, fare una scelta che renda questo impossibile in caso di data Breach rischia di portare ad una sanzione ulteriore per ogni interessato che non riesce a contattare l’azienda, che non può esercitare i suoi diritti o che non riesce a inviare una richiesta di Accesso ai dati. 

Brutta faccenda, piove sul bagnato: l’azienda è già in crisi e questo scenario peggiora ulteriormente la situazione. 


Tuttavia bisogna rendersi conto che lo scenario emergenziale non solleva il titolare dei propri obblighi, anzi, evidenzia l’adeguatezza del sistema rispetto a uno scenario prevedibile. mi spiace dirlo ma a questo serve il contatto del Dpo: per raggiungere una funzione strategica in un momento in cui l’azienda potrebbe non volerlo fare o non riuscire a farlo  



Un indirizzo e-mail gestito dal Dpo avrebbe evitato tutto questo. Per evitare che si trasformino in una forma di promozione si può ricorrere a un’e-mail impersonale, non riconducibile a un’attività imprenditoriale, o uno studio di consulenza, a un singolo professionista, l’importante è che sia una mail box esterna ai sistemi informatici del titolare del trattamento e nella diretta disponibilità del Dpo. Lo consiglio vivamente, non è bello legare la propria reputazione a quella di un cliente che subisce un gigantesco data breach.


Dpo.azienda@protonmail.com


In certi casi, volendo fare bella figura, si potrebbe anche pensare di registrare un dominio apposta: info@dpoazienda.com


Così facendo, il Dpo resta contattabile anche in caso di data Breach, Ransomware, maledizione di Montezuma, se il gatto mangia i compiti, se si rimane senza benzina, se sia una gomma a terra, se si finiscono i soldi per prendere il taxi, se la tintoria non ha pronto il tight, se c’è il funerale della madre, se crolla la casa, in caso di terremoto, di , tremenda inondazione e persino in caso di cavallette. 



Una ulteriore e importante ragione per organizzare i dati di contatto in modo indipendente da quelli del titolare consiste nella caratteristica di indipendenza e autonomia che il DPO deve avere. Il titolare deve garantire e sponsorizzare queste attribuzioni e il Dpo stesso deve vigilare affinché siano effettive e non li facciata. 


Una e-mail filtrata o anche solo accessibile dal titolare compromette sia l’indipendenza che l’autonomia. Anche solo fatto che il sistema tecnologico sottostante, il server di posta per intenderci, sia fornito dal titolare comprime la libertà del Dpo dando un forte indicatore che depone a sfavore dell’adempimento che, ricordiamolo, grava sul titolare stesso. 


Prosit.





SEI UN PROFESSIONISTA?



SI


FANTASTICO! Fammi sapere come la pensi, il confronto è essenziale per migliorarsi.


Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di merda con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?


bene... allora mi devi una birra.

NO


Se sei arrivato fino a qui meriti un plauso. Complimenti!

Se ti è piaciuto l'articolo, se ti ha dato spunti utili per la tua vita privata o professionale, prendi in considerazione l'idea di ringraziarmi e puoi farlo in due modi:


- Condividendo il mio lavoro sui tuoi social. Questo aiuterà altre persone

- Con una donazione. Questo aiuterà me.




👇 👇 Clicca qui 👇 👇






 

 


Nessun commento:

Posta un commento

Si pensa meglio in due... se vuoi unirti al Pensatoio, sei il benvenuto. Ragioniamo, confrontiamoci, scorniamoci... in ogni caso sarà un'occasione per progredire.