Proteggere i dati personali degli interessati per un’azienda è di fondamentale importanza.
Basti pensare a ciò che accade agli enti quando i dati – a causa di una violazione (data breach) – vengono modificati; rubati; sequestrati, magari con richiesta di riscatto.
Quando l’azienda non è più in grado di accedere ai propri dati può rischiare addirittura di fallire come già sta accadendo a varie PMI.
SERVIZIO D.P.O.
Chi è il DPO o Responsabile Protezione Dati:
Il Responsabile della Protezione dei Dati (o Data Protection Officer/D.P.O.) è un professionista che assiste il titolare del trattamento o il responsabile del trattamento (generalmente l’azienda) in tutte le questioni relative alla protezione dei dati personali. In particolare, il D.P.O. deve:
- informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento, nonché ai loro dipendenti, sui loro obblighi ai sensi della legge sulla protezione dei dati;
- verificare il rispetto da parte dell’organizzazione di tutta la legislazione in materia di protezione dei dati, anche per quanto riguarda gli audit, le attività di sensibilizzazione e la formazione del personale addetto al trattamento dei dati;
- fornire consulenza in caso di esecuzione di una valutazione d’impatto sulla protezione dei dati e monitorarne le prestazioni;
- fungere da punto di contatto per le richieste degli interessati relative al trattamento dei loro dati personali e all’esercizio dei loro diritti;
- collaborare con le autorità di protezione dei dati e fungere da punto di contatto per le stesse su questioni relative al trattamento.
FORMAZIONE
La formazione per i dipendenti di un’azienda in ambito privacy e data protection è obbligatoria.
Lo stabilisce Il Regolamento Europeo GDPR 679/16 all’art.29 : “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso dal titolare …”.
Inoltre: riguardo i compiti assegnati al D.P.O., l’articolo 39, al paragrafo 1, lettera b) include tra i controlli dell’osservanza del regolamento, anche la formazione del personale che partecipa ai trattamenti.
La normativa vigente impone in maniera esplicita e a più riprese di fornire un’adeguata preparazione ai soggetti attivi nel trattamento (ad esempio i dipendenti), a seconda del preciso ruolo da questi ricoperto.
Si tratta propriamente di una condicio sine qua non per l’accesso ai dati di tutti coloro che prestano attività lavorativa all’interno dell’Ente o dell’Azienda di riferimento.
La formazione sulla privacy è da fare, anche perché senza formazione e istruzione, il sistema di gestione sarà sempre in qualche modo carente, vulnerabile e fragile.
L’istruzione a livello pratico è volta ad evitare che eventuali condotte inconsapevoli od omissioni possano da una parte pregiudicare il funzionamento delle infrastrutture informatiche e dall’altra compromettere la sicurezza delle informazioni.
Se non formiamo i nostri dipendenti potremmo trovarci una mattina, accendendo i pc di lavoro, davanti alla “meravigliosa” immagine di un teschio corredata da un countdown con la scritta “se rivuoi tutti i tuoi dati paga XXXXXX Euro o Dollari in criptovalute entro 7 giorni, diversamente diffonderemo tutto online”.
Questo è accaduto perché molto probabilmente, ad esempio, all’interno dell’azienda, qualcuno ha scaricato un ransomware (che ha agevolmente superato antivirus e misure varie di sicurezza) in allegato alla posta, senza essere istruito sulle verifiche preventive da fare.
I dipendenti sono la misura di sicurezza più importante dell’azienda.
Vale la pena istruirli al meglio, no??
