I DPO italiani lanciano l'allarme privacy: i ransomware indicati come la principale minaccia dal 71% di loro, ma c'è anche la paura di data breach per incompetenza degli incaricati al trattamento dei dati e per lo scarso coinvolgimento del DPO da parte dei vertici aziendali

DPO italiani: incubo ransomware

L'osservatorio Federprivacy ha condotto un interessante sondaggio che ha coinvolto più di 1000 professionisti italiani incaricati del ruolo di Data Protection Officer per imprese e Pubbliche Amministrazioni. Emergono molti dati interessanti, primo tra tutti il fatto che il 71% dei DPO italiani ritiene i ransomware la principale minaccia ai dati personali. Difficile dar loro torto, visto il diluvio di attacchi ransomware che hanno colpito recentemente in Italia, anche vittime illustri. Solo per fare un esempio, è di due giorni fa la notizia che il ransomware RansomEXX ha violato i sistemi della Ferrari: sono già stati pubblicati 7GB di dati rubati. D'altronde i dati parlano chiaro: se già gli attacchi ransomware sono in crescita costante da anni, l'esplosione del conflitto in Ucraina ha determinato un impennata calcolata intorno al 59%.

Non è un caso che il 78% dei DPO italiani è convinto che prima o poi dovrà affrontare un evento critico o gestire una situazione di emergenza di qualche tipo rispetto ai dati personali che ha invece il compito di proteggere.

Le paure dei Data Protection Officer italiani

Il sondaggio consente di fare una panoramica delle principali preoccupazioni dei DPO italiani e queste non sono relative soltanto agli attacchi ransomware o informatici in generale. Ad esempio il 79% dei DPO è preoccupato per la possibile diffusione (intenzionale o meno) dei dati personali e di informazioni sensibili che potrebbero conseguire a un data breach / data leak.

Anche la Guardia di Finanza e il Garante privacy sono fonti di ansia per i DPO nostrani. Il 57% degli intervistati ha sottolineato come sia preoccupato da quei casi di trattamento dati difficili da dirimere, soprattutto in termini di liceità del trattamento e di non conformità alle normative.

Il 54% invece è preoccupato dall'idea che il Garante Privacy o la GDF si presentino alla porta per un'ispezione. Per la maggior parte degli intervistati l'evenienza di subire un'ispezione della GDF è considerata alla stregua di un'emergenza da gestire.

I DPO e il rapporto col management aziendale

Non tutte le colpe sono del DPO, verrebbe da dire. Una delle principali preoccupazioni dei DPO è legata al loro scarso coinvolgimento. Il 55% degli intervistati cioè si dichiara preoccupato dal fatto che si verifichi una qualche emergenza evitabile se il management aziendale li avesse coinvolti preventivamente nelle decisioni. E' ovvia conseguenza che il 64% dei DPO italiani aspri a guadagnarsi un maggior coinvolgimento, anzi un vero e proprio filo diretto, coi vertici aziendali. Questo filo diretto è considerato necessario per poter svolgere efficacemente il proprio ruolo.

Per chiudere, il 79% dei DPO intervistati ammette di essere preoccuparo dal fatto che, a seguito di un'emergenza mal gestita, il management potrebbe attribuire loro la colpa.

I DPO e gli addetti al trattamento dei dati personali

Il 65% dei DPO teme invece che una possibile situazione di emergenza si verifichi a causa di impreparazione, incompetenza, scarsa attenzione degli addetti al trattamento dei dati personali. Ben il 58% dichiara di temere che l'innesco di un incidente informatico potrebbe essere proprio l'errore umano. Il 53% invece teme di essere penalizzato nello svolgere le proprie mansioni dalla carenza di personale adeguatamente formato. Questo nonostante le previsioni dell'art 29 del GDPR, secondo il quale “chiunque agisca sotto l’autorità del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso”.

Per approfondire > L’incompetenza degli addetti al trattamento dei dati personali preoccupa il 65% dei DPO

Art. 29 del GDPR: l'obbligo formativo per chi tratta dati

Il Regolamento UE n.679/2016 (GDPR) ha rafforzato ulteriormente l’importanza della formazione privacy all’interno delle aziende e delle pubbliche amministrazioni, rendendola una misura di sicurezza obbligatoria per tutti i dipendenti e collaboratori sia di aziende che di amministrazioni pubbliche. La mancata formazione privacy in conformità al GDPR è considerata una violazione di legge ed è soggetta al pagamento di elevate sanzioni amministrative.

La formazione non deve essere considerata come un mero adempimento burocratico. Al contrario è un’opportunità per le aziende di rendere consapevoli i propri operatori dei rischi connessi al trattamento dei dati e delle misure di sicurezza. Tutto questo consentirà non solo di evitare rischi di sanzioni amministrative, ma anche di migliorare la privacy dei clienti e quindi la reputazione di un’azienda, nonché l’organizzazione dei processi interni e l’erogazione dei servizi