Di Gigi Giudice.
Il Convegno “Cyber Risk & Privacy: rischi e tutele per le imprese” organizzato dal Gruppo Lercari, Willis Towers Watson e BTG Legal ha voluto promuovere un confronto aggiornato sulle soluzioni di ultima generazione, a supporto del management delle imprese, nella gestione del “rischio cyber”.
Un intervento a due voci è stato quello di Claudio Iandolo, Senior Consultant Employee Insight di Tower Watson e di Andrea Ghirardini, Chief Technology Officer di Willis Italia, sul tema “Cyber Risk Culture: Survey & Privacy”.
E’ accertato che la principale fonte di rischio per gli attacchi cyber sta nei comportamenti dei dipendenti. Sono le loro certamente inconsapevoli negligenze a innescare i possibili attacchi, come attestato dalle rilevazioni di Tower Watson.
Che ha indagato circa le consapevolezze e sulle iniziative messe in atto dalle aziende in termini di adozione di strumenti e azioni protettive dal cyber risk.
Consapevolezze e strumenti – come già ripetuto negli interventi susseguitisi nella giornata – assai scarsi. Dunque si impongono radicali, massicce iniziative mirate alla valorizzazione della cultura della sorveglianza sul fenomeno del cyber risk.
Un suggerimento importante per mettere al sicuro, proteggere i dati: utilizzare il Cloud. Ma quello della sicurezza informatica è un processo che esige adeguata attenzione e che abbisogna di continui aggiornamenti.
Uno dei motivi fondamentali della proliferazione degli attacchi e dei danni conseguenti è che il reato informatico non viene comunemente percepito come un reato. Reato grave.
Un saggio dal titolo “Guerre di rete”, scritto da Carola Frediani, è illuminante in proposito. Una cyberware con protagonisti hacker di Stato, spionaggi, filiere di gruppi schiettamente criminali.
Ed è accertato che limitandoci a verificare le condizioni delle imprese italiane da 50 milioni di fatturato in su, si evince che solo due sono attrezzate con un livello di sicurezza accettabile. Ovvero: la stragrande maggioranza delle imprese sono drammaticamente sguarnite, alla mercè dei pirati informatici.
A questo punto occorre alzare il volume dell’attenzione da parte dell’intera comunità e fare in modo che le aziende provvedano a dotarsi di un DPO. Oltre che a dotarsi di opportune coperture assicurative.
Come ha illustrato Savino Menna, di Allianz Global Corporate nella sua relazione: “Professional Indemnity: il nuovo regolamento europeo sulla Privacy e la figura del Data Protection Officer.”
Sul nuovo regolamento europeo sulla Privacy abbiamo avuto già le debite informazioni in alcuni precedenti interventi . Sappiamo che entrerà in vigore il 25 maggio 2018 e introdurrà una serie di cambiamenti . Come l’estensione temporale per l’applicabilità del GDPR, nuovi obblighi e diritti, maggior cooperazione fra gli stati membri, One Stop Shop per l’autorità garante, nuove sanzioni per le violazioni e, infine, una nuova figura professionale: il DPO.
Il Data Protection Officer – secondo quanto dice l’articolo 37 del GDPR – “una persona o un team che collabora con aziende pubbliche o private allo scopo comune di prevenire e evitare minacce di violazione di dati” e costituisce il nuovo punto di congiunzione tra l’azienda e le Autorità Garanti.
E’ figura analoga a quella del privacy officer ma con alcune importanti differenze. Come l’indipendenza e autonomia nella funzione, il potere di spesa, la nomina da parte del titolare del trattamento e il diretto collegamento con il board.
Risulta obbligatoria la sua presenza quando si tratta di una Pubblica Amministrazione o di un Ente Pubblico, quando ci si deve occupare di trattamento di dati personali su larga scala e di dati personali specifici. Il DPO può essere presente anche quando l’obbligo non c’è ed è possibile nominarlo per un intero gruppo di aziende.
Le competenze richieste sono in linea con quanto previsto dal Working Party 29. Ovvero conoscenze approfondite nell’information technology, nozioni manageriali e di marketing strategico, regole di compliance e normative legali, conoscenze specifiche del Regolamento 679/2016.
Soprattutto deve essere padrone degli skills legali e di risk management, fondamentali per lo svolgimento del lavoro del DPO.
Rispettando i doveri di segretezza e confidenzialità, il DPO
Svolge il ruolo di consulente legale in materia di Privacy Regulation, di supervisore dell’operato della società cliente nel rispetto della legislazione in materia di Privacy, di cooperare con le autorità garanti, di valutare l’Impact Analysis e l’assesment sui sistemi di gestione della Privacy della società cliente.
Gli articoli 83 e 84 del GDPR stabiliscono le sanzioni amministrativa e pecuniaria e penali. Che vanno da 10 a 20 milioni di euro, a seconda della gravità, nei confronti delle aziende che non rispettano gli obblighi del titolare del trattamento, del responsabile del trattamento, dell’organismo certificatore e dell’organismo di controllo. Cui si aggiunge la sanzione pari al 2 o al 4 per cento del fatturato annuo.
Nell’effettuare l’analisi dei rischi potenziali legati all’attività del DPO si deve tener conto dell’esperienza e delle doti conoscitive, del settore di attività, del fatturato e del numero dei clienti della società per cui opera, del quantitativo di dati trattati, della Policy informativa e di consenso per la Privacy, dei dati storici riguardo alle circostanze e ai sinistri in materia di Privacy,dei rischi connessi alla società cliente e ai rischi connessi al suo sistema di information technology.
Dalle valutazioni che conseguono è possibile inquadrare il profilo della società. Se è di basso-medio-alto rischio.
La figura del Data Protection Officer può essere nominata fra gli interni dell’azienda. In tal caso è compresa nel novero degli assicurati e dunque gode di una tutela, sia pure non specifica per questa sua attività.
Se invece è professionista esterno, le coperture D&O e Cyber non opererebbero, dunque si richiede una copertura assicurativa per errori o omissioni professionali.
Una indagine sulle offerte delle compagnie in tale ambito fa affermare al relatore che la migliore proposta viene da Allianz Global in quanto riprende esattamente quanto il regolamento prevede riguardo alle attività che il DPO deve svolgere, senza rinvii o interpretazioni devianti.
– quarta parte –