Per il 70,4% dei DPO la minaccia più temuta è il ransomware e il 55% di essi avverte la necessità di formarsi nel campo della cybersecurity. Il 57% include nelle situazioni di criticità anche i trattamenti illeciti di dati personali e il 53% è più preoccupato da una possibile ispezione del Garante della Privacy che da un’eventuale nuova pandemia (17,2%). Nel 70,8% dei casi preoccupano la sottovalutazione dei rischi sui dati, e poi l’incompetenza degli addetti che trattano dati (64%), mentre il 58% degli intervistati ammette che il pericolo potrebbe essere la non sufficiente preparazione dello stesso DPO. Ad evidenziarlo è un rapporto pubblicato da Federprivacy a seguito di un sondaggio condotto su 1.123 professionisti italiani che ricoprono il ruolo di Data Protection Officer in imprese private e pubbliche amministrazioni che hanno risposto a 10 domande mirate riguardanti le varie situazioni critiche o emergenziali che possono trovarsi a dover affrontare mentre svolgono i compiti di DPO.
Gli obiettivi del sondaggio sono quelli di comprendere quali sono i rischi da cui possono scaturire criticità e situazioni emergenziali che impattano sui dati personali e che pertanto riguardano la figura del Data Protection Officer, quali potrebbero essere gli effetti scatenanti, nonché come gli addetti ai lavori pensano di potersi preparare ad affrontare tali circostanze. Inoltre, un altro scopo è anche quello di capire quale è la percezione dei professionisti rispetto all’importanza del ruolo che ricoprono, e come esso viene considerato all’interno dell’organizzazione presso cui operano, nonché quali circostanze potrebbero farli sentire penalizzati o aiutati, e anche quali fabbisogni formativi avvertono come DPO.
Dai dati è emerso che il 76,7% degli intervistati ritiene molto probabile che prima o poi dovrà affrontare un caso critico o una situazione d’emergenza, mentre uno su cinque (19%) ammette che già al presente capita spesso di trovarsi in tali situazioni.
Meno di uno su cinque (17,2%) è preoccupato dagli effetti di una eventuale nuova emergenza sanitaria, mentre il 70,4% di essi teme le minacce dei ransomware e degli attacchi hacker, e il 79,3% è preoccupato per la possibile diffusione di informazioni sensibili che potrebbe verificarsi a seguito di un data breach.
Ma a tenere in ansia i DPO non sono solo i cybercriminali, in quanto il 57,2% dei professionisti include tra le situazioni a rischio critico anche i trattamenti di dati personali di dubbia liceità e altri casi di non conformità normative che sono difficili da dirimere, mentre il 53,2% si preoccupa al pensiero che il Garante o il Nucleo Privacy della Guardia di Finanza possano bussare alla loro porta per un’ispezione. Invece, al presente non sembrano impensierire più di tanto i DPO le potenziali conseguenze di allagamenti e incendi di server ed archivi (15,4%) e neppure i blackout (6,7%).
Se il quadro che emerge dal sondaggio circa la tipologia dei potenziali eventi emergenziali che potrebbero colpire le aziende non sembra riservare grandi sorprese, a destare non poche preoccupazioni sono però le risposte che i DPO hanno fornito riguardo a quali potrebbero essere le cause scatenanti un’improvvisa situazione da codice rosso:
il 70,8% ha dichiarato che il motivo potrebbe essere la sottovalutazione dei rischi sui dati personali, il 70,7% vede il pericolo nella mancata adozione di adeguate misure di sicurezza o di procedure specifiche, il 64% teme l’impreparazione o l’incompetenza del personale che tratta dati personali, il 56,5% pensa che l’innesco potrebbe essere l’errore umano dall’interno dell’azienda, e il 54,3% ritiene che a causare l’emergenza potrebbe essere il mancato coinvolgimento del DPO all’insorgere della crisi, anche se il 58,2% ammette che una penalizzazione potrebbe derivare da un livello insufficiente di preparazione o dalla mancanza di conoscenza specialistica della normativa, e per questo non sorprende che solo il 13% dei DPO non pensa a documentarsi su come gestire le criticità e le situazioni d’emergenza leggendo manuali e testi specifici. Inoltre, il 77,6% degli stessi intervistati ammettono di temere che a seguito di una situazione critica gestita male il management potrebbe attribuire responsabilità o colpe proprio a loro.
Anche perché, nonostante questa figura sia stata introdotta oltre 4 anni fa, a quanto pare i DPO non sono ancora riusciti ad affermare pienamente il loro ruolo nelle organizzazioni, in quanto il 69,6% lamenta che le penalizzazioni possono derivare dalla mancanza di sostegno da parte dei vertici aziendali, e il 44,4% ritiene che il DPO possa essere addirittura penalizzato dalla mancanza di un filo diretto con il management, mentre uno su tre (34,6%) ammette che le difficoltà possono sorgere dal fatto di non operare in modo realmente indipendente come richiederebbe il Regolamento UE sulla protezione dei dati personali.
Ciò non toglie che la maggioranza (74,7%) dei professionisti intervistati siano convinti che la figura del Data Protection Officer abbia molto peso per gestire efficacemente criticità ed emergenze, specialmente quando il professionista incaricato ha competenze trasversali (68,4%) comprendenti la conoscenza della normativa giuridica, gli skills informatici, e le capacità organizzative. Per la cronaca, uno su tre (30,7%) vede il pericolo nei malfunzionamenti di strumenti informatici o dei sistemi di intelligenza artificiale che comportano decisioni automatizzate, e nel cattivo operato di un fornitore esterno (29,7%), come ad esempio può essere un internet provider o una società spedizioni a cui vengono affidati i dati dell’azienda.
Tra le misure da adottare per correre ai ripari per gestire dovutamente (e se possibile prevenire) le situazioni emergenziali, il 67,9% dei professionisti intervistati pensano che sia necessario curare la propria formazione anche per ciò che riguarda casi complessi ed emergenze, e più della metà (55,3%) avverte la necessità di acquisire specifiche conoscenze nel campo della cybersecurity, sensibilizzando poi anche i colleghi e lo stesso management sui rischi che incombono sui dati, anche se in modo apparentemente contradditorio l’87% dei DPO non pensa che sia opportuno prendersi del tempo per studiare manuali e testi che affrontano tali temi sul piano teorico. Nelle strategie operative invece, due terzi (64,6%) ritengono che sia opportuno mettere a punto delle procedure efficaci che contemplino anche gli eventi critici imprevisti, organizzando audit specifici che contemplino anche la gestione delle emergenze.
Inoltre, per mettersi nelle condizioni per vincere la sfida delle sempre più frequenti criticità ed emergenze che deve affrontare, il 61,4% dei DPO desidererebbero contare su un team di colleghi competenti in materia di protezione dati, il 45,1% vorrebbero disporre anche di un supporto consulenziale specializzato, quasi la metà (46,9%) vorrebbero avere la possibilità di partecipare a percorsi formativi che ritiene opportuni per il suo ruolo, e il 64,1% aspirano a guadagnarsi quel filo diretto con i vertici aziendali che servirebbe loro per essere in grado di svolgere il proprio ruolo in modo realmente efficace.
Il report “Data Protection Officer nei casi critici e nelle situazioni di emergenza” è consultabile al seguente link
https://www.federprivacy.org/attivita/studi-statistiche#
