00 SCELTA DEL DPO - CONSIGLI PER I TEMERARI
Se quanto espresso nelle sezioni precedenti non è stato ancora abbastanza convincente, prendete ben visione di quanto segue.
E' un semplice breve racconto, completamente inventato sia nei fatti che nei personaggi.
Si tratta di una simulazione ipotetica - a tratti molto estremizzata - che ha la presunzione di evidenziare alla fine alcuni aspetti chiave prima che avvengano nella vita reale.
Buona lettura.
"Tito è il Titolare di una importante Azienda di successo.
Tito deve adeguarsi al GDPR perchè ricade nel 90% dei soggetti che devono adeguarsi.
Tito nomina Respo quale Responsabile del Trattamento dei dati.
Respo è ben noto a Tito e questo si fida della persona che è anche sua socia nell'azienda.
Tito e Respo studiano per bene il nuovo regolamento GDPR insieme ai professionisti di loro fiducia e capiscono immediatamente
(art. 83) che se non corrono subito ai ripari corrono il rischio di dover pagare diverse sanzioni (fino al 4% del fatturato dell'anno precedente o 20.000.000 di euro o del blocco dell'attività se non riescono ad adempiere entro 60gg).
Tito e Respo fanno quindi numerose selezioni per il ruolo di DPO.
Vogliono trovare la figura più adatta a loro (perchè poi dovranno sempre confrontarsi con essa per questa tematica).
Si presenta tra gli altri ConFor, un consulente forense, con certificazioni informatiche ed esperienza giuridica dimostrata, disponibile ad assumere il ruolo di DPO per un numero molto selezionato di aziende tra cui quella di Tito e Respo.
Però inizialmente ConFor propone di fare subito una formazione rapida e dedicata per i Decisori Non Tecnici - al fine di renderli edotti di cosa è il GDPR, su cosa interviene prevalentemente e quali, in linea generale, possono essere le soluzioni.
Si fà subito contestualmente la prima rapida introduzione nel corso di questo incontro ai Decisori Non Tecnici.
In un successivo incontro di almeno 4 ore si intervistano gli altri soggetti coinvolti, e quindi poi….
Trascorrono quasi 2 ore di monologo da parte del Consulente che ogni tanto propone delle pause vedendo gli occhi vitrei degli astanti e percependo chiaramente che, malgrado le espressioni semplificate da lui utilizzate, nessuno comprendeva abbastanza ciò che veniva detto e nemmeno faceva domande.
Al termine della seduta, come dal dentista, tutti avevano fretta di tornare alle loro già complicate faccende ordinarie mentre pensavano 'se non ho capito vuol dire che non è niente di importante…e poi tanto ci sarà un rinvio…e poi tanto figuriamoci se vengono proprio da noi'.
'Grazie, le faremo sapere' dice Tito al termine del colloquio sapendo che subito dopo avrebbe incontrato Tizio che apparentemente si presentava molto meglio, sopratutto sul fronte normativo.
Dopo molto parlare si lasciano incantare dalle parole di Tizio 'questa è una norma giuridica, deve essere interpretata, in caso di contestazione dobbiamo fare subito ricorso/istanza, serve una tutela speciale per l'azienda sennò (voi - non io) dovete pagare le sanzioni…si non ho le certificazioni in cybersecurity ma non c'è problema ho il mio team di specialisti, ecco questo è : Caio, il mio esperto - lui lavora con me, lo pago io e voi pagate me; state tranquilli siete in una botte di ferro'.
Tito e Respo decidono quindi di contrattualizzare Tizio che offre un servizio "all inclusive" comprensivo di Caio (che però non viene nominato nel contratto di servizio perchè ovviamente non si può fare - ma questo Tizio non lo dice).
Il costo è più alto di quanto chiesto da ConFor ma Tizio ci assicura che saremo tranquilli, per cui scegliamo Tizio.
Bonifici e blocchetti degli assegni a ruota libera e si parte a fare i grandi lavori.
Caio, protetto dall'occhio vigile di Tizio, inizia a dire cosa fare e cosa non fare.
Tico, l'amministratore di sistema dell'azienda ed il loro principale informatico fornitore esterno, fanno presente a Caio che le modifiche avviate non sono abbastanza sicure e non portano i vantaggi richiesti per raggiungere gli obiettivi fissati dal Regolamento : Proteggere i Dati Personali trattati.
Interviene Tizio che dall'alto della sua autorità professionale ed in virtù del suo ruolo di DPO replica "Lei stia zitto, noi abbiamo l'autorità di agire in tutte le sedi come da procura del suo titolare Tito e del Responsabile Respo".
Tito e Respo osservano la scena con grande soddisfazione e pensano : 'finalmente abbiamo il servizio che ci serviva (anche se abbiamo pagato parecchio fino ad ora) e che ci viene offerto in maniera autorevole da Tizio…guarda come riesce ad imporsi al posto nostro informatico interno che io nemmeno riuscivo a capire quando mi scriveva le cose'.
Dopo qualche tempo Tico, l'amministratore di sistema dell'azienda ed il loro principale informatico fornitore esterno, si accorgono che nel week end - mentre l'azienda era chiusa - è accaduto qualcosa di strano ai server, alla rete e ad alcuni computer che erano rimasti accessi.
Immediatamente avvisano Tizio che, mentre stà facendo un'attività molto diversa da quella prevista per il ruolo di DPO, non capisce il segnale d'allarme e replica 'cari signori o mi fate avere l'evidenza di quanto sostenete o vi assumete la responsabilità di pagare i costi per svolgere questa ulteriore attività di controllo a fronte di un presunto allarme che non ha conseguito a nulla di certo o grave come voi stessi mi state dicendo'.
Mesti mesti, Tico ed il fornitore se ne tornano a casina dimenticandosi dell'accaduto…tanto non è mica una loro responsabilità.
Ovviamente Tito e Respo non vengono informati da nessuno dell'accaduto.
> nei fatti era accaduto che l'azienda aveva subito un attacco informatico anonimo (con strumenti software reperibili nelle riviste che si trovano in edicola) volto solo a verificare il grado di protezione e di sicurezza della rete. Nulla di più.
Non si sapeva chi avesse condotto l'attacco (che peraltro non aveva apparentemente conseguito danni) e né si sapeva perchè <
Nei giorni seguenti un dipendente dell'azienda, con alti privilegi di accesso ai sistemi, si licenzia scontento di non aver ricevuto l'aumento tanto atteso e promesso da Tito che all'ultimo se l'è pure rimangiato.
Di nascosto da tutti, prima di andarsene il dipendente ha copiato sulla scheda di memoria del suo telefono cellulare privato una elevata mole di dati riservati e sensibili dell'azienda: circa 1Gb di dati mentre pensa 'non mi hanno voluto dare l'aumento ? bene me lo procuro da solo, queste informazioni hanno sicuramente un bel valore, le faccio rivendere a mio cuggino mio cuggino che è esperto in queste cose'.
Dopo qualche mese si presenta alla porta dell'Azienda un team di specialisti dell'Organo Ispettivo con la richiesta di accertare le cause che hanno conseguito la fuga di informazioni dai server dell'azienda di informazioni sensibili per come denunciato da uno degli interessati che si è rivolto direttamente al Garante.
'Oibò!!' - dice Tito - 'ma noi non ne sappiamo nulla, sicuramente è un errore e comunque, portate pazienza, ma Voi, senza un mandato specifico non potete contestarmi nulla altrimenti faccio reclamo all'Autorità competente'.
'Noi rappresentiamo l'Autorità competente ed ai sensi dell'Art.58 del Regolamento UE 679/2016 formalmente procediamo come segue invitandola, anche nel suo interesse, a collaborare'
… pausa di riflessione mentre si procede alla verbalizzazione …
'Signore, dovevate comunicare l'avvenuto Data Breach entro 72 ore come previsto dal regolamento GDPR, possiamo parlare con il vostro DPO? tale Tizio' risponde il funzionario dell'Organo Ispettivo
(ovviamente sapevano già il nome di Tizio associato al ruolo di DPO dell'azienda e nominato da Tito che lo ha precedentemente comunicato al Garante ma ora non lo ricorda più)
'ma certamente lo faccio chiamare subito' risponde Tito cercando di controllare l'aritmia cardiaca che inizia a colpirlo gradualmente.
'chiamate Tizio…subito!!!' ordina Tito.
La segretaria chiama lo studio di Tizio ma questo risponde che 'Tizio è impegnato in una riunione inderogabile con un soggetto a cui - per autorità conferita - non può proprio dire di no, bisogna attendere che finisca…tra 2 ore'.
'bene, cominceremo senza il vostro DPO' risponde il capo team dell'Organo Ispettivo.
'mostrateci i log degli accessi ai server ed ai computer che trattano i dati sensibili del periodo dalla data xx alla data yy'.
'mmm non li abbiamo attivati, Tizio e Caio non ce lo hanno detto' risponde Tico che ovviamente è presente in sede ed è l'unico, tra i presenti, in grado di rispondere alle domande tecniche degli organi ispettivi.
'chi è Caio ? a noi risulta che il DPO si chiama Tizio' chiede il capo team mentre lo verbalizza sorridendo
'è colui che ha attuato gli adeguamenti di cyber security per conto di Tizio' risponde Tito (il titolare) quasi sollevato.
'bene (prima violazione appurata) chiamate e fate venire qui Caio' dice il capo team mentre anche questo particolare viene verbalizzato.
'chiamate Caio…subito!!!' ordina a voce più alta Tito sempre più preoccupato.
La segretaria chiama lo studio di Caio ma questo risponde che 'Caio non può venire fino a quando non lo dice Tizio poichè lui ha il contratto di servizio solo con Tizio e non con l'azienda con la quale, peraltro, non ha nessun obbligo'.
risponde il capo team dell'Organo Ispettivo 'bene, cominceremo lo stesso, mostrateci:
- le lettere di conferimento incarico agli Amministratori di Sistema come disposto dal Garante il xxx;
- il sistema di registrazione degli accessi;
- il sistema di registrazione degli accessi abusivi al sistema;
- lo schema di selezione delle cartelle accessibili dalla rete interna ed esterna;
- le procedure di backup, di disaster recovery ed i registri di esecuzione;
- le misure minime di sicurezza previste all'Allegato B;
- il registro delle formazioni erogate agli operatori;
- le informative;
- le policy verso terzi
- tutto quello che concerne i sistemi di video sorveglianza'
segue un elenco lungo 4 pagine di richieste dettagliate e specifiche di carattere tecnico/informatico.
Il Titolare comincia a togliersi la cravatta che ormai gli ostruisce, oltre che la normale respirazione, anche il deglutimento delle prime lacrime che iniziano a scendergli mentre vede il capo team dell'organo ispettivo che è arrivato a compilare già 5 fogli del suo verbale in soli 30 minuti.
Passano 2 ore e Tizio non si vede e non si sente.
Alla fine della 3a ora Tizio chiama al telefono trafelato dicendo che stà arrivando.
Giunge sul posto dopo 4,5 ore quando il capo del team ispettivo, dopo aver fatto tutti i possibili rilievi ed aver dedotto autonomamente tutte le informazioni tecniche di cui necessitava, gli fà un breve riassunto di quanto ha rilevato e fà firmare il verbale (di 10 pagine) a Tito, a Respo ed a Tizio.
Caio non è venuto perchè aveva un'altro impegno inderogabile.
E comunque non era previsto nel contratto che ha con Tizio di rendersi disponibile in questi casi.
Oltremodo - se fosse venuto - avrebbe dimostrato la violazione commessa dall'Azienda (il DPO non può delegare le sue funzioni a nessuno).
Salutato il team ispettivo, Tito, Respo e Tizio entrano subito in riunione.
Nessuno ha mangiato, sono tutti tesi e stanchi ma devono capire cosa può succedere dopo la visita di oggi.
Tito e Respo sono molto preoccupati.
Tizio, in loro presenza, legge con calma il verbale ma è da solo (senza Caio) e quindi non capisce la portata dei rilievi tecnici informatici riportati.
Tuttavia tranquillizza subito Tito e Respo.
'Domani, insieme a Caio esamineremo questo verbale e produrremo le nostre contro-conclusioni deduttive ed eviteremo l'elevazione di qualsiasi sanzione. Non preoccupatevi.'
Tito e Respo quella sera non cenano, non dormono e non fanno sesso, sono troppo preoccupati.
Hanno entrambi il verbale di 10 pagine poggiato sul comodino e nemmeno sono riusciti a capire che cosa c'è scritto malgrado le sommarie spiegazioni veloci di Tico, il loro informatico interno che, velocemente, ha cercato - senza però riuscirci - di descrivere gli aspetti tecnici che saranno contestati.
L'indomani e la settimana successiva trascorre serena, nessuna telefonata, nessun atto giudiziario, nulla.
Tito e Respo si dimenticano pure che Tizio e Caio dovevano mandargli le loro contro deduzioni.
Alla fine della settimana, non avendo ancora ricevuto nulla, Tito chiama Tizio per avere un aggiornamento, sicuro di averla scampata.
'Si in effetti abbiamo controllato i rilievi fatti dagli Organi Ispettivi che sono risultati pertinenti, bisogna fare degli ulteriori interventi ai vostri sistemi ed alla vostra rete oltre che a tutti i computer ed ai sistemi di backup (leggi bisogna spendere molti altri soldi) possibilmente subito, prima che il team ispettivo ritorni - anche se non si sà se e quando.
Però con questo ultimo intervento certamente saremo definitivamente a posto.'
'Ma scusi, abbiamo speso un scacco di soldi per Lei, per Caio, per quello che ci avete detto di comprare, non dovevamo già essere a posto da prima caro Tizio ?' rispondono all'unisono Tito e Respo in audio conference call.
'Ma sapete come vanno queste cose… cosa devo dirvi?, questi eventi purtroppo non si possono prevedere prima; del resto io non sono un informatico e come sapete la tecnologia si aggiorna velocemente, e poi io mi accorgo solo adesso che Caio non era sufficientemente preparato ed ha tralasciato alcune cose… ma vedrà che adesso con il nuovo collaboratore Sempronio risolviamo tutto'.
Una settimana dopo Tizio e Respo ricevono la comunicazione della sanzione comminata, 100.000 euro per :
- per difettosità nell'operato del DPO che, oltre ad aver affidato il lavoro a terzi, non poteva esibire i necessari titoli a dimostrazione della sua idoneità per tale ruolo
- non aver previsto i sistemi di log necessari per rilevare le intrusioni sulla rete
- non aver impedito al dipendente che si è licenziato di copiare i dati prima di andare via
- non aver implementato i giusti livelli di sicurezza dei dati informatici, degli accessi, dei backup
- eccetera eccetera (in totale 10 pagine di verbale, scritte fitte fitte di elementi tecnici informatici misti a ipotesi di violazione)
Tito chiama subito Tizio che risponde 'be dai è andata ancora bene, se avessero applicato il 2% sul fatturato dell'anno precedente adesso dovreste pagare 300.000 euro, vi è andata ancora bene'
'ma quindi io adesso dovrei pagare la sanzione dopo che ho pagato Lei e Caio per un intervento che si è rilevato inconcludente?' risponde attonito Tito
'cosa le posso dire Tito, la sicurezza informatica assoluta non esiste, io e Caio abbiamo fatto del nostro meglio, si figuri che io per questa ragione ho lasciato a casa Caio ed ho contrattualizzato Sempronio che è molto più bravo… sa è un vero hacker e costa solo poco di più di Caio' risponde Tizio.
'no guardi adesso Lei si accolla l'onere dell'intera sanzione e mi risolve il problema a spese sue' dice Tito davanti a Respo basita.
'mi dispiace ma io non posso essere punito in alcun modo, lo dice il regolamento all'art. 38 comma 3; tantomeno per le eventuali inadempienze di Caio - che Lei peraltro dovrebbe dimostrare - e comunque se vuole mi faccia causa poichè io adesso rimetto il mandato e lei si arrangia da solo a spiegare al Garante perchè non mi ha dato retta'.
'ma scusi Lei non è coperto da una assicurazione contro il rischio professionale?' chiede Tito allibito
'certamente si ma copre solo la mia attività prevalente, qui è chiaro che ha sbagliato Caio - il tecnico informatico - con il quale però voi non avevate stipulato nessuno contratto; e poi se me lo aveste chiesto prima io l'avrei sottoscritta volentieri se ciò avesse contribuito a tranquillizzarvi (tanto l'avreste pagata voi)' replica Tizio.
Tito è sull'orlo di una crisi di nervi e si adagia sulla poltrona con sommo scoramento mentre dà ordine di disporre il bonifico per il pagamento della sanzione e strappa i biglietti per la vacanza alle Maldive che, dopo tanti anni di fatica, aveva deciso di prenotare per riposarsi un pò.
Dopo una notte di profondo scoraggiamento Tito ha una illuminazione : si ricorda che mesi prima aveva conosciuto ConFor il quale lo aveva avvisato di questo possibile rischio che adesso si era tristemente avverato.
Raccolte le energie si consulta con Respo ed insieme scrivono una pec a ConFor riassumendo quanto è successo compreso il rapporto con Tizio.
Chiedono fiduciosi consiglio (anche perchè a quel punto non sanno più che pesci pigliare).
Il giorno dopo giunge la risposta di ConFor via pec : 'Gentili Tito e Respo, mi dispiace per quanto vi è accaduto ma durante questi mesi, come vi avevo pre-annunciato durante la mia visita di presentazione, ho accettato l'incarico di seguire al meglio - insieme al mio team di professionisti forensi e legali - solo poche e selezionate aziende. Adesso non ho più materialmente modo di seguire anche voi. Comunque Tizio aveva ragione in una cosa : la sicurezza informatica assoluta non esiste, si può solo ridurre l'esposizione al rischio ed essere pronti a reagire in caso di incidente secondo le best practice della cyber security. Mi dispiace vi auguro la miglior fortuna.'
THE END ???
Morali
"un procione non è aquila se non ha mai volato"
"non si può raggiungere la sicurezza informatica al 100% ma si può solo ridurre il rischio mentre ci si prepara al meglio per affrontare il peggio".
"grandi poteri, grandi responsabilità".
I principali errori di Tizio
1 fin dal principio non ha capito cosa è il GDPR ed a cosa serve (se avesse letto il Regolamento oppure se qualcuno glielo avesse spiegato integralmente dall'inizio…)
2 non ha attuato le misure preventive che gli erano necessarie a prevenire il Data Breach tramite attacco informatico e/o tramite insider
3 ha fatto delle scelte importanti basandosi unicamente sulla percezione (sbagliata) di casistiche obsolete e non attinenti alla situazione trattata
4 non ha approfondito le dinamiche "invisibili" relative alla protezione dei dati digitali (cybersecurity) perchè non ci capiva niente
5 non ha attuato quanto richiesto dal regolamento e poi descritto nelle 10 pagine del verbale ricevuto (che nemmeno comprendeva)
6 non si rendeva conto prima che, oltre a pagare, dopo aver ricevuto le sanzioni ha 60 gg di tempo per adeguarsi altrimenti rischia pure la sospensione dell'attività
7 non ha capito (ma non solo lui) che il ruolo del DPO non può essere delegato da Tizio a Caio poichè ciò implica automaticamente una violazione del regolamento
8 che solo il Titolare ed il Responsabile pagano le sanzioni, non le paga Tizio (il DPO), non le paga Caio e nemmeno Sempronio.
Poi ci sono gli errori di Tizio, Caio e Sempronio
1 Tizio avrebbe dovuto sapere che non poteva avvalersi di Caio delegandogli il ruolo/le funzioni riservate solo alla figura del DPO (o quanto meno avrebbe dovuto informare Tito e Respo del rischio che correvano) esponendosi così anche alla possibile azione di responsabilità da parte dell'Azienda che subito le sanzioni
2 Caio avrebbe dovuto sapere che i pochi soldi ricevuti da Tizio (per lavorare) potrebbero non essere sufficienti in caso di azione di responsabilità da parte dell'Azienda
3 Sempronio (il grande esperto) dovrebbe sapere che deve stipulare direttamente con l'Azienda il contratto di servizio e non con Tizio
******
Insomma un elenco sterminato di errori che potevano essere evitati con il buon senso, la conoscenza adeguata della normativa ed un briciolo di organizzazione.
Ma tranquilli: è solo una storia di fantasia scritta al fine di simulare le condizioni più estreme solo allo scopo di rendere più consapevoli i Titolari - e tutti gli altri soggetti coinvolti - della necessità di dover collaborare quanto più possibile per il principale fine previsto dal regolamento : PROTEGGERE I DATI PERSONALI che vengono TRATTATI IN FORMA ELETTRONICA.
Infatti gli adeguamenti richiesti dal GDPR per il trattamento di dati sensibili in forma cartacea impattano solo marginalmente rispetto a quanto altro richiesto dal GDPR per il trattamento dei dati sensibili in formato digitale
Inoltre, se le aziende si erano già precedentemente adeguate alla vecchia privacy, con il GDPR il trattamento dei dati cartacei resta quasi invariato o comunque con piccolissime variazioni.
Invece la protezione dei dati in formato digitale (e dei rispettivi sistemi informatici oltre che delle reti) è ben altra cosa rispetto alla gestione degli archivi cartacei.
"Senza soluzioni si fà solo parte del problema"
We Know How