C'è... no, meglio, ci sarebbe posta per te.
🎵 Hey, how you're doin'? 🎶
I'm sorry you couldn't get through
'Cause this is a message that's been recorded 🎵
🎶 Especially for you
And if you leave a name and your number
🎵 We'll get right back to you 🎶
You can leave a message now if you want to
When the bleeps are through 🎵
🎶
Cantavano i Curiosity Killed the Cat
Certe volte chiamare qualcuno e non trovarlo è frustrante.
Altre volte può essere un sollievo.
Ci sono casi in cui è un problema.
Ogni volta che vengo nominato Dpo, organizzo i primi passi e, tra questi, la comunicazione al garante e l’aggiornamento delle informative in modo da riportare i dati di contatto aggiornati del dopo, esattamente come previsto dalla legge. Nulla di strano, è un adempimento e chiunque abbia un DPO lo deve fare.
Il tema è solo apparentemente banale ed è il primo punto su cui mi è capitato di confrontarmi e che, in alcuni casi, ha creato anche un po’ di tensione.
Quale e-mail indichiamo? Quella aziendale dell’amministrazione? Una e-mail aziendale apposta in uso al dpo? Un’e-mail del Dpo, sua, non aziendale? Ma non sarà come fare pubblicità al dpo? E se poi il Dpo cambia, dobbiamo cambiare tutto? Non è meglio lasciare un’e-mail generica tipo Dpo@Azienda.it in modo da non avere più problemi anche in futuro e non dover fare questa trafila ogni volta?
E invece è proprio qui che i problemi si moltiplicano.
Il recentissimo caso di synlab, noto a tutti, ha evidenziato quanto sia importante scegliere in modo previdente i dati di contatto del Dpo che, tra le altre cose, entra in gioco nel momento in cui il gioco si fa duro, ossia, per esempio, quando bisogna gestire un data breach e le sue conseguenze.
Presso Synlab, il Dpo aveva una e-mail interna, per esempio, Dpo@Synlab.it molte aziende fanno la stessa cosa: privacy@azienda.it info@azienda.it , rdp@azienda.it. Ecc. Tutte queste e-mail hanno una caratteristica in comune: sono gestite dall’azienda e attribuite al DPO protempore. Nei casi peggiori arrivano all’amministrazione che, di volta in volta, trasmette al Dpo i messaggi che lo riguardano. Questo è lo scenario peggiore naturalmente perché un filtro tra gli interessati ed il Dpo non dovrebbe proprio esistere.
In altri casi l’e-mail aziendale emessa a disposizione del Dpo che dispone di user Name e password e riceve direttamente i messaggi che, tuttavia, dipendono dai server dell’azienda e sono quindi gestiti e accessibili anche solo per funzioni tecniche.
Cosa succede durante un data breach di quelli brutti? Nel caso di Synlab, oltre all’indisponibilità e all’accesso abusivo di tutti i dati, sono stati compromessi anche tutti i sistemi di posta.
Niente più E-mail
Niente più dati di contatto del Dpo
Ecco cosa ha ricevuto come risposta ogni interessato che ha provato a scrivere al DPO di synlab:
Dopo parecchi giorni è stato attivato un indirizzo alternativo, comunicato con foglietti appiccicati alle serrande dei negozi chiusi e sugli account social (!!!) synlabDPO@cms-aacs.com
Una barzelletta, se non fosse per i risvolti tragici suggeriti dalla risposta standard inviata da questo secondo indirizzo:
Decisamente problematico se visto con gli occhi del DPO, deprimente agli occhi degli interessati, assurdo agli occhi di un Garante.
Forse in quel mento qualunque manager si sarebbe reso conto di aver fatto una un errore, di quelli con la doppia Z, dicendo cose poco gradite al clero e avrebbe desiderato, a posteriori, dare ascolto al parere del Dpo.
Tutto ciò non è solo un fastidio, è un grosso problema perché l’azienda si mette colpevolmente nella condizione di non poter dare riscontro agli interessati nei tempi previsti dal GDPR, di non poter essere raggiunta dal garante in modo agevole e di veder crollati tutti tutti i ponti che la collegano con il resto del mondo.
Dato che il riscontro agli interessati e al garante costituiscono un adempimento, fare una scelta che renda questo impossibile in caso di data Breach rischia di portare ad una sanzione ulteriore per ogni interessato che non riesce a contattare l’azienda, che non può esercitare i suoi diritti o che non riesce a inviare una richiesta di Accesso ai dati.
Brutta faccenda, piove sul bagnato: l’azienda è già in crisi e questo scenario peggiora ulteriormente la situazione.
Tuttavia bisogna rendersi conto che lo scenario emergenziale non solleva il titolare dei propri obblighi, anzi, evidenzia l’adeguatezza del sistema rispetto a uno scenario prevedibile. mi spiace dirlo ma a questo serve il contatto del Dpo: per raggiungere una funzione strategica in un momento in cui l’azienda potrebbe non volerlo fare o non riuscire a farlo
Un indirizzo e-mail gestito dal Dpo avrebbe evitato tutto questo. Per evitare che si trasformino in una forma di promozione si può ricorrere a un’e-mail impersonale, non riconducibile a un’attività imprenditoriale, o uno studio di consulenza, a un singolo professionista, l’importante è che sia una mail box esterna ai sistemi informatici del titolare del trattamento e nella diretta disponibilità del Dpo. Lo consiglio vivamente, non è bello legare la propria reputazione a quella di un cliente che subisce un gigantesco data breach.
Dpo.azienda@protonmail.com
In certi casi, volendo fare bella figura, si potrebbe anche pensare di registrare un dominio apposta: info@dpoazienda.com
Così facendo, il Dpo resta contattabile anche in caso di data Breach, Ransomware, maledizione di Montezuma, se il gatto mangia i compiti, se si rimane senza benzina, se sia una gomma a terra, se si finiscono i soldi per prendere il taxi, se la tintoria non ha pronto il tight, se c’è il funerale della madre, se crolla la casa, in caso di terremoto, di , tremenda inondazione e persino in caso di cavallette.
Una ulteriore e importante ragione per organizzare i dati di contatto in modo indipendente da quelli del titolare consiste nella caratteristica di indipendenza e autonomia che il DPO deve avere. Il titolare deve garantire e sponsorizzare queste attribuzioni e il Dpo stesso deve vigilare affinché siano effettive e non li facciata.
Una e-mail filtrata o anche solo accessibile dal titolare compromette sia l’indipendenza che l’autonomia. Anche solo fatto che il sistema tecnologico sottostante, il server di posta per intenderci, sia fornito dal titolare comprime la libertà del Dpo dando un forte indicatore che depone a sfavore dell’adempimento che, ricordiamolo, grava sul titolare stesso.
Prosit.