La sicurezza dei dati e la tutela della privacy sono requisiti fondamentali per consolidare il rapporto di fiducia con i destinatari dei servizi forniti, alla cui gestione l’Azienda presta la massima attenzione. Le informazioni costituiscono un patrimonio di grande valore che MM tutela dotandosi di tecnologie e servizi digitali innovativi in grado di prevenire la perdita dei dati, gli usi illeciti o scorretti e gli accessi non autorizzati.

Cosa facciamo

Nel 2018, a seguito dell’entrata in vigore del Regolamento Generale per la Protezione dei Dati personali (GDPR), MM, in quanto esercente di attività di pubblico interesse, ha nominato il proprio Data Protection Officer (DPO), che ha supportato l’Azienda nell’adeguamento alla nuova normativa nell’ottica del principio di accountability e si occupa di verificare che il sistema impostato venga rispettato e costantemente aggiornato.

A riprova dell’impegno profuso nella sicurezza della privacy dei propri utenti, in linea con lo scorso anno, anche nel 2019 non si è verificata alcuna violazione di dati personali qualificabile come “data breach”. Il Data Protection Officer è stato coinvolto nella valutazione di 18 eventi di potenziali violazioni di dati personali relativi al furto di dispositivi aziendali in dotazione a dipendenti di MM. Tuttavia, data l’entità degli interessati, la tipologia di dati personali e le misure di sicurezza adottate, si è ritenuta non necessaria la notifica al Garante Privacy.

Infine, si segnala che in base al principio di accountability è compito dell’Azienda tracciare con opportuna documentazione qualsiasi incidente di sicurezza che abbia riguardato dati personali, comprese le circostanze ad esso relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Per questo il DPO ha verificato che tutti gli eventi che costituivano potenziali data breach, anche se non notificati al Garante Privacy, fossero stati annotati all’interno dell’apposito registro tenuto dalla Direzione Information Technology di MM.

Nei confronti dei fornitori o delle parti terze, il DPO, durante la formazione in aula rivolta ai dipendenti che trattano dati personali, ha chiarito eventuali dubbi sulla corretta qualificazione, dal punto di vista della privacy, delle terze parti che trattano dati personali nell’esecuzione dei servizi loro affidati da MM. È stato inoltre verificato che i contratti di nomina a Responsabile del trattamento dei dati contenessero tutti gli elementi richiesti dal GDPR e fossero pertinenti.

Nel 2019 è stata introdotta l’istruzione operativa “Nomine e Responsabilità privacy in caso di variazioni di organico”, che descrive gli adempimenti in materia di privacy da effettuare in caso di ingresso di nuove risorse, trasferimento tra strutture organizzative o cessazione dell’incarico, al fine di garantire che tutti coloro che trattano dati personali in Azienda siano correttamente autorizzati al trattamento anche nel caso di variazioni di organico e non soltanto al momento dell’assunzione.