Nel 2018, a seguito dell’entrata in vigore del Regolamento Generale per la Protezione dei Dati personali (GDPR), MM ha nominato il proprio Data Protection Officer (DPO), che supporta l’Azienda nell’adeguamento alla nuova normativa nell’ottica del principio di accountability e verifica che il sistema creato venga rispettato e costantemente aggiornato. Il prolungarsi del contesto pandemico ha evidenziato la contrapposizione tra il diritto alla salute e il diritto alla riservatezza dei dati personali, comportando la stesura, integrazione e affissione di informative ad hoc nel rispetto dei principi di privacy by design e minimizzazione del trattamento.

A riprova dell’impegno profuso per quanto concerne gli aspetti legati alla protezione dei dati personali, in linea con lo scorso anno, anche nel 2021 non si è verificata alcuna violazione di dati personali qualificabile come “data breach” ex art. 33 del GDPR.

In base al principio di accountability, il Regolamento dispone che il titolare del trattamento adotti politiche adeguate a garantire e dimostrare che il trattamento dei dati personali effettuato sia conforme al Regolamento stesso. In virtù di ciò, il DPO ha verificato che tutti gli eventi che costituivano potenziali data breach, anche se non notificati al Garante Privacy, fossero stati annotati all’interno dell’apposito registro tenuto dalla Direzione Information Technology di MM.

Riguardo alle attività del 2021, il DPO ha organizzato una capillare attività di formazione in materia di privacy in collaborazione con professionisti esterni e la funzione Compliance, sia per i dirigenti che per i secondi livelli (142 partecipanti in tutto).

A seguito dell’introduzione nel 2019 dell’istruzione operativa “Nomine e Responsabilità privacy in caso di variazioni di organico” e della sua verifica nel 2020, nel 2021 il DPO ha fornito supporto alle varie Direzioni e funzioni di MM nella corretta predisposizione delle nomine relative ai soggetti incaricati al trattamento di dati personali in caso di assunzione e trasferimento di personale.

Il DPO è stato chiamato a verificare e validare il nuovo set di procedure, politiche e regolamenti in materia di sicurezza informatica, nonché a verificare gli aspetti in materia di privacy dell’istruzione operativa “Interventi a tutela del patrimonio aziendale” per la Divisione Casa.

É stato anche svolto, con il supporto della funzione Compliance, un audit per verificare la corretta profilazione degli utenti sui sistemi aziendali, al termine del quale sono state condivise alcune azioni correttive con le Direzioni competenti.

Il contesto eccezionale della pandemia ha permesso una repentina accelerazione del processo di digitalizzazione promosso da MM che sta portando una trasformazione del modo di lavorare sia attraverso l’integrazione di tecnologie digitali, sia grazie al coinvolgimento attivo dei dipendenti veri e propri protagonisti del cambiamento. In virtù di ciò, il 2021 è stato l’anno dell’introduzione della Digital Workplace e quindi il primo passo verso la riprogettazione, in ottica digitale, dei processi di lavoro con l’abilitazione dell’intera suite dei prodotti Microsoft 365, l’innalzamento dei livelli di sicurezza informatica e data protection, la distribuzione di nuovi dispositivi portatili ai dipendenti e l’avvio della migrazione dei dati su piattaforme cloud.

Il progetto MM smart intrapreso nel 2020, è continuato nel 2021 con la sostituzione di 760 PC fissi e portatili. Oggetto di sostituzione sono stati anche tablet e smartphone.

L’emergenza sanitaria e l’introduzione dello smart working hanno favorito l’intensificarsi degli attacchi da parte di hacker finalizzati a sfruttare le nuove vulnerabilità dovute allo spostamento delle postazioni di lavoro fuori dalla rete aziendale e le eventuali debolezze di carattere organizzativo o procedurale delle infrastrutture IT, sottoposte ad uno stress senza precedenti dalla gestione della pandemia.

Proseguendo nel percorso avviato lo scorso anno, anche nel 2021 i dipendenti di MM sono stati coinvolti in campagne di sensibilizzazione e formazione sui rischi legati alla cybersecurity. L’obiettivo è di evolvere progressivamente verso un concetto di continuous awareness che, attraverso strumenti non convenzionali quali gaming e teaching, mira a potenziare tra le persone la capacità diffusa di supportare i colleghi in caso di necessità semplici quale strumento di difesa verso i rischi cyber. Durante l’anno è stata lanciata una campagna di phishing mirata a valutare il livello di preparazione della popolazione aziendale rispetto a tale tematica ed è stato predisposto un Piano di formazione Cybersecurity 2022-2024 (presentato da inizio 2022), che mira ad aumentare la consapevolezza dell’Azienda sulle minacce alla sicurezza informatica, a ridurre i rischi associati agli attacchi informatici e a radicare una cultura di conformità alla sicurezza in MM.

Al fine di ridurre il perimetro di rischio sono state inoltre introdotte moderne piattaforme di collaborazione, come l’implementazione di una piattaforma in Cloud IoT in grado di valorizzare i dati raccolti tramite la sensoristica installata sul campo.

Nel futuro, MM continuerà ad investire nella digitalizzazione e nella sicurezza informatica. A prova di ciò, MM è intenzionata ad ottenere le principali certificazioni in ambito ICT, oltre che a stipulare una Carta dei Servizi ICT che indicherà gli standard di servizio che la direzione IT si impegna a rispettare.