La sicurezza dei dati e la tutela della privacy sono requisiti fondamentali per consolidare il rapporto di fiducia con i destinatari dei servizi forniti, alla cui gestione l’Azienda presta la massima attenzione. Le informazioni costituiscono un patrimonio di grande valore che MM tutela dotandosi di tecnologie e servizi digitali innovativi in grado di prevenire la perdita dei dati, gli usi illeciti o scorretti e gli accessi non autorizzati.

Cosa facciamo

Nel 2018, a seguito dell’entrata in vigore del Regolamento Generale per la Protezione dei Dati personali (GDPR), MM ha nominato il proprio Data Protection Officer (DPO), che ha supportato l’Azienda nell’adeguamento alla nuova normativa nell’ottica del principio di accountability e si occupa di verificare che il sistema impostato venga rispettato e costantemente aggiornato.

A riprova dell’impegno profuso nella sicurezza della privacy dei propri utenti, in linea con lo scorso anno, anche nel 2020 non vi sono stati reclami documentati relativi a violazioni della privacy e a perdita dei dati dei clienti qualificabile come “data breach”.

In base al principio di accountability è compito dell’Azienda tracciare con opportuna documentazione qualsiasi incidente di sicurezza che abbia riguardato dati personali, comprese le circostanze ad esso relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Per questo il DPO ha verificato che tutti gli eventi che costituivano potenziali data breach, anche se non notificati al Garante Privacy, fossero stati annotati all’interno dell’apposito registro tenuto dalla Direzione Information Technology di MM.

Nei confronti dei fornitori o delle parti terze, il Data Protection Officer nel corso del 2020 ha analizzato i nuovi contratti con i fornitori, così come i rinnovi, al fine di implementare eventuali adempimenti normativi nel trattamento dei dati personali. Parallelamente è proseguito il lavoro di analisi dei contratti già in essere che, in caso di trattamento dei dati, sono stati aggiornati alle indicazioni previste dal GDPR. Non si sono verificati nel corso dell’esercizio casi di perdita di dati o di violazione della privacy

A seguito dell’introduzione nel 2019 dell’istruzione operativa “Nomine e Responsabilità privacy in caso di variazioni di organico”, il DPO ha fornito supporto nella definizione dei corretti adempimenti in materia di privacy derivanti dall’assunzione di nuovo personale o dal trasferimento di risorse tra strutture organizzative. Nel 2020 è stata effettuata un’apposita verifica per verificare la corretta implementazione della procedura.

È proseguito l’esame delle clausole contrattuali tra titolare e responsabile del trattamento dei dati nei contratti in essere per verificarne la conformità ai principi stabiliti ex art. 28 del GDPR e, parallelamente, il DPO è stato coinvolto anche in fase di stesura dei nuovi contratti per verificarne la corrispondenza ex ante.

Contemporaneamente è proseguita anche l’attività di verifica interna attraverso lo svolgimento, da parte del DPO coadiuvato dalla funzione Compliance di MM, di audit per la verifica delle nomine a Responsabile del trattamento ex art. 28 del GDPR, per la corretta gestione degli adempimenti in ambito privacy degli abbinamenti e della mobilità per la Divisione Casa e per il recupero crediti nell’ambito del Servizio Idrico.

Al fine di consentire una transizione digitale rapida ed efficace, la Direzione Information Technology di MM ha strutturato un piano straordinario per dotare i dipendenti degli strumenti necessari al lavoro da remoto, anticipando in parte alcune iniziative in corso di definizione, quali la fornitura di nuovi PC più performanti e la Digital Workplace, e generando un’accelerazione del processo di trasformazione digitale intrapreso negli scorsi anni.

Il piano ha previsto l’acquisto, il setup e la distribuzione di computer portatili, il collegamento in remote desktop delle postazioni fisse a PC portatili aziendali o BYOD – Bring Your Own Device, il potenziamento della banda Internet per sostenere il traffico di rete e l’utilizzo di app di video-collaborazione e l’abilitazione di quasi 1.000 VPN – Virtual Private Neywork – per i collegamenti da remoto alla rete aziendale dei dipendenti e fornitori.

L’emergenza sanitaria e l’introduzione dello smart working hanno favorito l’intensificarsi degli attacchi da parte di hacker finalizzati a sfruttare le nuove vulnerabilità dovute allo spostamento delle postazioni di lavoro fuori dalla rete aziendale e le eventuali debolezze di carattere organizzativo o procedurale delle infrastrutture IT, sottoposte ad uno stress senza precedenti dalla gestione della pandemia.

Per mitigare tale rischio, la Direzione Information Technology ha rivisto la roadmap di cybersecurity di MM intraprendendo azioni immediate. Intervenendo innanzitutto sui comportamenti individuali, sono state realizzate delle video-pillole di formazione sulla cybersecurity: il corso, a disposizione di tutti i dipendenti, ha coperto vari temi tra cui le mail di phishing, il rischio di data breach e furto d’identità, l’utilizzo dei social network, l’identikit dei cyber-criminali e in generale come proteggersi dai pericoli cyber. Durante il periodo di disponibilità del corso è stata anche pubblicata una newsletter per condividere novità e approfondimenti sulle tematiche cyber – 9 numeri tra giugno e ottobre 2020 – e sono stati realizzati dei video per spiegare perché è importante affrontare in modo organico e strutturato le nuove minacce alla cybersecurity ed è stata creata la piattaforma Digital360 Cybersecurity Awareness.

Al fine di ridurre il perimetro di rischio sono state inoltre introdotte moderne piattaforme di collaborazione. Sono poi state promosse iniziative di sensibilizzazione nei confronti dei fornitori sui temi inerenti al GDPR e al ruolo dell’Amministratore di Sistema.

Al fine di capitalizzare sugli insegnamenti tratti durante un periodo dal carattere eccezionale come quello della pandemia da Covid-19, MM si impegnerà nel futuro per sfruttare a pieno le potenzialità offerte dalle nuove modalità di lavoro, nell’ottica di gestire la transizione da remote working “emergenziale” a smart working. L’obiettivo è quello di cogliere tutte le opportunità delle tecnologie innovative per trasformare in modo efficace ed efficiente i processi di lavoro aziendali, aumentando al contempo la qualità dei servizi offerti alla cittadinanza.

Vista la rilevanza per MM delle tematiche di digitalizzazione e cybersecurity, così come della centralità delle persone e dei loro comportamenti, si prevede nei prossimi anni di rendere ricorrenti le campagne di awareness intraprese nel 2020. In particolare, dal 2021 saranno previste campagne di Social Engineering o anti-phishing finalizzate a misurare il livello di maturità delle persone in MM sui temi cyber.