Il testo sulla protezione dei dati personali entra definitivamente in vigore a maggio di quest’anno ma non contiene esplicite guidelines: l’obiettivo è spostare l’attenzione sulla gestione di un rischio che può variare molto in funzione del settore in cui opera l’azienda o l’organismo che ha a che fare con le informazioni. Un approccio familiare a chi si occupa di cyber security, ma che non si esaurisce in uno o più tool da implementare. Ecco le cose essenziali da conoscere, tenendo conto di un aspetto critico per una normativa che sanziona in modo molto severo la “non adeguatezza”: il percorso verso la compliance è lungo, in molti casi oneroso (non solo in termini di costi) e molte aziende sono in ritardo ed esposte al rischio-sanzioni. Ma per fortuna possiamo contare su un ampio mercato di soluzioni e servizi di consulenza
Privacy by default, accountability, impact analysis, obbligo di denuncia, data minimization e retention. E così via. Il regolamento europeo sulla protezione dei dati personali (GDPR) conferma e rafforza diversi trend normativi già affermatisi nel corso del tempo in Europa, con una forte chiamata in corresponsabilità delle aziende e un sistema di sanzioni – vere e proprie multe espresse in percentuale dei fatturati aziendali – che sulla carta può diventare molto oneroso e difficilmente aggirabile. Il legislatore europeo ha sicuramente agito in linea di continuità con il passato, ma allo stesso tempo si rivolge alle imprese e ai responsabili delle loro infrastrutture informatiche, chiedendo un impegno ancora maggiore. Non solo in termini di tracciabilità delle informazioni – con una riduzione dei margini di rischio di esposizione delle stesse, per esempio attraverso nuovi metodi di anonimizzazione dei dati (disaccoppiamento tra informazioni generiche e informazioni anagrafiche), riduzione del volume complessivo delle informazioni conservate e della loro ridondanza, rimozione delle informazioni non più utili alla conduzione del business – ma anche in termini di capacità di individuare rapidamente le violazioni avvenute, che secondo il nuovo regolamento devono essere tempestivamente e volontariamente segnalate alle autorità centrali.
COMPLIANCE IN CHIAROSCURO
Il problema è che la linea di partenza per la definitiva entrata in vigore del GDPR (dopo un periodo transitorio che non prevedeva sanzioni), fissata per il prossimo maggio, è alle porte mentre gli obiettivi della compliance sembrano ancora molto lontani. «Dalle indagini che IDC ha condotto negli ultimi diciotto mesi su questo tema – afferma Giancarlo Vercellino, research and consulting manager di IDC Italia – si evidenzia un procedere flemmatico verso la scadenza del periodo transitorio». Quasi il 60% delle imprese sopra i dieci addetti, spiega Vercellino, dichiara di trovarsi in uno stadio avanzato di adeguamento ai nuovi termini della normativa in vista dell’imminente scadenza di maggio 2018, ma ben il 40% afferma di trovarsi ancora in una fase piuttosto preliminare, non avendo ancora pianificato una specifica roadmap oppure essendo appena partiti con le prime valutazioni. Quel che più conta – e forse dovrebbe preoccupare – è che «meno del 5% delle imprese sostiene di avere già provveduto a tutti gli adempimenti».
[spacer color=”8BC234″ icon=”fa-info” style=”1″]
Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.
Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola
Clicca qui per scaricarlo gratuitamente
[spacer color=”8BC234″ icon=”fa-info” style=”1″]
Gli obblighi ai quali le organizzazioni aziendali (e non solo) devono ottemperare sono tanti e sicuramente la tecnologia e il software possono aiutare, insieme ai servizi di valutazione e affiancamento e formazione che i vendor di soluzioni di sicurezza, data protection e relativo consulting stanno offrendo – lo testimoniano le dimensioni ragguardevoli della partecipazione a questo dossier – un mercato di piccoli, medi e grandi utenti di informatica oggi alle prese con la messa in regola delle attività basate sui dati digitali. Secondo le analisi di IDC Italia, la quota dell’intero mercato della cybersecurity attribuibile agli sforzi di adeguamento non sarà indifferente. «Quest’anno – avverte infatti Vercellino – la compliance avrà verosimilmente un impatto particolarmente significativo su alcuni investimenti IT, in modo particolare sulla sicurezza. Il 22% delle imprese italiane sopra i dieci addetti indica la compliance come una priorità essenziale per il 2018, dato che sale al 39% tra le imprese che avvertono la necessità di investire sulla sicurezza IT. Circa il 10% delle imprese in fase avanzata di adeguamento al GDPR investirà in sicurezza oltre il 3% del budget IT complessivo». Oltre ai processi, conclude l’esperto, le aree di maggiore rilevanza degli investimenti saranno le tecnologie di web security, la mobilità e le infrastrutture di rete.
BINOMIO INSCINDIBILE
Una grossa area di incertezza percepita dalle organizzazioni che sono tenute a rispettare il regolamento, riguarda proprio le contromisure vere e proprie da adottare. Al momento, dal legislatore non sono ancora arrivate linee guida precise o best practice da implementare e come vedremo in seguito – dall’intervista con l’avvocato Valentina Frediani, founder e CEO dello studio Colin & Partners che abbiamo coinvolto in questo dossier – l’assenza di un preciso codice di comportamento è stata per così dire ingegnerizzata da un legislatore che ha voluto fissare una serie di obiettivi e presupposti, lasciando a chi deve ottemperare al regolamento, uno spazio di manovra che agisce anche da stimolo alla lettura e alla comprensione di un testo, che secondo Valentina Frediani è molto più esplicito del temuto. Come affermava Alessandro Cecchetti, general manager dello stesso studio specializzato in consulenza legale informatica, nel corso della tavola rotonda organizzata da Data Manager proprio per fare chiarezza sull’adozione del GDPR, la mancanza di precise norme di comportamento invita a rispettare l’unica regola possibile: leggere con cura il testo, individuare i punti di aderenza alla propria realtà procedurale e infrastrutturale e implementare di conseguenza le necessarie misure tecniche e organizzative. Si andrà a creare così – sottolineava Cecchetti – il binomio inscindibile voluto dal legislatore, quello tra il dato digitale inserito nel contesto delle infrastrutture e delle applicazioni informatiche e l’informazione considerata dal punto di vista del business e dei suoi processi.
Alla base del principio di responsabilizzazione che ispira il testo della normativa, c’è l’obbligo da parte dell’azienda di essere in grado di dimostrare l’adeguatezza con la quale è stato affrontato il tema della protezione del dato digitale. In altre parole, l’organizzazione è tenuta a stendere un accurato piano di valutazione da cui potrà derivare l’implementazione di contro misure sia tecniche (come per esempio l’uso della cifratura delle informazioni, o di tool che consentano un uso anonimo del dato personale) sia organizzative (per esempio la gestione improntata a una minore ridondanza dei dati e all’eliminazione di tutto ciò che non ha più utilità per il business). Un’altra forte motivazione dell’estensore della nuova direttiva europea è quella di evitare la definizione di norme preconfezionate e “one size”, proprio per venire incontro all’esigenza di una protezione più adatta allo specifico settore di attività. Uno dei tratti distintivi della compliance consiste proprio nello studio dei trattamenti e delle peculiarità che caratterizzano un’azienda di produzione industriale o un istituto di credito. Questo inevitabilmente comporta la capacità di analisi delle singole situazioni e la creazione di un percorso su misura. In una ottica che volutamente il legislatore ha inteso di vero e proprio risk management.
EVOLUZIONE DELLA PRIVACY
Qual è la risposta dei system integrator e più in generale del mondo delle soluzioni di IT security anche in termini di offerta consulenziale, di assessment e progettazione, e di veri e propri tool a supporto della compliance? Oltre a cercare di spiegare quali sono i principali obblighi e le misure sanzionatorie introdotti dal GDPR, questo dossier si prefigge di evidenziare quali mosse sono concretamente previste da chi deve affrontare un percorso di compliance e quali sforzi sono richiesti alle imprese in termini finanziari e temporali, e quali sono appunto i possibili contributi che vengono dal tradizionale mercato delle soluzioni di data protection, data leak prevention, e di risk e incident management, nonché dal mondo dei servizi di assessment, implementazione e gestione delle soluzioni adottate, in vista dell’obiettivo fondamentale del regolamento: determinare il passaggio da una cultura della tutela della riservatezza a un contesto generale in cui la salvaguardia del dato non viene mai separata dal concreto rischio di esposizione di informazioni personali che sono – anche da un punto di vista valoriale, economico – al centro di attività commerciali o di pubblico servizio.
Per evidenziare i punti essenziali della normativa, facciamo ancora una volta ricorso ai contenuti che Alessandro Cecchetti di Colin & Partners e Claudio Telmon, membro del direttivo e del comitato scientifico di CLUSIT hanno delineato, nelle due chiavi di lettura giuridica e informatica, nel corso della tavola rotonda di Data Manager. Il nuovo regolamento, aveva precisato Cecchetti, va appunto in direzione della data protection, tanto che tra le misure di sicurezza da adottare si fa riferimento alla 27001, la norma ISO sulla gestione della sicurezza informatica. Il punto chiave di una norma concepita come trasversale all’interno dei settori di industria e delle singole aziende è che diversamente dal passato, il nuovo regolamento non deve essere demandato esclusivamente a figure come il data protection officer (DPO). È il modo di concepire la privacy, che cambia completamente. La struttura del GDPR non prevede come si è detto una lista di cose da fare ma definisce una serie di macro-obiettivi, rimettendo all’azienda il compito di raggiungerli. Spetta a ogni singola organizzazione, in funzione del core business, del modo di trattare i dati, di tanti altri fattori, andare a calare il testo della norma nella propria realtà. Quest’ultima è una considerazione da tenere presente anche nell’affrontare le misure di sicurezza che il regolamento prevede, introducendo tra l’altro un principio di responsabilità, di “accountability”, in base al quale le aziende devono dimostrare la consapevolezza sulle misure adottate, ovvero nell’intera gestione del regolamento e della sua applicazione. Di analoghi margini di interpretazione godono le strutture preposte ai controlli, come la Guardia di Finanza, incaricata di svolgere verifiche che possono avere una durata più estesa, considerando che il compito del controllore è anche quello di capire le logiche con cui il regolamento è stato studiato e applicato alle diverse situazioni.
L’ONERE DELLA PROVA
Il principio di “accountability” – in altre parole, l’onere della prova in relazione all’efficacia delle misure messe in atto – è stato introdotto proprio perché il GDPR prevede l’introduzione di misure tecniche e organizzative “adeguate”. Il binomio inscindibile di cui parla Cecchetti di Colin & Partners prevede un costante allineamento tra misure tecniche e procedure operative: inutile per esempio adottare sofisticati processi di autenticazione che regolano l’accesso alle risorse di rete se mi dimentico di disattivare gli account dei dipendenti che lasciano l’azienda. Il GDPR equivale in pratica all’obbligo di adottare un sistema gestionale, non prima di aver analizzato le procedure in atto e le peculiarità delle singole aziende, o aver controllato che sul piano tecnico non esistano discrasie con quanto prescritto dal regolamento. Altra importante novità riguarda i concetti di privacy by design e privacy by default. Un concetto che incide sulla cronologia degli adempimenti perché il by design viene per esempio demandato anche ai fornitori che mettono sul mercato prodotti che hanno un impatto tecnologico. Viene qui introdotta una precisa co-responsabilità: in base al regolamento, i fornitori devono assicurarsi che le loro soluzioni rispettino la privacy by design e anche loro dovranno effettuare opportune analisi di conformità.
[amazon_link asins=’B079V3BFSX,B079WYBGJ2,8890341912′ template=’ProductCarousel’ store=’dmo0e-21′ marketplace=’IT’ link_id=’fa8bddd7-22c2-11e8-a67e-5163bed9a305′]
La privacy by default può essere considerata come una responsabilità dell’azienda che acquista determinate soluzioni e le deve impostare. Anche se non sempre le reciproche responsabilità sono chiare nei progetti di sviluppo congiunto dove l’azienda “compliant” collabora con soggetti esterni. Il problema dei due tipi di privacy va affrontato cronologicamente per primo e deve riguardare retroattivamente anche le soluzioni software già presenti. Occorre effettuare una mappatura, tracciare i criteri che rientrano o non rientrano nelle definizioni di privacy by design o by default, tenendo conto della diversa misura in cui le informazioni personali possono impattare un applicativo. Sul piano legale, un altro tema da affrontare riguarda, a seconda della tipologia di trattamento, i privacy level agreement o data processing agreement. Si tratta di integrazioni contrattuali pensate dal punto di vista della privacy e non riguardano le implementazioni e le clausole di conformità previste dalla legge 196. I privacy level agreement (PLAs) disciplinano aspetti che hanno effetti legali evidenti ma impattano soprattutto sul piano tecnico: i backup, gli accessi degli amministratori di sistema e la loro “loggatura”, la mappatura dei subfornitori, la destinazione finale dei dati alla chiusura di un contratto o con l’eventuale passaggio dal fornitore A al fornitore B. Soprattutto, la parte delle subforniture che nel testo è molto lunga. Molte logiche del passato vengono ribaltate dal nuovo regolamento, che invita chi stipula un contratto di outsourcing a “smarcare” fin dall’inizio il tema della privacy per perimetrare in modo preciso i ruoli svolti dai responsabili dell’azienda e dai suoi fornitori.
LOGICA DI GESTIONE DEL RISCHIO
Anche l’esperto in sicurezza di CLUSIT fa partire le proprie considerazioni tecniche dal tema della responsabilità. «ll regolamento ci chiede di adottare una logica di gestione del rischio, la stessa richiesta dagli standard di cybersecurity» – precisa Claudio Telmon. In particolare, nell’articolo 32 la norma si allinea a quelle che dovrebbero essere le buone pratiche della sicurezza dei sistemi informativi, e in termini organizzativi si dovrebbe collocare nell’ambito della gestione dei sistemi di sicurezza aziendale. Un passo avanti rispetto a normative che imponevano le loro contromisure a prescindere dalla tipologia di dati e del loro contesto di trattamento. Un passaggio interessante del citato articolo è quello che impone di tutelare i dati dell’interessato da rischi di varia natura, per esempio di integrità, disponibilità e sicurezza del dato: in altre parole, i rischi non devono necessariamente riguardare attacchi e violazioni, il GDPR parla anche di quelli derivanti da errori nell’implementazione e nelle procedure.
Al centro del processo gestionale voluto dal regolamento, c’è – secondo Telmon – il requisito del registro di trattamento. In base alle definizioni e alle prescrizioni sul contenuto di questo documento, questo registro può fare da collegamento tra il business, i processi operativi dell’azienda e il sistema informativo. Attenzione però, per il registro di trattamento è prevista una forma scritta: può trattarsi di un file elettronico ma non di un semplice database. Come “precursore” del registro, lato sistemi informativi è consigliabile disporre di un buon inventario degli applicativi e dei flussi tra questi, uno strumento sempre auspicabile dal punto di vista gestionale, ma non facile da realizzare. Insieme al registro – spiega Telmon – la normativa prevede la stesura di un data privacy impact assessment (DPIA), che ha tuttavia una logica diversa. La gestione del rischio riguarda tipicamente le implicazioni che possono derivare per l’azienda dai vari tipi di minacce e incidenti. L’impact assessment valuta invece le potenziali conseguenze del trattamento dei dati sull’interessato.
A proposito di questo trattamento e del tema della privacy by default, Telmon mette in forte evidenza l’indicazione verso la cosiddetta data minimization. La normativa prevede che la quantità dei dati raccolti e trattati sia sempre ridotta al minimo indispensabile, già a livello di procedure. Nella stessa direzione della minimizzazione va anche uno dei temi più significativi del GDPR, la pseudonimizzazione, che consiste nel rendere non immediatamente identificabili (in quando diverso dall’anonimizzazione) i dati di profilazione, mantenendo però la possibilità di associare l’identità originaria (trattandosi di un processo reversibile). Tale prassi viene applicata ovunque sia possibile e può comportare serie difficoltà di implementazione su sistemi e processi preesistenti. Tra pseudonimia e minimizzazione è possibile ridurre lo spazio di esposizione al rischio, aspetto fondamentale per una norma che – è sempre utile ricordarlo – formalizza la prassi del rilevamento e della tempestiva denuncia delle violazioni (data breach) riscontrate. Infine, ci sono alcuni aspetti che pur non rappresentando una novità rispetto alla legge 196, vengono posti in maggiore evidenza.
TRATTAMENTO E CONSERVAZIONE
Un punto più specifico di altri è quello dell’estrazione dei dati personali per la riconsegna all’interessato e della portabilità dei dati in un formato standard che renda possibile il trasferimento delle informazioni da un provider all’altro. Con il regime sanzionatorio attivato dal GDPR diventa opportuno mettere in atto un processo che sia in grado, almeno in via preliminare, di rispondere alle richieste degli utenti in tempi chiari. Più nuova e tecnicamente sfidante, è la questione della data retention, principio in base al quale il registro dei trattamenti deve contenere precise indicazioni sulla durata del periodo di conservazione dei dati e il loro termine di cancellazione. Un ultimo punto che ha implicazioni tecniche e giuridiche, riguarda il data protection officer, una figura né nuova né obbligatoria, ma che in tanti contesti può avere un ruolo importante nel suggerire e indirizzare le scelte procedurali. Il DPO non deve essere in conflitto di interesse con le attività su cui è chiamato a esercitare un ruolo di controllo (per esempio, non può essere il responsabile IT). Secondo Alessandro Cecchetti di Colin & Partners, quella del DPO sarà una funzione evoluta e interdisciplinare, non facile da individuare: dovrà avere competenze specifiche sul regolamento e sulle specificità delle aziende, e dovrà essere dotato di “soft skill” utili al suo ruolo più di intermediatore che di guardiano.
Per la preparazione di questo dossier, Data Manager ha conversato anche con Valentina Frediani founder e CEO dello studio di consulenza legale informatica. Abbiamo chiesto innanzitutto quali sono gli aspetti del GDPR che rappresentano, anche dal punto di vista della compliance, i momenti di unicità, diversità, distacco rispetto alla precedente normativa. «Il tratto distintivo del regolamento europeo rispetto all’attuale normativa privacy di cui al decreto legislativo 196 del 2003, è dato sostanzialmente dal cosiddetto principio di accountability su cui si fonda lo stesso regolamento. In sostanza, mentre nella 196 sono individuati in modo specifico i vari punti e oneri sulla base dei quali si deve uniformare il titolare del trattamento, il GDPR richiede al medesimo di adottare “misure tecniche e organizzative” tenendo conto dei rischi derivanti dal trattamento dei dati e di tutti quegli elementi che possono riguardare le sue finalità e l’ambito di applicazione, al fine di essere in grado di dimostrare che il trattamento è conforme al regolamento». In sostanza – spiega Valentina Frediani – il Legislatore europeo sembra aver preso atto delle enormi differenze che caratterizzano i destinatari del testo normativo: dimensioni, status economico e differenti legislazioni nazionali che ne caratterizzano lo sviluppo. La norma sposta sul titolare del trattamento l’onere della realizzazione di un’analisi che lo porti a confrontare il proprio modus operandi sulla gestione dei dati rispetto a tutti i principi contenuti nel dettato legislativo stesso. «Questo è un punto di rottura molto importante rispetto all’attuale normativa nazionale».
CAMBIAMENTO E CONTINUITÀ
In questo senso, che cosa si può “conservare”, pensando al lavoro di adeguamento già svolto in passato, e quali nuove misure o procedure devono essere adottate, e in quale ordine cronologico, in chiave di adeguamento alla normativa oggi vigente? «Sicuramente – continua Valentina Frediani – ci sono elementi di continuità rispetto alla 196. Per esempio, le informative costituiscono la base portante quale strumento di trasparenza e riconoscibilità per i diretti interessati in merito alla gestione dei propri dati e all’esercizio dei diritti. Nello specifico, anche se viene meno l’adempimento relativo alla nomina, nel testo si fa riferimento al tema delle autorizzazioni per quanto concerne gli operatori che trattano dati. Quindi, anche da questo punto di vista, i documenti di nomina potranno essere letti alla luce del regolamento europeo». Tuttavia, più che “conservare”, bisogna prendere in considerazione l’evoluzione degli adempimenti adottati nel corso degli anni in ottemperanza alla legge 196. «Molte aziende, nel tempo, hanno creato procedure al fine di mettere al centro i diritti dell’interessato e la gestione dei profili di autorizzazione: tematiche, queste ultime, che possono offrire la dimostrazione di un’attenzione organizzativa al tema privacy all’interno dell’azienda stessa. Si tratta di verificare l’allineamento rispetto a quegli obblighi della 196 che vengono riportati nel regolamento, e da lì effettuare l’evoluzione necessaria, introducendo tutti i nuovi grandi temi del GDPR».
Uno dei punti emersi durante la tavola rotonda organizzata da Data Manager sul GDPR riguarda la sostanziale assenza di precise linee guida, di best practice mirate alla compliance in materia di GDPR. La spada di Damocle di decisioni sanzionatorie come conseguenza delle violazioni rappresenta un ulteriore elemento di incertezza. «È ancora così ed è giusto che sia ancora così» – avverte Valentina Frediani. Trattandosi di un testo normativo che si basa appunto sul principio di accountability è impensabile che si possano porre delle regole precise rispetto a entità giuridiche che operano su tutto il territorio europeo, basandosi su aspetti giuridici, economici, culturali, tecnologici completamente diversi. I principi citati nel regolamento sono molto chiari, quindi andare a rileggere all’interno della propria realtà i processi che caratterizzano la gestione dei dati, la documentazione che viene rilasciata, le misure tecniche, adottate in un’ottica di analisi, è un “esercizio yoga” che purtroppo le aziende italiane sono abituate a rimandare». L’esperta invita a ricollegarsi alla legge 231 in materia di sicurezza sui luoghi di lavoro e a tutte quelle normative che essenzialmente imponevano alla struttura di prendere atto e misurare il proprio status rispetto al dettato normativo. Il caso di questo nuovo regolamento europeo non è così isolato rispetto ad altre disposizioni. «Il problema, semmai, sta nel fatto che metodologicamente gran parte delle aziende non ha la capacità di analizzare e mettere in discussione le modalità operative e le misure di sicurezza adottate fino a oggi».
[amazon_link asins=’B079V3BFSX,B079WYBGJ2,8890341912′ template=’ProductCarousel’ store=’dmo0e-21′ marketplace=’IT’ link_id=’fa8bddd7-22c2-11e8-a67e-5163bed9a305′]
IMPATTO SUL BUSINESS
Forse, la preoccupazione più condivisa è l’impatto che una piena aderenza alla normativa comporta in termini – per così dire – di libertà di business model. È davvero ipotizzabile che il rispetto della privacy digitale può costituire una sorta di interferenza con il business, limitandone le possibilità e soprattutto le opportunità? Sembra quasi di cogliere una sorta di contraddizione in un Legislatore che da un lato delinea le condizioni favorevoli a una ampia apertura alla libera concorrenza (per esempio, normative di ampio respiro come PSD2) e dall’altro immagina un sistema di norme che sembrano impattare proprio su opportunità per le quali le tecnologie sono fattore abilitante. Ma il discorso di Valentina Frediani si fa quasi accalorato. «La normativa privacy non impatta assolutamente sulla libertà di adottare il proprio business model. Questa è una paura che si crea in quelle realtà in cui selvaggiamente i dati sono stati gestiti senza razionalizzazione, senza mettere in discussione il proprio modo di operare, probabilmente come 100 anni fa accadeva rispetto ai diritti dei lavoratori». Il mondo cambia – avverte Valentina Frediani – e le aziende devono, oggi più che mai, capire che tutti i principi raccolti nel nuovo regolamento europeo in materia di protezione dei dati potrebbero essere letti totalmente nell’interesse della tutela delle informazioni aziendali, oltre che nel rispetto dei diritti degli interessati. «Finché non cambia l’ottica, e quindi l’approccio delle aziende a questo adeguamento normativo, rimarrà il sapore di un Legislatore europeo che impone, dispone e non agevola le aziende nel gestire il proprio patrimonio dati. Ma questo è un grande errore che deve essere immediatamente corretto. Alle aziende deve arrivare il messaggio giusto: utilizzare il GDPR per ottimizzare la gestione delle informazioni aziendali che costituiscono il pane quotidiano di ciascuno di noi». Oggi, in un’epoca in cui la circolazione delle informazioni a livello informatico può comportare rischi altissimi, non solo per la perdita, ma anche per la rivelazione a soggetti non autorizzati, il regolamento si pone insomma come strumento di ampia tutela non solo per gli interessati, ma anche per i titolari del trattamento: si vedano, per esempio, i temi della contrattualistica e del data breach introdotti dal nuovo quadro normativo.
IL FATTORE PIÙ CRITICO
Il dominio del GDPR riguarda quindi una sfera, l’informazione digitale, le cui applicazioni oggi contribuiscono a generare, gestire e soprattutto estrarre valore dal dato. A questo punto però, c’è da chiedersi in che misura la stessa tecnologia, il software, può agevolare la conformità a queste stesse regole. Domanda che giriamo volentieri a Valentina Frediani, CEO dello studio Colin & Partners, chiedendole se, al contrario, la compliance normativa non sia pertinenza esclusiva delle procedure e di una policy comportamentale. «Nel GDPR – scorrendo il testo – osserva la Frediani, gli aspetti tecnologici hanno un impatto probabilmente del 30-40% rispetto a tutto l’adeguamento normativo. Ma la sicurezza e il rispetto della gestione dei dati, giustamente, non passano solo dalla tecnologia. A conferma della valorizzazione del fattore umano, il regolamento introduce l’obbligo di adottare misure organizzative adeguate». Per esempio è possibile razionalizzare profili di autorizzazione per accedere ai dati, adottare soluzioni anti-intrusione particolarmente valide, perimetrare in modo adeguato la sicurezza dei dati, «ma il fattore umano resta quello più critico qualora non vi sia sufficiente educazione sulla gestione del dato. Senza formazione, la violazione verrebbe comunque effettuata a prescindere dalle misure tecnologiche adottate». La tecnologia della sicurezza informatica è un elemento imprescindibile, ma come sempre conta moltissimo chi utilizza certi tool, e come viene formato in tal senso. Come valutare l’offerta di strumenti e servizi che vendor, system integrator e consulenti specializzati mettono a disposizione delle aziende? «In questo momento, il mercato offre di tutto e di più, forse anche troppo» – risponde Valentina Frediani. «Personalmente, ritengo che sia fondamentale essere molto lucidi nel momento in cui si affronta un progetto di adeguamento particolarmente complesso, individuando una metodologia in grado di coinvolgere sin dall’origine del progetto i vari ruoli aziendali, valutando solo dopo una gap analysis, strumenti e servizi ad hoc. Pensare di adeguarsi al GDPR senza avere una visione d’insieme attraverso una analisi che confronti la propria realtà aziendale con quanto prescritto dal regolamento, lo ritengo assolutamente rischioso. A meno che l’azienda sia a un “punto zero” sul tema privacy: in questo caso da rischioso può diventare conveniente».
CHE COSA C’È IN GIOCO?
Il nocciolo della questione è il diritto di ciascun individuo nella sua relazione con la salvaguardia dei dati digitali. Diritto che si articola in cinque ambiti fondamentali:
- Consenso informato – Il diritto a essere informato sul perché sia necessario disporre di determinate informazioni e su come esse verranno utilizzate. Il consenso deve essere dato in modo esplicito e può essere ritirato in qualsiasi momento.
- Accesso – Il diritto di accedere gratuitamente a tutti i dati conservati e ricevere informazioni sul loro trattamento.
- Correzione – Il diritto a correggere dati imprecisi.
- Diritto all’oblio – Il diritto dell’individuo a richiedere la cancellazione dei dati che lo riguardano.
- Portabilità – Il diritto a recuperare e riutilizzare i dati personali per finalità proprie nell’intero spettro dei servizi selezionati.
Il primo obiettivo verso la compliance sarà dunque quello di valutare, ed eventualmente modificare, il modo in cui la propria organizzazione raccoglie, archivia e rielabora i dati personali in funzione dei diritti evidenziati. Una parte essenziale di questo compito sarà quella di localizzare ciascuna istanza di queste informazioni attraverso l’intera organizzazione.
GOVERNANCE E RESPONSABILITÀ
L’azienda deve essere in grado di dimostrare di aver rispettato il testo della normativa attraverso adeguate misure di governance, incluse una documentazione dettagliata, la registrazione e una costante valutazione dei rischi. Un’ulteriore aspettativa da parte del legislatore riguarda in questa sede la cosiddetta protezione by design e by default: la sicurezza e la protezione dei dati devono essere – nella più ampia misura possibile – parte integrante del sistema gestionale, non una aggiunta successiva o posticcia. A fronte della velocità di trasformazione ed evoluzione delle tecnologie, il regolamento GDPR è volutamente “evasivo” sulle contromisure tecnologiche necessarie, limitandosi a utilizzare termini come “adeguato” o “stato dell’arte” per definire i livelli di protezione al di là dell’esplicito riferimento a tecniche di cifratura e pseudonimizzazione. In altre parole: ciò che è adeguato oggi può non esserlo domani!
DENUNCIA DELLE VIOLAZIONI
Il testo GDPR introduce un nuovo tipo di obbligo: l’azienda o l’organizzazione deve notificare presso le autorità responsabili qualsiasi tipo di violazione riguardante dati digitali di natura personale in grado di tradursi in un rischio per “i diritti e le libertà dell’individuo”. In caso di rischio particolarmente elevato, la notifica dovrà essere estesa anche all’individuo interessato. La denuncia deve essere presentata senza indugio, entro 72 ore dall’avvenuta conoscenza del fatto, in particolare fornendo entro le prime 24 ore dalla scoperta dell’evento, le informazioni minime per consentire una prima valutazione dell’entità della violazione. Anche in assenza di esplicite avvertenze riguardanti specifiche contromisure, il primo passo verso la compliance deve essere quindi un apparato di tutela che assicuri la massima protezione del sistema informativo sottostante e totale capacità di reportistica.
[spacer color=”8BC234″ icon=”fa-info” style=”1″]
Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.
Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola
Clicca qui per scaricarlo gratuitamente
[spacer color=”8BC234″ icon=”fa-info” style=”1″]