di Maurizio RUBINI e Emanuele GRECO
LO SCENARIO DI RIFERIMENTO
L’evoluzione della tecnologia, ed in particolare le nuove tecniche basate su big data, machine learning ed intelligenza artificiale, hanno realizzato una rivoluzione culturale nella quale le informazioni rappresentano una leva per ottenere strumenti operativi estremamente utili ed efficaci.
La potenza di questa “arma” incontra la vulnerabilità dei soggetti i quali, a volte in modo inconsapevole, forniscono “munizioni” di informazioni ogni volta che sottoscrivono servizi; la tutela delle persone diventa quindi oggi una necessità di primaria importanza, che deve essere garantita, dimostrata e considerata come elemento fondante nella realizzazione di prodotti e servizi.
Il Regolamento UE 2016/679, meglio noto come GDPR (General Data Protection Regulation), è entrato in vigore da oltre un anno; la nuova normativa ha portato una serie di innovazioni non solo per il singolo cittadino ma anche per aziende, enti pubblici, liberi professionisti ed associazioni rendendo quindi la protezione dei dati non più un tema di interesse solo per i “tecnici” ma anche per la generalità delle persone.
Il legislatore ha voluto in primis introdurre regole più chiare in merito all’informativa ed al consenso stabilendo precisi limiti al trattamento automatizzato dei dati, alla relativa violazione ed all’interscambio degli stessi al di fuori della Comunità Europea. Si è voluto poi rendere la norma più trasparente, con un’unica visione in tutta l’Unione Europea, rendendo chiara e semplice la gestione del proprio dato per ogni cittadino mediante consensi e revoche evidenti.
In considerazione di quanto detto il consenso ad un certo trattamento, che fino a ieri poteva anche essere tacito, è diventato obbligatoriamente esplicito ed il cittadino può verificare in ogni istante come questo viene applicato ed eventualmente revocarlo in modo semplice.
Cambia quindi la visione data ai processi di marketing diretto, ma cambiano anche le modalità di registrazione e fruizione dei molti servizi internet e varia anche la visione relativa alla profilazione dell’utente.
Da un punto di vista più gestionale ed organizzativo poi cambia radicalmente per le aziende, di ogni ordine e grado, la visione generale che passa da un mero censimento dei trattamenti effettuati relativi alla privacy ad un vero e proprio sistema dei rischi dove, con le medesime metodologie messe in campo per il trattamento, ad esempio dei rischi finanziari od operativi, si riportano gli elementi della privacy ad elementi di rischio per il quale si dovranno effettuare attente misurazioni, mettere in atto politiche di riduzione del rischio e pianificare i costi che vanno ad impattare sul conto economico dell’impresa secondo il principio di accountability sancito dalla norma.
Nonostante il notevole lasso di tempo trascorso e gli interventi chiarificatori da parte dell’Autorità Garante, parecchie imprese si sono rivelate tuttora impreparate ad una sua corretta applicazione in quanto la normativa viene avvertita come complessa, poco chiara e molte aziende hanno l’impressione di non avere il completo controllo degli adempimenti.
Secondo quanto evidenziato da un recente report dell’Osservatorio del Politecnico di Milano emerge che nell’adeguarsi al GDPR i principali problemi riscontrati dalle aziende, di qualsiasi dimensione, sono:
- scarsa consapevolezza dei dipendenti dell’impresa sul tema Data Protection;
- raccolta e mappatura dei dati in modo non adeguato alla normativa;
- regole difficili da comprendere;
- budget per la privacy scarso o inesistente;
- adozione di soluzioni tecniche ed organizzative inefficaci.
In virtù di questo scenario appare opportuna qualche riflessione per evidenziare i punti di maggiore attenzione per gli addetti ai lavori e per incrementare la consapevolezza delle imprese nel tutelare un bene così prezioso che sta diventando sempre più anche un fattore competitivo.
APPROCCIO INTEGRATO E SOLUZIONI POSSIBILI
Il percorso per rispondere in maniera efficace agli adempimenti espressi dal Regolamento può prevedere differenti soluzioni, con differenti livelli di complessità, che si adattano alle caratteristiche del contesto in cui si opera. Chi, come noi, si occupa di GRC e delle sue applicazioni (1), sa bene quali sono le necessità di chi svolge attività di governance, e che queste esigenze si estendano su differenti aree, che andiamo a descrivere.
Il primo requisito, naturalmente, è la copertura funzionale: la realizzazione di un modello organizzativo per la gestione della privacy, richiede di accentrare in un unico punto informazioni sul registro dei trattamenti, sulle DPIA svolte, sugli interventi adeguativi in atto, sui data breach, sulle richieste degli interessati e così via. Tale copertura deve necessariamente essere accompagnata dall’adeguamento normativo perché, sebbene il regolamento sia molto recente, ci troviamo di fronte ad una tematica nuova ed in evoluzione, nella quale fioriscono linee guida ed aggiornamenti ai quali è opportuno aderire.
Un altro aspetto fondamentale è l’integrazione: per operare sulla privacy in maniera efficace, si devono avere sempre a disposizione tutte le informazioni relative al contesto di riferimento. Parliamo quindi della tassonomia dei Processi, dell’albero funzionale, degli asset, delle terze parti. La raccolta di queste informazioni per l’aggiornamento del Registro dei Trattamenti rappresenta spesso sforzo importante, con il rischio di ottenere dati non sempre completi e corretti. La predisposizione di flussi informativi provenienti dagli owner di queste informazioni, e parliamo in questo caso di Organizzazione, IT e Approvvigionamenti, oltre a separare in modo corretto le competenze, garantisce la massima precisione nell’operatività privacy, oltre agevolare l’aggiornamento per le iterazioni successive.
Un altro nodo cardine è rappresentato dal reporting; rappresentare con diversa granularità e secondo differenti criteri di aggregazione le evidenze prodotte nelle attività di progettazione e tutela della privacy e della sicurezza delle informazioni, non è solamente il primo adempimento richiesto nella comunicazione con l’Autorità Garante e nella relazione verso il board delle attività condotte; il reporting rappresenta uno strumento fondamentale per avere un atteggiamento proattivo rispetto al contesto in cui si opera, per individuare in modo tempestivo eventuali falle o inadeguatezze nella gestione delle informazioni.
Infine, sottolineiamo l’efficacia di un approccio graduale; la disponibilità di risorse limitate e la necessità di conciliare gli adempimenti privacy con altri obiettivi e priorità aziendali richiedono un progetto flessibile e concreto, in grado di produrre dei quick wins che rappresentano risultati tangibili ed efficaci ottenuti senza sforzi eccessivi. Ad esempio, un semplice portale per le richieste degli interessati, può facilitare la gestione dei dati e migliorare la comunicazione dell’azienda.
La politica dei piccoli passi deve però sposarsi con una programmazione lungimirante, in grado di consentire l’adeguamento alle nuove necessità che man mano si presenteranno, in modo deciso e coordinato, secondo un progetto chiaro e coerente.
In conclusione, si può dire che la cassetta degli attrezzi e delle best practice non è più di per sé sufficiente per una corretta compliance alla normativa GDPR: oltre alla responsabilizzazione degli addetti ai lavori serve un approccio integrato mediante l’ausilio di soluzioni tecniche efficaci ed efficienti.
(1) La soluzione applicativa GO GDPR di Opentech è utilizzata da realtà diversificate e complesse, quali banche, intermediari finanziari, assicurazioni, concessionari di gioco e università, società aeroportuali.
Intervento di
Maurizio RUBINI, Avvocato esperto di Compliance e Governance e membro di numerosi Organismi di Vigilanza 231
Emanuele GRECO, Product Manager di Opentech (*) – Area Business Continuity, IT Governance, Privacy, Safety
(*) Opentech è una società leader nel mercato delle soluzioni software GRC, in cui opera da oltre 10 anni. La società è stata riconosciuta da CIO Applications tra i Top Ten Solutions Provider per l’Integrated Risk Management in Europa per il 2019.
