Negli ultimi due anni, tutte le imprese hanno dovuto dedicare tempo e risorse per non farsi trovare impreparate all’appuntamento del 25 maggio scorso, quando il GDPR, il regolamento generale europeo sulla protezione dei dati personali, è entrato in vigore con piena efficacia.
Aver rispettato la scadenza del 25 maggio, tuttavia, non è sufficiente: la conformità al GDPR non può infatti essere considerata una attività da completarsi una tantum, bensì richiede a tutte le imprese, di qualunque dimensione e a qualunque settore di attività appartengano, un approccio completo e continuo alla gestione della privacy.
È proprio il GDPR che pone l’onere della “valutazione continua dei rischi” in capo al responsabile del trattamento dei dati; all’articolo 32 del regolamento così si legge: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Quello che da molti è considerato un mero onere, rappresenta in realtà una grande opportunità per tutte le aziende: l’analisi del rischio continua è infatti l’approccio giusto e il modo migliore per garantire non solo la compliance ma anche la sicurezza, consentendo alle aziende di validare in modo proattivo e continuo i controlli di sicurezza per la protezione dei dati esistenti.
Tra GDPR e AGID, le novità per le aziende
In estrema sintesi, con il GDPR si abbandona un approccio meramente formalistico, basato su regole e adempimenti analiticamente definiti. Tutto è ribaltato sulla maggiore responsabilizzazione del Titolare del Trattamento, chiamato a prendere una serie di decisioni in merito al modello utilizzato per la protezione dei dati personali. Il Regolamento lascia al Titolare del trattamento una certa discrezionalità su come garantire l’adeguamento normativo ma, al tempo stesso, lo obbliga a dimostrare la fondatezza e la validità dell’approccio adottato. Sono in molti a pensare che il principale cambiamento introdotto dal General Protection Data Regulation sia legato al concetto di accountability (responsabilizzazione), che obbliga le aziende a rivedere completamente i modelli di gestione e protezione dei dati in essere. Ecco perché una visione corretta deve abbracciare GDPR e Big Data Management pensando alla sicurezza come denominatore comune.
A questo proposito l’AGID ha dato indicazioni in merito alle Misure Minime (MM) di sicurezza ICT finalizzate a contrastare le minacce informatiche più frequenti che includono controlli di natura:
- Tecnologica
- organizzativa
- procedurale
A seconda della tipologia di organizzazione, queste Misure Minime hanno vari livelli di attuazione obbligatoria.
I dati come nuovo patrimonio d’impresa
GDPR e Big Data Management obbligano le imprese a rivedere l’intera value chain dell’informazione. Siamo in un’era data-driven: le aziende, guidate dai dati, vedono aumentare notevolmente le proprie performance. In generale, lo sviluppo economico e sociale è strettamente collegato all’utilizzo dei dati e alla loro trasformazione in informazioni, usate per prendere decisioni e per creare nuovi prodotti e servizi.
Grazie alla data economy, le aziende non solo possono avvicinare i propri clienti in nuovi modi, più funzionali ed efficaci, ma possono gestire dipendenti, partner e collaboratori con un livello di proattività dettato da nuove capacità predittive, associate all’uso di soluzioni di analisi e di intelligence che, a un livello più evoluto, chiamano in causa deep learning e machine learning.
Il nuovo mantra del business è racchiuso nelle 4C: Compliance, Confidentiality, Contestuality e Cybersecurity.
Al centro della governance, infatti, c’è la capacità di gestire in real time tutte le informazioni possibili su ogni singolo processo, sistema, settore e utente. La doppia dimensione analogica e digitale inaugurata dall’omnicanalità e dalla Internet of Things porta cose e persone a lasciare tracce che generano flussi di dati, tutti da capire e da gestire. È sulla gestione dei dati personali che il GDPR ha segnato una forte linea di demarcazione, riequilibrando il campo dei diritti e dei doveri fra consumatori e aziende.
Ecco perché si parla di GDPR e Big Data Management, tema che pone sul tavolo tutta una serie di elementi da considerare, fra cui una definizione più ampia dei dati personali e diritti ampliati per i consumatori in termini di portabilità dei dati, diritto all’oblio, obblighi di notifica ai consumatori (e alle autorità) di eventuali violazioni dei dati, e standard più elevati per l’ottenimento e la gestione del consenso.
Che cos’è un dato personale e perché si parla di protezione
Ma cosa si intende per dato personale? Come dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»), attraverso dati di dettaglio come il nome, il cognome, un codice identificativo on line, dati relativi all’ubicazione nonché tutti i dati relativi alle sue caratteristiche fisiche, fisiologiche, genetiche, psichiche, economiche, culturali o sociali; è chiaro che si parla di un mare magnum di dati. Ecco perché GDPR e Big Data Management sono strettamente correlati. Che cosa è il GDPR, in estrema sintesi? Non è altro che un corpus di normative che tutelano la privacy dei dati raccolti da chiunque si occupi della loro raccolta. Gestione dei dati e protezione dei dati, però, rappresentano due facce della stessa medaglia. Gli obblighi normativi del GDPR corrispondono a nuovi oneri di formalizzazione e produzione di documenti, che si riflettono in un aggravio del lavoro a carico di chi, all’interno dell’organizzazione, si occupa di sicurezza.
Violazione dei dati e compliance
Il GDPR disciplina il data breach, prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. L’approccio del Regolamento si differenzia nettamente da quello adottato della Direttiva 95/46/CE, che, al contrario, non dispone alcun obbligo generalizzato di notifica. Tutte le aziende che intraprendono un percorso di adeguamento al GDPR efficace come prima cosa devono procedere a una fase di analisi in cui esaminare le proprie esigenze specifiche, stabilendo quali siano le loro priorità in merito alla tutela delle informazioni personali identificabili (dati personali). In secondo luogo, devono ipotizzare la predisposizione di interventi utili a rimediare a eventuali situazioni di non conformità, adeguando i processi di business impattati e dimostrando la propria conformità attraverso idonei processi di reportistica e una documentazione approfondita.
Dal momento che, secondo il GDPR, i titolari sono tenuti ad adottare innanzitutto dei comportamenti proattivi in grado di garantire il rispetto del Regolamento stesso in tutte le fasi del trattamento, le garanzie e i limiti da applicare al trattamento di dati personali effettuati sono il risultato di decisioni prese autonomamente. È qui che subentra il concetto di Privacy by design, che richiama l’attenzione dei titolari sull’esigenza che la protezione dei dati personali venga garantita in modo nativo, ovvero fin dalla fase di progettazione. Questo significa, in concreto, che il titolare non sarà compliance se applicherà delle misure standard e predeterminate a diverse tipologie di trattamento, ma dovrà sempre procedere ad un’analisi realistica e specifica del singolo contesto di riferimento.
Per garantire la compliance e allinearsi alle Misure Minime indicate dall’AGID, le aziende devono istituire una gestione del ciclo di vita del dato personale che tenga conto:
– delle modalità di impiego di questi dati
– delle finalità per cui sono utilizzati in azienda
– delle tecnologie impiegate
– dei vari soggetti coinvolti nel trattamento
GDPR e Big Data Management: la sicurezza al centro della governance
Considerati i costi delle violazioni dei dati e dei tempi di fermo dell’attività causati dal furto o dalla perdita di dati critici, è chiaro il rinnovato interesse delle aziende.
Non esiste società al mondo che possa permettersi di correre il rischio di ignorare il tema della cybersecurity. Non a caso, il GDPR ha riportato le aziende ai fondamentali della sicurezza, imponendo alle organizzazioni di identificare una strategia di sicurezza e di adottare misure amministrative e tecniche adeguate per proteggere i dati personali. Il problema è che è quasi impossibile garantire l’integrità e la sicurezza di tipi specifici di dati che viaggiano attraverso la rete e lasciare il resto dell’ambiente IT al di fuori. Di fatto, il regolamento incoraggia a rivalutare e migliorare la strategia generale di cybersecurity, imponendo:
– di stabilire un controllo completo sull’intera infrastruttura IT
– di creare flussi di lavoro di protezione dei dati più sani
– di semplificare il monitoraggio della sicurezza
Sono queste attività, infatti, che possono aiutare le aziende a ridurre la superficie di attacco, a capire meglio cosa sta succedendo sulla rete e a ridurre la probabilità di dover pagare il dazio a quel cybercrime in continua evoluzione.
Assessment GDPR: che cos’è e perché è così importante
La fase preliminare della procedura di adeguamento al Regolamento Generale sulla Data Protection è l’assessment, ovvero un processo di valutazione strutturato. Si tratta di una fase cruciale perché è qui che vengono identificate e messe in luce le lacune da colmare per garantirsi la compliance (gap analysis). Effettuare un assessment efficace del modello di protezione dei dati personali già adottato significa non solo rilevare i disallineamenti rispetto alle numerose novità introdotte dal GDPR, ma anche studiare le più opportune contromisure da inserire all’interno di un piano di adeguamento completo e sostenibile.
A tal fine, è necessario focalizzare le attività di assessment sul modello di protezione dei dati personali attualmente adottato dal Titolare del Trattamento, ovvero sulle scelte effettuate dall’organizzazione per essere conforme alle normative vigenti in materia di protezione dei dati personali. Per facilitare la comprensione del modello, è opportuno scomporre lo stesso in 6 componenti che ruotano attorno al concetto centrale di dato personale, la cui definizione è rimasta sostanzialmente invariata nel GDPR.
- ORGANIZZAZIONE E RUOLI: comprende le strutture, i comitati e i ruoli adottati dall’organizzazione per indirizzare e governare, eseguire e controllare il modello di protezione dei dati personali. In particolare, il GDPR introduce la figura del Data Protection Officer (DPO), che ha compiti eterogenei, alcuni di natura ispettiva interna (sorvegliare), altri consulenziali (dare pareri), alcuni interni all’organizzazione del Titolare, altri esterni (rapporto con gli interessati e con l’autorità di controllo).
- PERSONE, CULTURA E COMPETENZE: include il personale individuato dall’organizzazione (interno ed esterno) per ricoprire i ruoli previsti dal modello, ma anche le azioni messe in campo dalla stessa per sensibilizzare e formare opportunamente il personale. Nello specifico, il GDPR pone particolare attenzione ai requisiti che deve soddisfare la persona che eventualmente ricoprirà il ruolo di DPO, tra cui assenza di conflitto di interessi e conoscenza specialistica di normativa e prassi in materia di protezione dei dati.
- PROCESSI E REGOLE: fa riferimento alle norme di autoregolamentazione e alle disposizioni interne di cui si è dotata l’organizzazione per essere conforme alla normativa. In particolare, il GDPR richiede di rivedere radicalmente il sistema di processi e regole dell’organizzazione, introducendo una serie di elementi che hanno impatti significativi sull’operatività della stessa, tra cui Data Protection by Design, Data Protection By Default, Data Protection Impact Assessment e violazioni di dati personali (data breach).
- DOCUMENTAZIONE: ne fanno parte tutti i materiali legati a policy e procedure che formalizzano le norme di autoregolamentazione, nonché alle disposizioni interne di cui si è dotata l’organizzazione ma anche alla documentazione utilizzata per l’implementazione delle stesse, quale ad esempio informative e consensi, contratti e lettere di nomina. In particolare, il GDPR introduce il registro dei trattamenti dei dati personali, la cui tenuta è in carico al Titolare del Trattamento e, se nominato, al Responsabile del trattamento, che consente di tenere traccia delle operazioni di trattamento effettuate all’interno dell’organizzazione.
- TECNOLOGIA E STRUMENTI: abbraccia i sistemi informativi adottati per il trattamento dei dati personali, sia lato applicativi sia lato infrastrutture, e le relative misure di sicurezza predisposte dall’organizzazione. In particolare, il GDPR prevede l’adozione di misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio (come, ad esempio, la pseudonimizzazione e la cifratura dei dati personali), tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
- SISTEMA DI CONTROLLO: comprende le azioni e gli strumenti messi in campo dall’organizzazione per verificare l’esistenza, l’adeguatezza e l’effettiva applicazione del modello di protezione dei dati personali, con riferimento a tutte le componenti sopra indicate. In particolare, il GDPR sottolinea l’importanza di dimostrare le scelte effettuate dall’organizzazione (accountability), motivo per il quale diventa fondamentale dimostrare l’effettuazione di controlli periodici, opportunamente documentati, e l’esistenza di piani di remediation a fronte di eventuali non conformità rilevate.
Continuous assessment come vantaggio competitivo
In generale, l’assessment GDPR dovrebbe consentire al Titolare del trattamento di comprendere tutti gli elementi della protezione dei dati personali: non si tratta semplicemente di aggiornare la documentazione legale, ma di assicurare una personal data protection più efficace.
La comprensione di come i dati personali gestiti dall’organizzazione siano archiviati e trattati in tutto l’ecosistema digitale impone una valutazione approfondita anche dello stack tecnologico utilizzato. Questo presuppone un’attività di inventarizzazione che aiuta a determinare se il sistema utilizzato a livello infrastrutturale è abbastanza flessibile in un’ottica evolutiva. GDPR e Big Data Management, infatti, presuppongono anche nuove capacità di archiviazione, elaborazione e analisi a supporto delle attività di gestione e di business. La strategia vincente, infatti, è applicare una logica di continuous assessment, per garantire la compliance e una sicurezza che deve continuamente essere verificata e aggiornata per stare al passo con l’evoluzione continua e pervasiva delle minacce.
Per un corretto assessment GDPR le aziende possono utilizzare:
– strumenti di auto-assessment, gestiti da team interni
– soluzioni di assessment online, disponibili sul web
– partner esterni specializzati e accreditati
La scelta dipende dal livello di maturità dell’organizzazione.
GDPR e Big Data Management: la visione di Proge-Software
Gestire GDPR e Big Data Management non è facile e non è scontato. Le aziende devono essere accompagnate nella comprensione e nell’adozione di tutti i punti di attenzione e delle relative contromisure. Non basta risolvere i punti chiave del GDPR che ruotano attorno Privacy by design, Data Protection Impact Assessment (DPIA), Data Breach, Accountability, Data Protection Officer (DPO).
Nella visione di Proge-Software, che su queste tematiche ha sviluppato una practice specifica e soluzioni dedicate, non si può parlare di compliance con il GDPR se non con un approccio onnicomprensivo, che parta dalla ridefinizione dei processi interni e prosegua con l’ottimizzazione e l’evoluzione dell’infrastruttura IT, prestando particolare attenzione agli aspetti legati alla sicurezza e al monitoraggio. Tale percorso non può inoltre prescindere dall’attivazione di specifici percorsi di accompagnamento al cambiamento
“La sfida – spiega Luigi Corletti, Account Manager di Proge-Software – è quella di governare un processo complesso, che coinvolge molteplici attori interni ed esterni”.
“I nostri clienti conoscono la normativa – prosegue Corletti -. Ma a volte la difficoltà è quella di guidare l’intera azienda ad adeguarvisi. Per questo è importante lavorare su soluzioni integrate, che coniugano consulenza, servizi tecnologici, servizi applicativi”.
Ed è proprio in ragione di questa complessità e della necessità di integrazione che Proge-Software ha sviluppato GDPR with ODS (Online Device Supervisor), una soluzione end-to-end, che garantisce una copertura a 360 gradi di tutte le attività necessarie per raggiungere e ancor di più mantenere la compliance ai requisiti della normativa vigente.
GDPR with ODS è un servizio multilivello, il cui cuore è costituito da un servizio di consulenza che guida le aziende nello svolgimento di tutte le attività necessarie per ottemperare ai requisiti, inclusa la definizione dei Ruoli e dei processi.
L’attività consulenziale è integrata con un insieme di servizi tecnici mirati all’implementazione e alla configurazione delle tecnologie Microsoft (come Office 365, Windows 10, SQL Server, Enterprise Management Suite), che rendono l’infrastruttura IT compliant ai requisiti di sicurezza e privacy, e all’adozione dei prodotti Quest, per il monitoraggio avanzato dell’infrastruttura e la reportistica.
Non mancano poi i servizi di Training e Change Management, che aiutano gli utenti non solo a riconoscere il cambiamento, ma soprattutto a comprendere come adeguarvisi per operare nel modo migliore.
Riassumendo, parliamo di una soluzione articolata in quattro tasselli chiave: Consulenza, Soluzioni Tecnologiche Microsoft e Quest, Supporto Tecnico, Formazione e Change Management.
“Per i nostri clienti – conclude Corletti – il vantaggio più importante che deriva dall’adozione della nostra soluzione è sicuramente quello di potersi avvalere di un unico partner, cui affidare in full outsourcing tutte le attività di consulenza, tecniche e di formazione, nella certezza di arrivare al perfetto allineamento dell’infrastruttura IT con i requisiti del GDPR”.
