Nell’era della digitalizzazione il tema del trattamento dati personali è caldissimo. Il dato personale è ormai un asset, il cuore dei modelli di business di maggior successo, in primis Google e Facebook. Per questo la Comunità Europea ha promulgato un nuovo regolamento – GDPR, o General Data Protection Regulation – con direttive per molti aspetti radicalmente diverse dalla normativa precedente. Il GDPR è già in vigore e occorre conformarsi entro maggio 2018, affrontando un percorso organizzativo, tecnologico e di processi che va pianificato subito. Ma la consapevolezza tra le aziende italiane per ora è bassa. Questi i temi dell’evento “Alert GDPR: quali impatti per l’azienda?”, tenutosi a Milano nell’ambito dei Digital Performance Lab di TESISQUARE.
«Il 2016 secondo il Rapporto Clusit è stato l’anno peggiore di sempre in termini di evoluzione delle minacce “cyber” e dei relativi impatti, eppure c’è ancora bisogno di fatti di cronaca, vedi WannaCry o una nuova legge, perché si parli di trattamento dati e sicurezza ICT con la giusta attenzione», ha spiegato Gabriele Faggioli, CEO P4i-Partners4innovation, Presidente Clusit e Condirettore Scientifico Osservatorio Security & Privacy del Politecnico di Milano.
I motivi sono molti: c’è un problema di base di cultura e conoscenza, le informazioni sugli attacchi sono molto parziali («nessuna legge ha mai obbligato a comunicarli: il GDPR sarà la prima»), e la “superficie d’attacco” continua ad ampliarsi, per il diffondersi dello smart working e degli oggetti connessi (IoT). Inoltre, pur sfiorando il miliardo di euro l’anno – dati dell’Osservatorio Security del Politecnico di Milano – gli investimenti in ICT Security in Italia sono insufficienti rispetto al valore generato dall’uso dell’ICT.
Responsabilità più ampie per outsourcer e fornitori cloud
«Il 72% degli attacchi nel 2016 sono stati ransomware e data breach, cioè eventi legati al cybercrime. Il ransomware ha provocato gravi danni ma almeno ha portato questi temi sulle prime pagine dei media», sottolinea Faggioli. Insomma la percezione sale, ma la pericolosità degli attacchi cresce più velocemente.
In tale quadro lo stesso Osservatorio qualche mese fa ha fotografato l’approccio delle grandi aziende italiane al GDPR. «Quasi la metà non conosceva neanche l’argomento ma credo che nel frattempo tale percentuale si sia azzerata; l’altra metà è partita con progetti di adeguamento ma siamo lontani da strategie dettagliate di investimenti e interventi. Nel caso migliore saranno messi a budget dal 2018, con forte crescita nel 2019 e 2020».
In generale, osserva Faggioli, il GDPR è un passo avanti su molti fronti. Un esempio è la responsabilità di outsourcer e fornitori di servizi Cloud.
L’esternalizzazione dell’ICT è un trend inarrestabile: è logico affidare la gestione delle piattaforme digitali e della loro sicurezza ai Cloud provider, soprattutto per le PMI, che non hanno le risorse per difendersi da sole. «D’altra parte se uso una soluzione in Cloud, per le scelte di trattamento dati dovrò confrontarmi con il fornitore. Se per esempio gestisco il CRM con il software-as-a-service del fornitore X, con il GDPR dovrò accettare la valutazione dei rischi che fa X, o pagare di più i servizi. D’altra parte se un mio cliente subisce una sottrazione di dati personali potrà rivalersi anche su X».
Faggioli ha poi “lanciato” gli interventi successivi citando altri pilastri del GDPR, come la data protection “by design” e l’accountability del titolare dei trattamenti. «È la terza “generazione” di norme sulla privacy, ma stavolta il legislatore vuole una vera svolta, viste anche le sanzioni previste, che sono molto più alte di quelle dell’attuale normativa, e possono arrivare nei casi più gravi anche al 4% del fatturato annuo».
«Il concetto rivoluzionario è che non ci saranno autorizzazioni»
A proposito di Data Protection “by design”, l’art. 25 del GDPR dice che sia nel momento in cui si definisce un trattamento e gli strumenti per gestirlo, sia all’atto del trattamento, il titolare mette in atto misure tecniche e organizzative adeguate per soddisfare il regolamento, e deve essere in grado di dimostrare in ogni momento questa adeguatezza. «È un profondo cambiamento – ha spiegato Sergio Fumagalli, Responsabile Practice Data Protection di P4I e coordinatore del sito Europrivacy.info -. Il concetto è: ogni volta che si decide un nuovo trattamento, vanno definite fin da subito le misure per adempiere al GDPR».
In condizioni particolari poi, e cioè nel caso di trattamenti basati su nuove tecnologie (per esempio black box in macchina, braccialetti smart, ecc.) che comportino alti rischi per diritti e libertà delle persone fisiche, è richiesta una valutazione d’impatto (Data Protection Impact Assessment) del trattamento. «Il titolare deve informarsi, decidere, e mantenere una documentazione che giustifichi tale decisione. Il concetto rivoluzionario è che non avrà un’autorizzazione. Può solo consultare il garante, che darà parere non vincolante. E non essendoci approvazioni, non ci sono rallentamenti».
In generale comunque con questi tre principi – by design, impact assessment e consultazione preventiva – il GDPR introduce un approccio di data protection viva, continua, condivisa, con procedure sempre attive in azienda, forte collaborazione, e scelte sempre giustificabili, sottolinea Fumagalli.
La libertà di decidere e l’onere di poter giustificare
Andrea Reghelin, Associate Partner P4I e coordinatore del sito Europrivacy.info, ha invece approfondito un altro dei concetti basilari del GDPR: l’accountability. «Il titolare è responsabile del rispetto di una serie di principi di Data Protection. Tra questi (ne abbiamo parlato nel dettaglio in questo articolo, ndr) ci sono liceità, correttezza e trasparenza nella gestione dei dati, limitazione del trattamento, dei dati utilizzati e della conservazione, integrità e riservatezza».
Inoltre deve poter spiegare le scelte che ha fatto per rispettarli. «Per esempio una password di accesso ai dati deve avere la complessità più adatta rispetto ai rischi che gravano sul trattamento specifico: devo dimostrare di aver fatto l’analisi dei rischi e l’esito di questa analisi. Analogamente devo poter spiegare perché ho deciso di non dotarmi di un DPO (Data Protection Officer) – nei casi in cui non è obbligatorio – o di non informare i clienti di una violazione dei loro dati; e poi anche i controlli vanno documentati».
Il concetto generale è che occorre un vero e proprio sistema aziendale di data protection, che supporti un processo “closed loop” di gestione dei trattamenti. «Non basta un ufficio, occorre applicare il principio by design, attribuire ruoli e responsabilità (la direzione HR deve governare i trattamenti in area HR, la direzione marketing quelli in area marketing e così via), aggiornare continuamente il registro dei trattamenti, definire regolamenti e procedure, mantenere la documentazione di decisioni e controlli, controllare l’effettiva applicazione, fare adeguamenti quando servono».
Insomma, sottolinea Reghelin, il titolare ha libertà di decidere come adeguarsi al GDPR («con l’aiuto del DPO, che nello spirito della legge è un organo consultivo e di controllo»), ma tale libertà è gravata dall’onere di poter dimostrare perché sono state prese le decisioni.
«L’accountability permea tutto, e questo ha impatti anche sugli strumenti per gestire la compliance al GDPR. È logico ricorrere a soluzioni digitali, sia per informatizzare i processi sottostanti, sia per documentare decisioni e controlli».
Una rete d’imprese per una soluzione ad hoc
Proprio per questo TESISQUARE ha deciso di investire negli ultimi 18 mesi nell’evoluzione della sua soluzione di gestione della privacy, per farne un “Data Protection Management Tool”. «Abbiamo messo a punto TESI GRC Modulo GDPR costituendo una rete d’imprese con P4I, che ha contribuito con le sue competenze legali e di digitalizzazione dei processi, Blackswan, che ha portato in dote i suoi modelli di analisi del rischio, e Compet-e, specialista di gestione della privacy», ha spiegato Gianluca Giaccardi, Business Line Executive GRC e HRM di TESISQUARE.
Le funzioni principali della soluzione sono organization and roles («mappatura dei ruoli impattati dalla Data Protection, non solo interni»), processing management («registro dei trattamenti, con due processi principali: privacy by design per i nuovi trattamenti, assessment periodico per quelli vecchi»), analisi rischi («impact analysis, calcolo rischio netto») e misure di sicurezza, Supplier Qualification, gestione delle richieste degli interessati (cioè i titolari dei dati personali), incident and data breach, gestione audit/non conformità/remediation plan, e infine reporting/dashboarding.
«L’obiettivo – conclude Giaccardi – è digitalizzare sia il modello organizzativo, grazie al supporto di workflow e collaborazione, sia la governance di tale modello attraverso cruscotti delle attività, grazie anche all’integrabilità della soluzione con gli altri sistemi informativi aziendali, per esempio applicativi di HR per derivare le modifiche organizzative o di analisi dei rischi».