Anche in un clima economico incerto e difficile, la privacy continua a rappresentare un’area strategica di investimento imprescindibile e strategica per le organizzazioni a livello globale. Lo indicano i risultati del Cisco 2023 Data Privacy Benchmark Study, condotto sondando più di 4.700 professionisti della sicurezza in 26 diversi paesi.
Nel 2022 la privacy ha continuato ad essere un fattore di business critico per le imprese nel mondo, con l’ampia maggioranza dei rispondenti al sondaggio che conferma il suo valore e importanza. Per il 95% la privacy è un imperativo di business; il 94% dichiara che i clienti non comprerebbero dalla propria azienda se i loro dati non fossero adeguatamente protetti, mentre il 95% ritiene che la privacy sia parte integrante della cultura della propria organizzazione.
In Europa 5 miliardi di euro di sanzioni per violazioni della privacy
Analizzando però lo stato della privacy nello spazio economico europeo (SEE) lo scenario non è confortante. Sono passati oltre cinque anni dall’introduzione, il 25 maggio 2018, del regolamento generale sulla protezione dei dati (GDPR), e, da allora ad oggi, le autorità di controllo, secondo l’osservatorio di Federprivacy, hanno irrogato 5 miliardi di euro di sanzioni per violazioni della privacy. Ma i problemi relativi alla sicurezza e protezione dei dati restano di fatto non risolti.
Infatti, spiega Federprivacy, nonostante nel 2018 il regolamento abbia introdotto una disciplina basata sul principio di “accountability”, cioè di responsabilizzazione, che richiede a imprese pubbliche e private di essere proattive e dimostrare l’effettiva adozione delle misure di sicurezza necessarie per garantire il rispetto del GDPR, da allora la tecnologia si è evoluta in maniera così rapida che la tutela della privacy dei cittadini, degli utenti, è divenuta sempre più complessa.
E tra le maggiori sfide che richiedono soluzioni sostenibili c’è in primo piano l’impatto che l’intelligenza artificiale sta avendo sulla vita delle persone. Senza poi considerare le crescenti minacce che il cybercrime genera per la sicurezza dei dati degli utenti: al riguardo, Federprivacy cita il rapporto annuale del CNAIPIC (centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche), secondo cui lo scorso anno gli attacchi informatici rilevati contro infrastrutture critiche, istituzioni, aziende e privati sono stati 12.947, ossia il 138% in più rispetto ai 5.434 dell’anno precedente.
Privacy e GDPR, la situazione in Italia
In Italia, la Relazione annuale 2022 del Garante per la protezione dei dati personali (GPDP) documenta 1.351 comunicazioni di violazione dei dati, 9.218 riscontri a reclami e segnalazioni e 9,5 milioni di euro di sanzioni riscosse. Nel settore pubblico, le violazioni di dati personali hanno interessato soprattutto comuni, istituti scolastici, strutture sanitarie, mentre in quello privato hanno coinvolto sia piccole e medie imprese, sia grandi società nel mondo delle telecomunicazioni, dell’energia, delle aziende bancarie, dei servizi. Di fronte a questa situazione, viene spontaneo chiedersi quale sia l’effettivo livello di percezione del tema privacy nelle realtà imprenditoriali italiane, e quali le strategie attuate.
«Sulla base della nostra esperienza con circa un centinaio di piccole e medie aziende e alcune grandi società, emerge che oggi ci sono organizzazioni che interpretano il rispetto della normativa in materia come un adempimento, ed altre che lo concepiscono come un processo di miglioramento», risponde Aligi Pilotto, Legal & Compliance Manager di Dilaxia, società di consulenza e servizi ICT.
Who's Who
Aligi Pilotto
«Più precisamente, osserviamo che i nostri clienti di fascia enterprise utilizzano la normativa in materia di protezione dei dati personali come occasione per migliorare e rendere sicuri i propri processi, mentre, nel caso delle PMI, queste iniziative sono spesso lasciate alla capacità imprenditoriale del singolo. E la ragione di ciò è che le PMI sono consapevoli di dover rispettare tale normativa, ma non ritengono il GDPR, direttamente o indirettamente, strategico per il proprio business. Anzi, nella percezione di qualcuno, per fortuna pochi, il GDPR rappresenta una normativa, così come altre, che può rallentare il business, piuttosto che favorirlo».
Tra l’altro, vale sempre la pena ricordare che, a livello di danni potenziali al business, quando si verificano violazioni, le perdite non sono unicamente quantificabili nei costi delle sanzioni e nella riduzione dei margini aziendali, ma devono essere stimate tenendo conto, soprattutto, del deterioramento dell’immagine e della reputazione che un’organizzazione è faticosamente riuscita a conquistare nel tempo.
Conformità GDPR: automatizzare la gestione con un software SaaS in cloud
Specie nelle grandi realtà aziendali, dove coesistono asset e processi più numerosi e complessi, anche un’operazione come l’integrazione di una nuova informativa all’interno del processo di gestione della contrattualistica può rappresentare una sfida. Di conseguenza, il mantenimento di un adeguato sistema di gestione privacy risulta in genere più impegnativo.
Sia negli scenari lavorativi delle grandi aziende, sia delle piccole e medie imprese, l’adozione di un’applicazione SaaS (software-as-a-service) per la gestione della conformità alla normativa in materia di protezione dei dati personali, comunitaria e nazionale, fruibile tramite il cloud, può aiutare a razionalizzare e automatizzare molti processi, nonché a documentare e rendicontare le misure intraprese.
Nel caso, ad esempio, della gestione di una violazione dei dati personali, il software può essere d’aiuto nello stabilire la necessità di notifica all’autorità di controllo, quindi al Garante, o la necessità di comunicazione dell’accaduto agli interessati coadiuvando l’utente nella valutazione del rischio conseguente all’occorsa violazione.
Nell’ambito della gestione privacy, il software sviluppato da Dilaxia S.p.A. si chiama Utopia: funziona nel cloud, e integra MIA, un assistente virtuale basato su intelligenza artificiale che aiuta nella creazione dei registri dei trattamenti e in diverse altre operazioni funzionali alla compliance della organizzazione. Utopia è qualificato dall’Agenzia per la Cybersicurezza Nazionale (ACN), e indirizzato a consulenti, aziende e Pubblica Amministrazione.
«Il software è completo sotto il profilo normativo, nonché in costante evoluzione ed adeguamento, è di facile usabilità e, quando utilizzato da liberi professionisti, risulta molto performante perché consente di gestire molteplici organizzazioni-clienti in un unico applicativo. Per le Aziende o PA, il software è altrettanto utile quale repository organizzato per la rendicontazione dei processi impattati dalla normativa in materia nonché quale strumento di condivisione della documentazione di compliance prodotta all’interno e all’esterno dell’organizzazione. Nell’applicativo possono essere registrate e conservate ogni informazione utile e rilevante per una corretta data governance tra cui organigrammi, procedure, asset aziendali, soggetti terzi che concorrono nei trattamenti, amministratori di sistema, potendo il software essere utilizzato da organizzazioni che ricoprono sia il ruolo di titolare che di responsabile del trattamento dei dati personali» conclude Pilotto.
