Chi va in vacanza, cerca in genere relax. E quindi sicurezza, tranquillità e riservatezza al 100%: anche per i propri dati personali. Tanto di più quanto più è consapevole che un turista è un target alquanto appealing per gli uffici marketing di qualsivoglia azienda di beni di consumo e di servizi di ospitalità. Per un’azienda attiva nell’area della tourism & leisure industry, la capacità e l’affidabilità nel garantire la privacy dei dati dei clienti costituiscono, ormai da tempo, un valore da coltivare, che va esteso e tenuto sotto controllo anche al di fuori del periodo di vacanza trascorso nelle proprie strutture.
Su questi binari s’è mosso l’iter di adeguamento alle norme del GDPR da parte del gruppo Costa, primario operatore turistico italiano che fa capo alla Carnival Corporation & Plc, società quotata alle Borse di Londra e New York.
“Il cliente va protetto anche quando è sceso dalle nostre navi – ha sostenuto Paola Eugenia Repetto, Data Protection Officer di Costa Crociere nel corso dell’incontro dedicato ai risultati della Ricerca 2018 dell’Osservatorio Information Security & Privacy del Politecnico di Milano – La security delle nostre navi si è estesa a quella dei dati personali, che vanno trattati senza invadenza, e come in una cassaforte”.
Who's Who
Paola Eugenia Repetto
Quella di Costa Crociere è una realtà dai grandi numeri: attualmente sono 27 le navi in servizio, per una capacità complessiva di circa 76mila posti letto, principalmente sulle rotte del Mediterraneo, Nord Europa, Mar Baltico, Caraibi, Nord e Centro America, Sud America, Emirati Arabi, Oceano Indiano, Estremo Oriente e Africa. Entro il 2021 verranno integrate alla flotta altre sei navi di nuova generazione, realizzate in base a criteri costruttivi di sostenibilità e d’innovazione tecnologica e informatica.
L’adeguamento al GDPR e il miglioramento della sicurezza informatica
Costa Crociere aveva colto l’occasione del GDPR per abbinare all’iter di adeguamento un insieme d’interventi destinati a migliorare le misure di sicurezza informatica e i processi di digitalizzazione già attivati. Due sono state le fasi principali di questo progetto di adeguamento:
- la fase 1, iniziata a giugno 2017, s’è prolungata fino alla data di effettiva applicazione del GDPR (25 maggio 2018), con l’implementazione di tutte le operazioni necessarie per rispondere ai requisiti prescritti dal Regolamento.
- la fase 2, partita con l’entrata in vigore del GDPR, è tuttora in corso e prevede la revisione e il miglioramento costanti dei processi implementati.
Creazione di un team di esperti
A giugno 2017, il primo passo operativo è stato quello di creare un team di esperti sia legali sia informatici. Sono stati quindi nominati un DPO-Data Protection Officer di estrazione legale e un GDPR Project Manager, che riporta al Vice President Information Technology.
Al DPO sono state affidate, innanzitutto, le aree della Policy, Education e Governance: sono state quindi riviste le informative sul trattamento dati, sono state redatte nuove procedure ed è stato sviluppato un corso di formazione ad hoc sui requisiti imposti dalla normativa europea: “Il commitment del board è stato forte e preciso in tal senso – ha spiegato Repetto – e ci ha sostenuto anche nel diffondere l’awareness all’interno dell’azienda, creando anche delle unità data champion e data owner in ogni dipartimento. Cosicché se anche in momenti non istituzionali si sentiva qualcuno parlare di trasferimento dati, si poteva diffondere l’avvertenza di coinvolgere sempre l’IT security e il DPO”.
Regolamentazione rapporti con terze parti
Sul fronte della gestione delle terze parti sono stati regolamentati i rapporti con i partner che si trovano a trattare i dati personali dei dipendenti e/o passeggeri per conto di Costa Crociere: tra questi, per esempio, gli sviluppatori e fornitori di servizi tecnologici, gli agenti portuali e i call center in outsourcing.
Criteri di conservazione e cancellazione dei dati
In parallelo, per quanto riguarda la Data Retention, sono stati definiti i criteri relativi al periodo di conservazione dei dati personali e sensibili da parte di Costa Crociere, che in linea generale non può superare i dieci anni dal loro ottenimento. È stata inoltre affrontata una serie di casi particolari, come per esempio quello di alcuni dati personali dei dipendenti, che vanno conservati per un periodo di tempo maggiore, e per i quali il DPO ha concordato con la funzione Human Resources le modalità di gestione. Last but not least, è stato implementato un nuovo processo per l’esercizio dei diritti da parte degli interessati, quali il diritto di accesso e quello di cancellazione.
Gestione dei dati strutturati e non strutturati
Insieme al team dell’IT, il GDPR Project Manager si è focalizzato invece sul doppio versante dei dati strutturati e di quelli non strutturati.
Per i primi è stato svolto un assessment di tutte le applicazioni contenenti dati. “L’analisi – ha spiegato Augusto Fedriani, GDPR Project Manager e Business Continuity Deputy Director & Disaster Recovery Manager di Costa Crociere – è stata svolta inizialmente in modo manuale e l’impegno è stato notevole. È stata effettuata una mappatura dei dati, sono stati individuati i data owner e, per ogni applicazione, è stato definito un livello di rischio e abbiamo implementato nuove misure di sicurezza. Uno dei prossimi step sarà quello del passaggio da una gestione manuale della mappatura dei dati presenti sulle applicazioni a una gestione automatizzata”.
Who's Who
Augusto Fedriani
Per implementare al meglio questo progetto nella sua complessità, il team IT di Costa Crociere s’è avvalso della collaborazione dei partner Informatica e Nodes. Sono state utilizzate tecniche diverse di protezione dei dati a seconda della tipologia di applicazione e di dato. Più in dettaglio, per quanto riguarda i sistemi di test, il gruppo genovese ha deciso di ricorrere a tecniche di mascheramento del dato allo scopo di ridurre sensibilmente i rischi derivanti dal trattamento, adottando una soluzione proposta da Informatica, Informatica Persistent Data Masking.
Nel caso dei sistemi di produzione, non potendo utilizzare tecniche di mascheramento del dato, Costa Crociere ha preferito optare per una contromisura differente, in relazione al trattamento dei dati sensibili, facendo ricorso a tecniche di crittografia. Infine, per tutti i sistemi (di test e di produzione) e per tutti i tipi di dati (personali e sensibili), il gruppo operava già con un sistema di controllo degli accessi.
Date le criticità riscontrate nella gestione manuale del processo di analisi e di mappatura dei dati, Costa Crociere ha deciso inoltre di ricorrere a una seconda soluzione di Informatica, Informatica Secure@Source, che ha permesso di effettuare la discovery automatica dei dati sensibili nei vari sistemi aziendali e fornire un’indicazione costante del livello di rischio dei dati sensibili ai fini GDPR. La soluzione, inizialmente utilizzata in fase sperimentale su un set limitato di applicazioni, sarà pienamente a regime nel giro dei prossimi mesi per coprire l’intero parco applicativo aziendale.
Prove di sicurezza: la simulazione di un furto del CRM
Agli inizi di novembre 2018, il Presidente di Costa Crociere ha chiesto di effettuare un test per verificare l’efficacia della procedura di data breach. È stata quindi organizzata un’esercitazione in cui è stato simulato il furto del data base del CRM-Customer Relationship Management, contenente 13 milioni di record: da questa simulazione sono emersi alcuni spunti di rilievo, che hanno portato a studiare metodi efficaci per la notifica dell’incidente all’autorità e agli interessati, nonché per gestire le comunicazioni indirizzate al personale interno ed esterno e ai media.
Per Costa Crociere, quindi, il GDPR s’è tradotto in un’importante occasione per ottimizzare i processi già in corso all’interno del gruppo e per svolgere un’ampia operazione di ‘pulizia’ di tutti i dati ritenuti ormai inutilizzabili.