Il recente regolamento Europeo 2016/679 General Data Protection Regulation (GDPR) definisce i nuovi obblighi dei trattamenti in materia di protezione dei dati(non solo quelli sensibili): un argomento in passato ben inquadrato dal termine “Privacy”. Particolare enfasi, in questo testo, è data ai processi che le aziende dovranno obbligatoriamente implementare al fine di adeguarsi alla normativa entro il termine massimo del prossimo Maggio 2018. Può sembrare che manchi ancora molto tempo per adeguarsi, eppure non è poi così vero, come esprime bene anche questo contributo di Gabriele Faggioli e Chiara Giorgini.
Il principale cambiamento introdotto dal nuovo regolamento, rispetto al precedente Codice Privacy (D. Lgs 196/2003), è rappresentato dal concetto di “accountability” (che si traduce adeguatamente con il termine “responsabilizzazione”). Questo concetto impatta e modifica profondamente l’attuale modello di gestione e protezione dei dati. Il GDPR lascia, ai titolari dei trattamenti dei dati,la discrezionalità su come definire le modalità per raggiungere l’adeguamento normativo, ma al contempo li obbliga sia a dimostrare la correttezza dei razionali dietro l’approccio adottato, sia a dare evidenza del coinvolgimento reale e proattivo di tutti gli attori che si occupano della gestione dei processi per la tutela dei dati.
Il GDPR prevede, infatti, che i titolari definiscano e gestiscano:
• processi di assessment periodici dei trattamenti esistenti; • processi di valutazione di nuovi trattamenti secondo l’approccio “data protection by design”;
• valutazioni periodiche dell’impatto di specifici trattamenti e dei rischi esistenti in materia di sicurezza;
• misure di sicurezza idonee definite sulla base di un approccio “Risk based”;
• eventuali incidenti “data breach” secondo un modo ben strutturato; • audit periodici dell’effettiva attuazione ed efficacia delle misure di sicurezza in essere;
• tutte le eventuali richieste degli interessati, con particolare attenzione ai nuovi diritti quali il “diritto all’oblio” e il “diritto alla portabilità” dei dati.
Un approccio digitale … perché?
Adeguarsi al nuovo regolamento prevede una serie di passi che compongono un percorso molto chiaro. Una prima fase richiede la comprensione chiara della nuova normativa e dei potenziali impatti che può avere sui dati già in possesso e presenti in azienda. In seguito a questa fase di “impostazione”, ogni azienda dovrà definire il proprio “modello organizzativo” per proteggere e garantire nel tempo una gestione sicura dei dati. Infine, il modello organizzativo definito dovrà essere messo “a terra”, in un quadro operativo finalizzato al controllo e alla minimizzazione dei rischi. Se ne deduce che la gestione degli adempimenti normativi sopra descritti e delle indicazioni prodotte durante la fase di analisi e valutazione potrebbe portare a un aggravio negli oneri di gestione operativa.
Oneri che impattano non solo su alcuni ruoli “tecnici” – sia quello previsto dalla norma, cioè il Data Protection Officer (DPO), sia quelli di chi si occupa di Sicurezza Informatica, affari Legali o Audit – ma anche e soprattutto sui Responsabili dei Trattamenti, ovvero su quei ruoli manageriali responsabili dei business sui quali le norme sul trattamento insistono.
A titolo esemplificativo, per garantire la compliance al GDPR, le aziende dovranno avere la capacità di definire, gestire e documentare, ma soprattutto attuare, alcuni principali processi che non in modo esaustivo elenco di seguito:
– identificare, formalizzare e mantenere la mappatura dei ruoli con le responsabilità organizzative in ambito Data Protection; – gestire un Registro dei Trattamenti e procedere a una valutazione periodica degli stessi;
– valutare l’impatto e il rischio di ogni specifico trattamento e procedere a un assessment periodico (Protection Impact Assessment, PIA);
– definire le misure di sicurezza (tecniche e organizzative) idonee in relazione alla valutazione del rischio, governando il grado di attuazione;
– gestire il remediation plan delle misure di sicurezza non adottate; – gestire il processo “Privacy by Design” sui nuovi trattamenti introdotti;
– gestire il registro delle richieste degli interessati e i relativi processi di presa in carico delle richieste; – gestire il registro degli incidenti;
– gestire il processo di audit sui controlli identificati.
È evidente, in questo contesto, che il solo utilizzo di strumenti tradizionali di office automation, quali ad esempio Excel per la gestione dei dati, cartelle di file manager per la gestione dei documenti e le mail per la gestione dei processi, non può più dimostrarsi all’altezza di gestire un tale livello di complessità. Oltretutto, se questi strumenti nell’immediato offrono un indubbio vantaggio economico, nel tempo la complessità di gestione può portare a un’alta dispersione di energie, che possono rivelarsi insufficienti per cautelarsi verso un rischio crescente e, di conseguenza, non rispondere in toto ai requisiti imposti dalla normativa, perdendo così valore ai fini probatori.
Ecco dunque ritornare con forza ancora il tema del “tempo”: le imprese di medio/grandi dimensioni organizzative dovranno sapersi strutturare e in modo adeguato, fino ad adottare una gestione operativa “day by day”. Un modello, questo, che non può prescindere dall’adozione di una piattaforma tecnologica in grado di supportarle, e che implica necessariamente un approccio digitale al GDPR.
Un approccio collaborativo … perché?
Il forte richiamo al concetto di “accountability” del GDPR, a mio modo di vedere impone un approccio orientato alla condivisione di informazioni e procedure; le aziende, per gestire i processi sopra descritti, dovranno inevitabilmente raccogliere dati, evidenze e documenti, ingaggiando ruoli diversi sia all’interno della propria organizzazione sia all’esterno (clienti e/o fornitori). Per esempio, la crescente diffusione dei servizi in cloud comporta un maggiore ricorso a trattamenti esternalizzati. In questi casi,, diventerà sostanziale coinvolgere gli attori esterni (fornitori in primis) sia in fase di definizione degli SLA contrattuali, sia in fase di monitoraggio dell’attuazione delle misure di sicurezza definite. Sarà pertanto necessario approcciare questa sfida con sistemi costruiti sul paradigma della “collaboration”, interna ed esterna.
Tools a supporto
Gli strumenti in grado di rispondere alle esigenze di gestione della Data Protection appartengono alla categoria dei cosiddetti “Privacy Management Tools” – oggi, infatti, la definizione più appropriata, anche in ambito internazionale, è “Data Protection Management Tools”. Questi strumenti sanno supportare l’azienda nell’implementazione e nell’attuazione dei modelli organizzativi GDPR e si distinguono dai tipici software generalisti di GRC (Governance Risk and Compliance) o ERM (Enterprise Risk Management) in quanto integrano i due ambienti e a questi aggiungono ulteriori specifiche caratteristiche funzionali. Le aziende andranno dunque alla ricerca di “Data Protection Management Tools” cercando quelli più adatti a coprire anche altri ambiti di compliance normativa (per esempio, la 231/01, la OHSAS 18001, l’ISO 14000, l’ISO 22000, ecc.) o altri ambiti che richiedono l’applicazione di metodologie per l’analisi del rischio. In questo modo, sarà possibile mettere a fattor comune gli asset trasversali dell’intero modello: l’organizzazione, gli utenti interni ed esterni a ogni livello, ma anche i fornitori, le infrastrutture e altro ancora.
Le attuali indicazioni di mercato suggeriscono che, in organizzazioni altamente e mediamente complesse, la scelta del Data Protection Management Tool non potrà essere procrastinata più di tanto poiché, considerato l’impatto organizzativo e operativo, sarà importante che lo sviluppo del progetto di attivazione del sistema viaggi “a braccetto” con l’attività di pianificazione del modello organizzativo. In quest’ottica, i tempi per adeguarsi prima di arrivare all’applicazione del GDPR si rivelano effettivamente ristretti (meno di 24 mesi, tendenzialmente 2 cicli di budget). Un orizzonte temporale in cui le aziende devono definire un modello organizzativo solido, stabile e prospettico, adottarlo e metterlo a terra operativamente. Diviene dunque fondamentale sfruttare appieno tutto il periodo transitorio a disposizione.
