Il Regolamento europeo sulla data protection (GDPR) è un’evoluzione non una rivoluzione: in Italia non siamo all’anno zero sulla data privacy; tante aziende stanno già facendo un ottimo lavoro in questo senso. Questo il positivo messaggio portato da Antonio Caselli, responsabile dell’Unità di II livello “Documentazione internazionale e revisione quadro normativo UE” Garante per la protezione dei dati personali al convegno “GDPR: ultima chiamata”, organizzato nei giorni scorsi a Milano dal Gruppo Digital360.
“La novità sta nel fatto che il GDPR – ha sottolineato Caselli – impone un approccio diverso alla protezione dei dati, non basta un progetto una tantum, bisogna impostare dei processi continuativi”.
“Alle aziende non piace – ha continuato Guglielmo Troiano, Senior legal consultant di Partners4Innovation, parte del Gruppo Digital360 descrivendo un sentimento comune – il fatto che non siano state date chiare misure di sicurezza da adottare. È importante capire che non è corretto concentrare l’attenzione solo sulla tecnologia, servono procedure specifiche e capacità di analisi della situazione aziendale. In base a questo è possibile crearsi i propri codici etici e quindi procedere all’adeguamento alla normativa. Il fatto che ogni realtà sia diversa, tra l’altro, è il motivo per cui non si può copiare da altri, una tentazione che, secondo la nostra esperienza, a qualcuno è venuta…”
Di questo servizio fa parte anche il seguente articolo:
- GDPR, cosa fare nei prossimi giorni? Ecco i principali adempimenti
“A questo proposito, non dimentichiamoci – ed è il monito di Elena Ferrari, docente all’Università degli Studi dell’Insubria e Rappresentante del Cini – Consorzio interuniversitario nazionale per l’informatica – che si devono assumere persone preparate. Le organizzazioni devono poter contare su risorse competenti nelle diverse materie in cui esse operano”.
“Siamo consapevoli del fatto – è intervenuto Francesco Tortorelli, dirigente responsabile direzione “Pubblica amministrazione e vigilanza” di AgID – che nelle varie PA non si trovano tutte le competenze che servono, quindi stiamo preparando una metodologia utile per la valutazione del rischio nelle pubbliche amministrazioni che possa rappresentare per loro una guida”.
“Per far fronte all’incertezza sulla data protection – ha spiegato Giuseppe D’Acquisto, funzionario direttivo del Garante per la protezione dei dati personali – è stata prevista la responsabilizzazione del Titolare dei trattamenti, quell’accountability di cui ormai spesso si parla”.
“Ritengo – ha affermato Francesco Pizzetti, docente di Diritto della Tutela dei Dati personali alla Luiss di Roma riflettendo sull’opportunità che il GDPR può rappresentare per le aziende – che i fini della normativa siano tre: tutelare i dati, ma anche promuovere l’economia digitale e creare fiducia nel digitale. In tale contesto, le aziende devono avere un Data Protection Officer competente, questo è il migliore investimento da fare. Secondo me, ricordando che non esiste ancora una certificazione di questa figura professionale, nella scelta del profilo non si deve guardare a un tecnico, né a un avvocato, ma a un giurista”.
“Fare il DPO – ha ripreso il discorso Pierluigi Perri dell’Università Statale di Milano – è una attività in continua evoluzione, per cui serve formazione specifica. Inoltre, questa figura, una volta nominata, deve essere messa nelle condizioni di fare il proprio lavoro in azienda”.
In altri termini, il Data Protection Officer per svolgere i propri compiti deve essere inserito nell’organizzazione, riferire direttamente al vertice gerarchico e disporre di risorse finanziarie, umane e di infrastrutture adeguate.
La parola a consulenti e fornitori di tecnologie
Qual è lo strumento davvero più adatto alle mie necessità di data protection? La provocazione è lanciata da Alessio Pennasilico, Information & Cyber Security advisor Partners4Innovation, ma la risposta non è semplice: “Ci sono tanti framework di riferimento, Cini ed Enisa (European Union Agency for Network and Information Security) si sono espressi in merito, dando preziose indicazioni, ma l’importante è capire la metodologia da applicare. Le organizzazioni devono identificare quali cambiamenti sono da introdurre nella quotidianità della loro attività.
Sono convinto che il GDPR sarà utilizzato per normalizzare alcune situazioni di sicurezza informatica aziendale; garantirà quindi continuità e un rafforzamento dell’impegno sul tema security. Guardando allo scenario generale, però, qualche perplessità resta. Per esempio, in riferimento a uno dei temi principali del Regolamento, ossia la necessità di avere sotto controllo la situazione dei dati, non penso sia facile sapere davvero sempre dove e come essi sono gestiti e come intervenire per modificarli quando se ne presenti l’esigenza. Basti pensare alle sempre più diffuse tecniche di intelligenza artificiale: siamo sicuri di essere in grado di recuperare eventuali informazioni generate dalla tecnologia stessa?”
Sicuramente la tecnologia è uno strumento prezioso per mettere al riparo i dati, ma non basta”.
Qui di seguito alcuni spunti tratti dal confronto tra i vendor, partecipanti alle tavole rotonde che si sono svolte durante il convegno. Più che soffermarsi sui loro singoli prodotti i player hanno offerto spunti di riflessione sulle tecnologie utili e sugli aspetti da monitorare in ambito data protection.
Firewall, soluzioni di end point protection, antispam e sandbox sono le principali tecnologie segnalate da Luciano Cassani, regional account manager di Fortinet, accanto a tutti quegli strumenti che consentono di prevenire la fuoriuscita di dati aziendali o la loro perdita. Tutte aree in cui naturalmente Fortinet vanta una offerta integrata. “La nostra architettura vuole innalzare il livello di protezione in azienda. È infatti – ha specificato Cassani – pervasiva, integrata e automatizzata, cioè trasparente nella sua attività di protezione dell’utente”.
La necessità di fare particolare attenzione alla sicurezza dei sistemi mobile è ricordata da Riccardo Canetta, regional sales director Mediterranean di MobileIron, “è fondamentale mantenere il controllo su tutte le app aziendali, non solo sulle applicazioni dei pc. E questo senza dimenticare la user experience; purtroppo, infatti, se i servizi aziendali non sono all’altezza delle aspettative degli utenti il rischio è che questi ultimi prediligano soluzioni non predisposte dall’IT e quindi meno sicure”.
“Una solida piattaforma di governance – ha specificato Francesco Gianferrari Pini, co-founfer di Blindata.io – permette di rispondere alle necessità relative al GDPR e, in generale, a gestire la complessità. Blockchain e tecnologia Grafo (un termine di derivazione matematica che indica un insieme di elementi detti nodi o vertici che possono essere collegati fra loro da linee chiamate archi o lati o spigoli, ndr) hanno un ruolo fondamentale per l’analisi e la notarizzazione dei dati e quindi per assicurare l’integrità dei dati stessi”.
Anche l’utilizzo dei motori di ricerca è un momento da non sottovalutare in ambito di protezione dei dati: “Mentre sappiamo, e gli eventi di cronaca ce lo ricordano, che esprimendoci sui social network i nostri dati possono essere utilizzati da altri per vari scopi – ha sottolineato Fabiano Lazzarini, country manager di Qwant Italy – troppo spesso ci dimentichiamo che lo stesso può accadere facendo ricerche online nei motori di ricerca, dove, erroneamente, pensiamo di essere soli con il nostro dispositivo. Realtà come la nostra sono convinte che anche questo aspetto non vada sottovalutato”.
“La sicurezza dei dati – ha continuato Paola Pellegrino, Security officer Engineering D.Hub – è ormai pre-requisito anche per partecipare ai bandi di gara. Ma io credo che l’attenzione ai dati significhi molto di più, ossia rappresenti un segnale positivo per tutte le aziende che sulla base delle loro informazioni, tutelate, protette e valorizzate, possono ampliare il proprio business. Per fare ciò serve poter contare su formazione e consulenza”.
“La sfida – ha puntualizzato Igor Marcolongo, responsabile process & compliance di InfoCert – è mantenere alta l’attenzione sulla protezione dei dati anche all’indomani del 25 maggio, perché, concordo che si tratta di una importante opportunità. Non dimentichiamo per esempio che i trust services (servizi di fiducia qualificati) stanno permettendo di realizzare processi di digitalizzazione in contesti delicati come quello sanitario”.
Focalizzarsi sui propri dati, ed è il parere di Vera Bevilacqua, senior solution consultant di Nodes, significa prima di tutto essere in grado di classificarli, identificando per ciascuno di essi come sono utilizzati e come devono essere protetti, e in questo senso specifico la tecnologia è fondamentale.
“Grazie al GDPR stiamo parlando molto di tecnologie di sicurezza – ha specificato Andrea Muzzi, sales engineer F-Secure Corporation Italia – ma non dobbiamo dimenticare che si tratta di qualcosa di più, non solo di tecniche ma di un modello più completo che non deve riguardare solo l’IT manager, ma coinvolgere diversi attori per implementare le policy più utili alla sicurezza”.
“Nella nostra attività di consulenza – ha concluso Simona Raimondi, responsabile privacy e Gdpr di ESC2 Security – stiamo occupandoci soprattutto di Registro dei Trattamenti. Ci accorgiamo quotidianamente che il tema privacy ha a che fare con tante divisioni di business, dal marketing in poi. Un consiglio molto pratico è quello di porre maggiore attenzione alla gestione dei dati negli uffici risorse umane”.