La ricerca dell’Osservatorio Information Security & Privacy evidenzia molte luci e qualche ombra sull’attuazione del GDPR nel 2019. Un aspetto positivo è che il 55% delle aziende (180 grandi imprese che costituivano il campione) ha dichiarato di aver completato i progetti di adeguamento con un incremento di oltre il 30% rispetto allo scorso anno; ma d’altro canto si può notare che ancora il 45% non li ha ancora completati. Particolarmente preoccupante appare poi il fatto che il 10% del totale affermi che le implicazioni del GDPR non sono ancora all’attenzione del board, a due anni dell’entrata in vigore della normativa.
Può considerarsi positivo il ruolo del GDPR nel 2019 nell’alzare il livello di attenzione sulla problematica del data breach: il 76% delle imprese ha infatti dichiarato che con il GDPR sono cambiati i processi di gestione dei della violazione dei dati.
Novità interessanti anche sulla presenza della figura del DPO che ha assunto un ruolo rilevante in concomitanza con il GDPR per assistere il titolare del trattamento nel garantire il rispetto dei requisiti della normativa. Risulta un sensibile incremento delle aziende che hanno formalizzato la presenza della figura al loro interno e delle aziende (+9%) che hanno delegato la responsabilità all’esterno (27% del totale). La tendenza a esternalizzare il ruolo del DPO nasce sia dalla necessità di dover contare su figure multidisciplinari (non sempre disponibili all’interno) sia per evitare conflitti di interesse.
Il ruolo del DPO in un contesto di conformità in progress
Fabrizio Bicego, Data Protection Officer di Lavazza ha evidenziato, nel corso della tavola rotonda sul tema GDPR svoltasi in occasione della presentazione dei dati dell’Osservatorio, in cosa consista il suo ruolo, che si è focalizzato soprattutto nel definire un percorso, a partire dal 2018, per strutturare una cultura della privacy all’interno dell’azienda: “Per rispondere alle organizzazioni che si ritengono conformi, sottolineo che, a mio parere, la compliance è sempre un work in progress – sostiene – I trattamenti non sono statici ma vanno rivisti continuamente, la connessa evoluzione del rischio è continua e adempimenti, come il registro trattamenti, non sono mai compiuti”.
A suo parere la cultura della privacy, che ritiene sia ormai diffusa nella sua azienda, non va vista come imposizione legata solo a un aspetto sanzionatorio; va invece compresa l’utilità del trattamento dei dati conforme al regolamento. Questo comporta anche ragionare con le diverse figure aziendali per capire quali sono i dati da conservare sia a livello elettronico sia cartaceo che spesso occupano spazi inutili che si potrebbero invece liberare, diminuendo il rischio. “Tutto questo va spiegato e interiorizzato per definire una strategia di retention e applicarla”, aggiunge.
La focalizzazione sulla componente formativa va estesa a tutti gli aspetti della sicurezza, ivi compreso il data breach, che Bicego considera “il peggior incubo del DPO”. La formazione è indispensabile soprattutto per prevenire violazioni di dati personali che possono arrivare dall’interno, spesso in modo inconsapevole.
Gianluca Giaccardi, Chief Product Officer, Tesisquare, facendo il punto sullo stato dei progetti aziendali, conclusa la digitalizzazione delle entità di base (come il registro trattamenti), conferma l’esigenza di mantenere aggiornato il sistema, attingendo a tutte le funzioni aziendali, business compreso.
In questa nuova fase serve a suo parere:
- l’attivazione di un sistema collaborativo che usi un linguaggio comprensibile anche per il business con l’obiettivo di poter raccogliere informazioni che verranno poi rielaborate da funzioni specifiche (IT, DPO, sicurezza informatica);
- l’automazione di processi secondari, come ad esempio quelli che servono al DPO per mantenere aggiornata l’organizzazione; può risultare ad esempio utile automatizzare la mappatura, ereditando dati e informazioni dal sistema Risorse umane;
- nel momento in cui le aziende fanno uno sforzo di comunicare con tutta l’organizzazione, i flussi informativi non devono operare solo sulla protezione dei dati ma realizzare un sistema integrato che includa anche altre normative.
Nel 2019 il GDPR come occasione per definire la supply chain security, la testimonianza
Quanto suggerito da Giaccardi, ossia raccogliere dati e informazioni per realizzare un sistema integrato per altre normative, è stato realizzato da DEPObank che, in collaborazione il Gruppo Lutech, ha definito un framework in grado di definire gli obblighi normativi e i requisiti di sicurezza che la società deve garantire quando esternalizza una funzione o un servizio.
DEPObank è una banca che offre security service e servizi di pagamento bancari principalmente a banche e SGR e ha individuato nella supply chain uno dei punti problematici: “Abbiamo considerato i rischi della Supply chain per individuare le normative richieste per la tutela dei dati e le abbiamo inserite in un framework aggiornato – ricorda Marco Sanseverino, CISO di DEPObank – Si è trattato di un lavoro complesso visto che le normative non sono omogenee e non prevedono misure prescrittive ma lasciano ma l’interpretazione dei principi di security all’organizzazione”.
Il progetto, durato 4 mesi e da poco in produzione, aveva l’obiettivo di standardizzare i requisiti di sicurezza richiesti ai fornitori per allinearli alle policy di sicurezza aziendali.
Il framework è stato realizzato incrociando le normative, declinate nel contesto dell’azienda e dei fornitori, individuando i requisiti da mettere in atto, con il supporto dell’organizzazione che si trova a dover rispondere in prima persona agli organi di vigilanza e enti, per individuare la compliance ai rischi.
“Un importante risultato è stato rendere consapevoli i fornitori, che non sempre riescono seguire la velocità delle nuove normative in ambito bancario, dei loro obblighi normativi e del livello di sicurezza richiesto”, commenta Sanseverino.
La mappatura dei requisiti su un framework standard di processo, tipo 27001, non ha riguardato solo i requisiti tecnici del fornitore ma anche quelli organizzativi, di formazione, etc.
Il lavoro fatto confluisce in documenti di requisiti di sicurezza allegati ai contratti con i fornitori.