Prospettive

GDPR e data protection occasione per una visione estesa della conformità

A due anni dall’entrata in vigore, il regolamento europeo GDRP continua a tenere banco e dispiegare i suoi effetti sulle organizzazioni, come evidenzia la ricerca dell’Osservatorio Information Security & Privacy del Politecnico di Milano che, per il terzo anno consecutivo, analizza le iniziative delle imprese per essere compliant alla normativa. Parzialmente conclusa la fase di digitalizzazione delle entità di base, si tratta ora di garantire una conformità che coinvolga tutta l’organizzazione e che diventi occasione per creare framework di sicurezza e conformità estesi

Pubblicato il 20 Apr 2020

GDPR Osservatorio 1

La ricerca dell’Osservatorio Information Security & Privacy evidenzia molte luci e qualche ombra sull’attuazione del GDPR nel 2019. Un aspetto positivo è che il 55% delle aziende (180 grandi imprese che costituivano il campione) ha dichiarato di aver completato i progetti di adeguamento con un incremento di oltre il 30% rispetto allo scorso anno; ma d’altro canto si può notare che ancora il 45% non li ha ancora completati. Particolarmente preoccupante appare poi il fatto che il 10% del totale affermi che le implicazioni del GDPR non sono ancora all’attenzione del board, a due anni dell’entrata in vigore della normativa.

Lo stato di adeguamento al GDPR graphic
Lo stato di adeguamento al GDPR Fonte: Osservatorio Information Security & Privacy del Politecnico di Milano, 2020

Può considerarsi positivo il ruolo del GDPR nel 2019 nell’alzare il livello di attenzione sulla problematica del data breach: il 76% delle imprese ha infatti dichiarato che con il GDPR sono cambiati i processi di gestione dei della violazione dei dati.

Novità interessanti anche sulla presenza della figura del DPO che ha assunto un ruolo rilevante in concomitanza con il GDPR per assistere il titolare del trattamento nel garantire il rispetto dei requisiti della normativa. Risulta un sensibile incremento delle aziende che hanno formalizzato la presenza della figura al loro interno e delle aziende (+9%) che hanno delegato la responsabilità all’esterno (27% del totale). La tendenza a esternalizzare il ruolo del DPO nasce sia dalla necessità di dover contare su figure multidisciplinari (non sempre disponibili all’interno) sia per evitare conflitti di interesse.

Lo stato di adeguamento al GDPR graphic
Il ruolo del DPO Fonte: Osservatorio Information Security & Privacy del Politecnico di Milano, 2020

Il ruolo del DPO in un contesto di conformità in progress

Fabrizio Bicego, Data Protection Officer di Lavazza ha evidenziato, nel corso della tavola rotonda sul tema GDPR svoltasi in occasione della presentazione dei dati dell’Osservatorio, in cosa consista il suo ruolo, che si è focalizzato soprattutto nel definire un percorso, a partire dal 2018, per strutturare una cultura della privacy all’interno dell’azienda: “Per rispondere alle organizzazioni che si ritengono conformi, sottolineo che, a mio parere, la compliance è sempre un work in progress – sostiene – I trattamenti non sono statici ma vanno rivisti continuamente, la connessa evoluzione del rischio è continua e adempimenti, come il registro trattamenti, non sono mai compiuti”.

A suo parere la cultura della privacy, che ritiene sia ormai diffusa nella sua azienda, non va vista come imposizione legata solo a un aspetto sanzionatorio; va invece compresa l’utilità del trattamento dei dati conforme al regolamento. Questo comporta anche ragionare con le diverse figure aziendali per capire quali sono i dati da conservare sia a livello elettronico sia cartaceo che spesso occupano spazi inutili che si potrebbero invece liberare, diminuendo il rischio. “Tutto questo va spiegato e interiorizzato per definire una strategia di retention e applicarla”, aggiunge.

La focalizzazione sulla componente formativa va estesa a tutti gli aspetti della sicurezza, ivi compreso il data breach, che Bicego considera “il peggior incubo del DPO”. La formazione è indispensabile soprattutto per prevenire violazioni di dati personali che possono arrivare dall’interno, spesso in modo inconsapevole.

Gianluca Giaccardi, Chief Product Officer, Tesisquare, facendo il punto sullo stato dei progetti aziendali, conclusa la digitalizzazione delle entità di base (come il registro trattamenti), conferma l’esigenza di mantenere aggiornato il sistema, attingendo a tutte le funzioni aziendali, business compreso.

In questa nuova fase serve a suo parere:

  • l’attivazione di un sistema collaborativo che usi un linguaggio comprensibile anche per il business con l’obiettivo di poter raccogliere informazioni che verranno poi rielaborate da funzioni specifiche (IT, DPO, sicurezza informatica);
  • l’automazione di processi secondari, come ad esempio quelli che servono al DPO per mantenere aggiornata l’organizzazione; può risultare ad esempio utile automatizzare la mappatura, ereditando dati e informazioni dal sistema Risorse umane;
  • nel momento in cui le aziende fanno uno sforzo di comunicare con tutta l’organizzazione, i flussi informativi non devono operare solo sulla protezione dei dati ma realizzare un sistema integrato che includa anche altre normative.
foto Tavola Rotonda Osservatorio
Osservatorio Information Security & Privacy del Politecnico di Milano, 2020

Nel 2019 il GDPR come occasione per definire la supply chain security, la testimonianza

Quanto suggerito da Giaccardi, ossia raccogliere dati e informazioni per realizzare un sistema integrato per altre normative, è stato realizzato da DEPObank che, in collaborazione il Gruppo Lutech, ha definito un framework in grado di definire gli obblighi normativi e i requisiti di sicurezza che la società deve garantire quando esternalizza una funzione o un servizio.

DEPObank è una banca che offre security service e servizi di pagamento bancari principalmente a banche e SGR e ha individuato nella supply chain uno dei punti problematici: “Abbiamo considerato i rischi della Supply chain per individuare le normative richieste per la tutela dei dati e le abbiamo inserite in un framework aggiornato – ricorda Marco Sanseverino, CISO di DEPObank – Si è trattato di un lavoro complesso visto che le normative non sono omogenee e non prevedono misure prescrittive ma lasciano ma l’interpretazione dei principi di security all’organizzazione”.

Il progetto, durato 4 mesi e da poco in produzione, aveva l’obiettivo di standardizzare i requisiti di sicurezza richiesti ai fornitori per allinearli alle policy di sicurezza aziendali.

Il framework è stato realizzato incrociando le normative, declinate nel contesto dell’azienda e dei fornitori, individuando i requisiti da mettere in atto, con il supporto dell’organizzazione che si trova a dover rispondere in prima persona agli organi di vigilanza e enti, per individuare la compliance ai rischi.

“Un importante risultato è stato rendere consapevoli i fornitori, che non sempre riescono seguire la velocità delle nuove normative in ambito bancario, dei loro obblighi normativi e del livello di sicurezza richiesto”, commenta Sanseverino.

La mappatura dei requisiti su un framework standard di processo, tipo 27001, non ha riguardato solo i requisiti tecnici del fornitore ma anche quelli organizzativi, di formazione, etc.

Il lavoro fatto confluisce in documenti di requisiti di sicurezza allegati ai contratti con i fornitori.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!


Argomenti


Canali

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4