Il Regolamento europeo sulla Data Protection (GDPR, General Data Protection Regulation), adottato nell’aprile 2016, sarà effettivo a partire dal prossimo 25 maggio 2018. Con il GDPR, la protezione dei dati personali diventa una priorità strategica per aziende che non vogliono incorrere in problemi legali ed alte sanzioni (nei casi più gravi, le aziende potranno subire sanzioni pecuniarie fino a 20 milioni di euro / se superiore, fino al 4% del fatturato mondiale totale annuo).
Come affrontare il cambiamento indotto dal nuovo regolamento, tenendo presente che in futuro la mancata compliance al GDPR potrebbe essere un ulteriore grave rischio per le aziende, sia di tipo reputazionale sia anche economico a causa delle sanzioni più elevate? Un approccio completo alla GDPR compliance deve comprendere i seguenti 4 aspetti:
CONOSCERE – GOVERNARE – PROTEGGERE – CONTROLLARE.
CONOSCERE: il regolamento richiede espressamente alle aziende di essere consapevoli dei dati personali che trattano (quali dati sono, dove risiedono, chi vi accede, quali trattamenti sono fatti), dati che oggi rappresentano un asset di grande valore nella nuova economia digitale. Inoltre, il GDPR richiede che le aziende siano in grado di attestare questa conoscenza (accountability). Per questo motivo, considerando il fatto che non tutti dispongono di ampi piani di Data Governance e nella maggior parte dei casi i dati hanno negli ultimi anni pervaso sistemi di ogni tipo (backup, data warehouses, cluster Hadoop, NAS, cloud storage e quant’altro), sarà necessaria un’attività iniziale di investigazione e mappatura per risalire a dove risiedono tutte le informazioni. All’interno delle varie fonti dati, sarà anche importante capire in quali record sono memorizzati i dati personali, con quali rappresentazioni e campi descrittivi, o categorie. Tutta questa attività di ricognizione e classificazione andrà svolta con l’ausilio di tool dedicati.
GOVERNARE: il nuovo Regolamento fornisce istruzioni precise su come tenere sotto controllo la situazione (pensiamo al registro dei trattamenti, alla DPIA). L’obiettivo è soprattutto quello di mantenere il sistema di governo dei dati personali constantemente allineato con quelle che sono le nuove esigenze di trattamento dei dati che arrivano dal business. La Data Governance diventa quindi un’attività obbligatoria per le aziende di qualsiasi settore e dimensione, non più un’esclusiva delle grandi organizzazioni o di alcuni ambiti (Finance, TLC).
PROTEGGERE: la sicurezza del dato diventa prioritaria con la nuova norma EU, che ha la protezione anche nel suo nome (General Data Protection Regulation). Quali misure però utilizzare, sarà compito di ogni realtà deciderlo, in base ai suoi specifici bisogni. Tecniche che vengono indicate sono quelle crittografiche, di anonimizzazione e pseudoanonimizzazione, e tra i processi da considerare, anche quelli di cancellazione dei dati quando non sono più in uso (la policy di retention, che va anche comunicata agli interessati).
CONTROLLARE: ultimo aspetto, ma non meno importante, il controllo o l’audit. Se non svolto internamente dall’azienda nell’ambito delle proprie procedure di controllo, potrebbe comunque essere richiesto dall’autorità Garante, che può chiedere al Titolare di dimostrare di aver predisposto tutte le opportune procedure, di avere una gestione dei dati conforme, di mantenere un registro con le attività svolte e di aver previsto e documentato in modo appropriato tutti gli aspetti, dalla richiesta di informazioni da parte degli utenti alla gestione delle notifiche in caso di data breach.
Considerando quindi questo necessario “percorso verso il GDPR”, abbiamo indagato con la Cyber Risk Management 2018 survey quali sono le attività che vedono oggi le aziende maggiormente coinvolte.
FIGURA. PRINCIPALI INIZIATIVE IN CORSO PER L’ADEGUAMENTO AL GDPR (GENNAIO 2018)
- Al primo posto, come era logico, gli aspetti di mappatura e inventario dei dati personali.
- La privacy-by-design e by-default è giustamente tra le attività più frequenti: infatti, deve essere incorporata in ogni progetto e/o nuovo sviluppo dell’azienda che possa far uso di dati delle persone (pensiamo a un CRM, a una App consumer, al sito Web, ecc.).
- Segue la ricerca di soluzioni che possono aiutare l’azienda nel progetto di compliance, ad esempio relative agli aspetti di Data Governance & Protection.
- Quasi un’azienda su 2 sta poi analizzando il parco applicativo dell’organizzazione per individuare le soluzioni che utilizzano i dati personali.
Nel complesso però la figura ottenuta (per quanto riferita al periodo dicembre 2017 – gennaio 2018) conferma che molti dei lavori in corso riguardano ancora una minoranza di aziende, un segnale non molto positivo sullo stato di avanzamento della GDPR compliance nelle aziende italiane.
Come affrontare il passaggio al GDPR?
Quali sono le raccomandazioni degli esperti e le best practice che nascono dall’esperienza delle aziende?
Ne parleremo durante il “DATA INNOVATION SUMMIT, Artificial Intelligence, the next Big “Data” Thing” , Summit dedicato da The Innovation Group al tema della nuova Economia dei Dati, il 11 e 12 Aprile 2018 presso Enterprise Hotel, Corso Sempione 91, Milano.