data governance

GDPR: un approccio unificato alla tutela della privacy e alla gestione del rischio cyber

IL GDPR richiede uno sforzo di adeguamento notevole alle PMI, che però possono cogliere l’occasione per affrontare la questione della data governance in modo organico e ad investire adeguatamente su di essa nel’ambito di un framework unitario e di una visione integrata. Ecco come

Pubblicato il 30 Mag 2018

Elena Ferrari

Università degli Studi dell’Insubria

gdpr

Il regolamento europeo 679/2016 (GDPR) un primo benefico risultato l’ha già raggiunto: mettere al centro del dibattito il problema del trattamento dei dati personali. Infatti, è ormai un fiorire di iniziative, convegni, dibattiti sul GDPR e sui passi che si debbono intraprendere per ottemperare agli obblighi che il nuovo regolamento impone.

L’adeguamento delle PMI al GDPR

Rispetto all’adeguamento alla nuova normativa, il panorama appare piuttosto variegato. Se da un lato grandi aziende e grandi amministrazioni pubbliche appaiono più avanti nel processo, diversa è la situazione delle PMI. Talvolta ortogonale rispetto al grado di conformità è invece la percezione che del GDPR si ha: il rischio è che venga vissuto come l’ennesimo adeguamento burocratico a cui dedicare il minor sforzo ed il minore investimento possibile.

Un approccio sistematico alla gestione del rischio cyber

Al contrario, il GDPR rappresenta una straordinaria opportunità che si coglie appieno solo se il processo di compliance diventa una azione in un quadro più vasto, il cui primo passo riguarda la gestione effettiva ed efficace del rischio cyber. L’adeguamento al GDPR richiede necessariamente la capacità di gestire opportunamente le minacce alla sicurezza. Gli aspetti portanti del GDPR, quale la notifica obbligatoria e tempestiva dei data breach, il Data Protection Impact Assessment (DPIA), ovvero un’analisi degli impatti che dovrà essere adottata ogni qualvolta vi sarà una mutazione nell’asset di trattamento, la data protection by design e by default, richiedono, infatti, un approccio sistematico alla gestione del rischio cyber. Tale approccio però non dovrebbe essere solo limitato al trattamento dei dati personali e a ciò che è strettamente richiesto dal GDPR, ma esteso a tutti gli asset aziendali che richiedono protezione.

Tutela della privacy e rischio cyber, framework unitario

Ci si prepara quindi bene al GDPR solo se tutela della privacy e rischio cyber vengono affrontati all’interno di un framework unitario. La tutela della privacy e la gestione del rischio cyber vanno inoltre affrontate nel quadro più ampio della data governance. I due ambiti sono inscindibili e condividono la necessità di effettuare un assessment di quali informazioni ha un’organizzazione, come tali informazioni vengono utilizzate e da chi, come vengono gestite e protette, quale importanza ricoprono all’interno dell’organizzazione e quali sono i ruoli e le responsabilità rispetto alla loro gestione. Per quelle aziende in cui la data governance non è mai stata affrontata in modo esaustivo, l’adeguamento al GDPR rappresenta un’eccezionale spinta ad affrontare la questione in modo organico e ad investire adeguatamente su di essa. Ad esempio, se è vero che le violazioni dei dati sono sempre più frequenti, queste nella maggior parte dei casi non sono dovute ad hacker non autorizzati, ma a errori umani, negligenza ed, in ultima analisi, alla mancanza di una politica chiara rispetto alla governance delle informazioni.

Come attuare una visione integrata

Cosa si dovrebbe fare per attuare questa visione? Iniziamo a vedere quello che non si dovrebbe fare, ovvero utilizzare un insieme di tool, ognuno rivolto ad un requisito specifico del GDPR, ma senza una loro effettiva integrazione. Sul mercato iniziano anche ad emergere soluzioni che promettono una piena copertura dei requisiti del GDPR ma a tutt’oggi è difficile stabilire la loro efficacia, facilità di utilizzo, scalabilità e capacità di adeguarsi ai cambiamenti aziendali con costi ragionevoli. Viceversa, per attuare questa visione integrata serve innanzitutto l’adozione di un framework unificante che non serva solo per effettuare un assessment ma anche per tracciare una roadmap sia verso la compliance al GDPR sia verso una efficace gestione del rischio cyber. A tal fine, iniziative come il Framework Nazionale per la Cybersecurity, possono costituire l’asse portante a supporto di tali attività.

La governance dell’intero processo

Il problema principale non è di natura tecnologico. Ad esempio, l’articolo 32 del GDPR introduce una lista non esaustiva di misure per garantire la sicurezza del trattamento dei dati personali, tra cui, tra le altre, figurano cifratura e pseudo anonimizzazione. La complessità ovviamente non risiede nell’adozione di una misura specifica di protezione, ma piuttosto nella governance dell’intero processo, ovvero nel capire gli impatti che l’utilizzo di una tecnologia ha sull’intero sistema ed i rischi/benefici della sua adozione.

Cultura della sicurezza e della data governance

In conclusione, è anche importante sottolineare che, requisito fondamentale per realizzare una visione di questo genere, è la capacità di promuovere una cultura della sicurezza e della data governance e del costo ad esse associati. Bisogna investire inoltre sulle competenze: servono persone con una preparazione tecnica di livello per affrontare queste complessità e la volontà di investire su di esse, anche in realtà medio piccole e non solo in grandi aziende. Le sfide in settori di grande rilevanza come la cybersecurity e la tutela privacy non si possono infatti vincere esternalizzando completamente la loro gestione.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2