Come adeguarsi al Regolamento Privacy UE: la figura del Data Protection Office

Il nuovo Regolamento UE sulla Protezione dei Dati personali è sicuramente innovativo ed in linea con le attuali esigenze di protezione delle informazioni. E’ strutturato in modo tale da garantire coerenza, bilanciamento e controllo dei poteri degli stakeholders coinvolti. Mira a raggiungere, nel breve e medio periodo, degli obiettivi “difficili”.

La maggior parte delle aziende pubbliche e private, ad oggi, non possiede le caratteristiche e le risorse per adeguarsi: molte problematiche sono rimaste irrisolte dall’entrata in vigore della Direttiva 95/46/EC.

Pochi soggetti, negli anni, hanno investito in una strategia mirata al raggiungimento degli obiettivi di sicurezza del dato, in quanto, la protezione delle informazioni, viene ancora considerata un problema esclusivamente informatico: la tematica viene esaminata solo a seguito di una problematica, a danno avvenuto.

I recenti episodi di sorveglianza massiva dei cittadini da parte delle Nazioni leader in ambito informatico, hanno rivelato come la popolazione sia stata “spiata” con strumenti illeciti e lesivi della libertà personale. La fiducia del cittadino nelle Istituzioni sta diminuendo, così come la sua percezione di sicurezza in ambito informatico.

Preoccupa come il grado di sensibilità degli operatori e dei fornitori ICT non sia conseguentemente aumentato.

L’applicazione delle privacy policies nei processi aziendali è spesso considerata un’attività burocratica che frena le attività e non apporta alcun valore aggiunto.

Il drive principale delle aziende rimane il business: la sicurezza dei dati viene spesso considerata solo un costo. E’ anche per questo motivo che non possiedono piani di continuità, disaster recovery e personale dedicato alla sicurezza informatica.

Il General Data Protection Regulation prevede che business e protezione del dato procedano parallelamente, di pari passo, e infligge onerose sanzioni a chi non si adegua.

Nonostante ciò la struttura organizzativa di molti enti pubblici e soggetti privati è verticalizzata in silos che non si interfacciano. La condivisione delle informazioni e l’approccio multidisciplinare, componenti indispensabili per una corretta applicazione di una information security governance, si scontrano con la “vecchia scuola” di pensiero.

Cambiare il DNA delle aziende

Il nuovo Regolamento Privacy obbliga le aziende a cambiare: organizzazione, processi, forma mentis. Prevede, non solo, implementazioni tecniche, ma modifiche organizzative: l’utilizzo di un approccio proattivo e predittivo.

Sebbene il grado di sensibilità e percezione delle problematiche privacy appaia aumentato negli anni, non si è riusciti a scalfire il “vecchio” modello organizzativo che, in mancanza di incisivi interventi, ha consolidato un approccio burocratico di privacy one time e “sulla carta”.

Il Data Protection Officer non può essere un consulente “una tantum” poiché deve ricoprire un ruolo stabile all’interno della struttura organizzativa al fine di prevenire le innumerevoli criticità; un esempio: l’attività di segnalazione in caso di data breach. Non sempre i soggetti si accorgono di aver subito una violazione dei dati personali, ma nel momento in cui ciò avviene, segnalarlo potrebbe comportare danni di immagine e conseguenti perdite economiche dovute, oltre alle possibili sanzioni dell’Autorità Garante, ad una concreta perdita di fatturato. Non è facile compiere o delegare tali decisioni in poco tempo.

Favorire un maggiore coinvolgimento degli utenti

Uno dei problemi maggiori rimane legato al coinvolgimento ed aggiornamento degli stakeholders, spesso ancorati a pericolose correnti di pensiero che vedono nella privacy e nella sicurezza informatica una superflua “moda del momento”.

Tutto il contesto lavorativo però presenta lacune: in primis i contratti ed i codici di comportamento aziendale, che devono essere adeguati con l’inserimento della data protection nei codici di condotta degli operatori, come ricordato dall’ art. 88 – Trattamento dei dati nell’ambito dei rapporti di lavoro.

Gestire correttamente le terze parti

L’impatto che le terze parti hanno sulla privacy e sulla data security è notevole e purtroppo preso poco in considerazione. Molti casi di data breach sono stati causati da comportamenti ripetitivi ed errati delle terze parti quali: la gestione delle password non corretta, la mancata applicazione delle patch di sicurezza ai sistemi, l’applicazione di aggiornamenti software senza un test di sicurezza preventivo, la mancanza di misure minime di sicurezza.

Capita che alcune software house sviluppino i loro prodotti secondo i canoni di sicurezza e privacy solo se espressamente richiesto e remunerato dal cliente, nonostante ciò sia previsto dalla normativa vigente. Sono dunque presenti sul mercato software non conformi alla normativa privacy. Ogni loro adeguamento in termini di sicurezza e compliance deve essere pagato, con conseguenti esborsi per le aziende, che a volte sono costrette a ripiegare su soluzioni meno costose e probabilmente meno sicure.

Risorse e responsabilità

Il General Data Protection Regulation si pone come obiettivo di allineare dal punto di vista della data protection tutti i Paesi della Comunità Europea.

Abbiamo visto come l’applicazione di tale normativa comporti costi molto elevati, non sostenibili da tutte le aziende, ed infligga pesanti sanzioni a chi non ne esegua le direttive.

Risulta inoltre evidente come, anche da un punto di vista meramente economico, i Paesi della Comunità Europea stiano vivendo un periodo di forti cambiamenti che li pone su differenti livelli.

E’ palese che l’applicazione uniforme del Regolamento, allo stato attuale, sia quantomeno complicata. A tal proposito è emersa la necessità di erogare incentivi a favore delle Comunità svantaggiate per evitare un sistema incoerente e sbilanciato:

“Il bastone e la carota.”

Nuove incombenze possono cambiare le modalità contrattuali.

Il General Data Protection Regulation stabilisce che anche il Responsabile di Trattamento risponda in maniera diretta davanti alla legge per danni da lui provocati. Ciò è positivo dal punto di vista della responsabilità, perché il fornitore è chiamato a tenere un comportamento più idoneo, ma è svantaggioso dal punto di vista economico.

I fornitori di servizi informatici oggi sono inquadrati come Responsabili esterni di trattamento: saranno disposti ad assumersi a costo zero responsabilità ed eventuali sanzioni?

Come già suggerito da autorevoli fonti, si dovranno rinegoziare tutti i contratti di fornitura e si dovrà ripartire diversamente la catena delle responsabilità, aggiungendo ulteriori costi ad ogni trattamento.

Alcune possibili soluzioni

Per favorire una corretta relazione tra cittadino ed aziende pubbliche e private, sarebbe opportuno che gli Stati membri promuovessero un’intensa e capillare attività di sensibilizzazione in entrambe le direzioni.

Per quanto riguarda le aziende, ci si dovrebbe, sin da ora, dotare di una struttura interna di alto livello in grado di governare costantemente sicurezza informatica e privacy, al fine di definire strategie, politiche, percorsi di formazione del personale.

Tali figure dovrebbero essere coinvolte in tutti i processi chiave aziendali.

L’istituzione di campagne di sensibilizzazione sulla security awareness aziendale aiuterebbe gli operatori a non percepire la privacy come un ostacolo alle attività.

Le terze parti dovrebbero essere gestite mediante efficaci processi di IT change management, al fine di garantire compliance e riduzione del rischio di data breach.

In ogni caso, per meglio amministrare questo complesso sistema, riducendo costi ed abbattendo la superficie di rischio, sarebbe bene seguire un vecchio ma pur sempre efficace principio: semplificare.

SUGGERIMENTI BIBLIOGRAFICI

Andrea Peterson, (2015), A company that sells hacking tools to governments just got hacked. The Washington Post.

Giovanni Buttarelli, (2015), Opinion 3/2015 of the European Data Protection Supervisor on the data protection reform.

Jan Philipp Albrecht, (2015), EU General Data Protection Regulation: State of play and 10 main issues. Lead EP Committee: Committee on Civil Liberties, Justice and Home Affairs.

Tom Brewster, (2014), Privacy is at risk owing to basic security failures, warns information regulator. The Guardian.

Giancarlo Butti, (2016), Il Responsabile interno ed il GDPR. Europrivacy.info