Il regolamento europeo 679/2016 (GDPR) un primo benefico risultato l’ha già raggiunto: mettere al centro del dibattito il problema del trattamento dei dati personali. Infatti, è ormai un fiorire di iniziative, convegni, dibattiti sul GDPR e sui passi che si debbono intraprendere per ottemperare agli obblighi che il nuovo regolamento impone.
L’adeguamento delle PMI al GDPR
Rispetto all’adeguamento alla nuova normativa, il panorama appare piuttosto variegato. Se da un lato grandi aziende e grandi amministrazioni pubbliche appaiono più avanti nel processo, diversa è la situazione delle PMI. Talvolta ortogonale rispetto al grado di conformità è invece la percezione che del GDPR si ha: il rischio è che venga vissuto come l’ennesimo adeguamento burocratico a cui dedicare il minor sforzo ed il minore investimento possibile.
Un approccio sistematico alla gestione del rischio cyber
Al contrario, il GDPR rappresenta una straordinaria opportunità che si coglie appieno solo se il processo di compliance diventa una azione in un quadro più vasto, il cui primo passo riguarda la gestione effettiva ed efficace del rischio cyber. L’adeguamento al GDPR richiede necessariamente la capacità di gestire opportunamente le minacce alla sicurezza. Gli aspetti portanti del GDPR, quale la notifica obbligatoria e tempestiva dei data breach, il Data Protection Impact Assessment (DPIA), ovvero un’analisi degli impatti che dovrà essere adottata ogni qualvolta vi sarà una mutazione nell’asset di trattamento, la data protection by design e by default, richiedono, infatti, un approccio sistematico alla gestione del rischio cyber. Tale approccio però non dovrebbe essere solo limitato al trattamento dei dati personali e a ciò che è strettamente richiesto dal GDPR, ma esteso a tutti gli asset aziendali che richiedono protezione.
Tutela della privacy e rischio cyber, framework unitario
Ci si prepara quindi bene al GDPR solo se tutela della privacy e rischio cyber vengono affrontati all’interno di un framework unitario. La tutela della privacy e la gestione del rischio cyber vanno inoltre affrontate nel quadro più ampio della data governance. I due ambiti sono inscindibili e condividono la necessità di effettuare un assessment di quali informazioni ha un’organizzazione, come tali informazioni vengono utilizzate e da chi, come vengono gestite e protette, quale importanza ricoprono all’interno dell’organizzazione e quali sono i ruoli e le responsabilità rispetto alla loro gestione. Per quelle aziende in cui la data governance non è mai stata affrontata in modo esaustivo, l’adeguamento al GDPR rappresenta un’eccezionale spinta ad affrontare la questione in modo organico e ad investire adeguatamente su di essa. Ad esempio, se è vero che le violazioni dei dati sono sempre più frequenti, queste nella maggior parte dei casi non sono dovute ad hacker non autorizzati, ma a errori umani, negligenza ed, in ultima analisi, alla mancanza di una politica chiara rispetto alla governance delle informazioni.
Come attuare una visione integrata
Cosa si dovrebbe fare per attuare questa visione? Iniziamo a vedere quello che non si dovrebbe fare, ovvero utilizzare un insieme di tool, ognuno rivolto ad un requisito specifico del GDPR, ma senza una loro effettiva integrazione. Sul mercato iniziano anche ad emergere soluzioni che promettono una piena copertura dei requisiti del GDPR ma a tutt’oggi è difficile stabilire la loro efficacia, facilità di utilizzo, scalabilità e capacità di adeguarsi ai cambiamenti aziendali con costi ragionevoli. Viceversa, per attuare questa visione integrata serve innanzitutto l’adozione di un framework unificante che non serva solo per effettuare un assessment ma anche per tracciare una roadmap sia verso la compliance al GDPR sia verso una efficace gestione del rischio cyber. A tal fine, iniziative come il Framework Nazionale per la Cybersecurity, possono costituire l’asse portante a supporto di tali attività.
La governance dell’intero processo
Il problema principale non è di natura tecnologico. Ad esempio, l’articolo 32 del GDPR introduce una lista non esaustiva di misure per garantire la sicurezza del trattamento dei dati personali, tra cui, tra le altre, figurano cifratura e pseudo anonimizzazione. La complessità ovviamente non risiede nell’adozione di una misura specifica di protezione, ma piuttosto nella governance dell’intero processo, ovvero nel capire gli impatti che l’utilizzo di una tecnologia ha sull’intero sistema ed i rischi/benefici della sua adozione.
Cultura della sicurezza e della data governance
In conclusione, è anche importante sottolineare che, requisito fondamentale per realizzare una visione di questo genere, è la capacità di promuovere una cultura della sicurezza e della data governance e del costo ad esse associati. Bisogna investire inoltre sulle competenze: servono persone con una preparazione tecnica di livello per affrontare queste complessità e la volontà di investire su di esse, anche in realtà medio piccole e non solo in grandi aziende. Le sfide in settori di grande rilevanza come la cybersecurity e la tutela privacy non si possono infatti vincere esternalizzando completamente la loro gestione.
