Tra tutte le chiavi di lettura che è possibile dare del Regolamento Generale sulla Protezione dei dati (Ue) 2016/679 del 27 aprile 2016 – nel seguito GDPR -, quella qui privilegiata è la sicurezza.
È però opportuno sottolineare che il concetto di protezione dei dati personali è più ampio di quello di sicurezza degli stessi dati, includendo tutti i diritti riconosciuti dal GDPR ai cittadini e, dunque, i doveri dei Titolari di trattamento che non sono tutti riconducibili alla sicurezza.
Per questa ragione, non sono solo i reparti IT e Sicurezza, a essere coinvolti né le tecnologie e le metodologie che occupano l’offerta di sicurezza dei vendor e delle società di consulenza le uniche rilevanti.
La compliance al GDPR coinvolge, in modi diversi, l’intera azienda e una vasta gamma di tecnologie e metodologie che riguardano specificamente la gestione delle identità e dei dati, strutturati e non, e dei processi aziendali.
Sempre a proposito di rapporto fra “data protection” e sicurezza è opportuno ricordare ancora una volta che, tra la protezione dei dati personali dei soggetti interessati, che è perseguita dal GDPR, e la protezione del business, che è nell’interesse dell’azienda, ci sono molti punti in comune ma anche aree di conflitto.
È giusto tenere conto di questo fatto già nel disegno dell’organizzazione: ad esempio, subordinare la funzione o la persona che si occupa della conformità al GDPR alla sicurezza creerà una gerarchia con molte sinergie utili ma non sempre corretta. Infine, il GDPR innova il rapporto fra normativa e soggetti tenuti ad applicarla, Titolare e Responsabile: non più una serie di prescrizioni da attuare, ma obiettivi da raggiungere applicando gli strumenti che si ritengono più opportuni in quel determinato contesto, con il vincolo però di documentare le ragioni per cui si è scelta quella strada.
Certamente ci sono settori più sensibili alla protezione dei dati personali di altri. Tutti però condividono il processo di progressiva digitalizzazione dell’economia e delle relazioni sociali che va sotto il nome di Digital Transformation, alla cui base è il trattamento digitale dei dati personali.
La ragione per cui occorre affrontare seriamente il tema della compliance al GDPR sta proprio nei rischi connessi al non far nulla mentre tutti i processi di mercato si trasformano e diventano sempre più digitali e basati su dati personali.
A questo proposito, spesso, ci si limita a ricordare le sanzioni previste dal GDPR: dal divieto di effettuare un trattamento fino a sanzioni pecuniarie che possono raggiungere il 4% del fatturato globale dell’azienda. In effetti si tratta di sanzioni rilevanti, ma l’uso terroristico delle sanzioni pecuniarie tende a produrre assuefazione e pochi effetti concreti. Ci sono, invece, altri aspetti che possono diventare anche più rilevanti: il rischio che venga compromesso il rapporto di fiducia con il cliente oppure, quello di cause civili che possono sfociare in class action gestite da organizzazioni per la tutela del consumatore, espressamente previste dal GDPR.
Allo stesso modo è un’esigenza che vi siano procedure in essere per guidare e documentare la reazione dell’organizzazione alla scoperta di un data breach. Non dei soli reparti tecnici ma dell’azienda nel suo complesso: le valutazioni necessarie infatti trascendono la dimensione informatica dell’evento.
L’espressione inglese “Data breach” può indurre l’idea che ci si riferisca solo alla sottrazione di informazioni. Il GDPR però definisce con chiarezza che si deve intendere qualsiasi violazione della sicurezza dei dati personali. Se la violazione può comportare un danno per gli interessati coinvolti allora gli dovrà essere notificata. L’autorevole rapporto annuale di Verizon sui data breach mette in luce e sottolinea, ogni anno, il ritardo con cui le organizzazioni si accorgono di aver subito un data breach rispetto al tempo impiegato per effettuare l’attacco. Questo ritardo dilata l’impatto del danno per gli interessati e la responsabilità dell’organizzazione anche in termini civilistici.
L’interesse di una azienda ad accorgersi di aver subito un attacco non può essere ricondotto alla sola tutela dei dati personali, e dunque al GDPR, come obbligo di compliance: il rischio connesso può riguardare la sopravvivenza dell’organizzazione. È un’esigenza di business che qualche forma di monitoraggio sia posta in essere, proporzionalmente ai rischi e alle capacità dell’organizzazione.
Un’ultima considerazione riguarda la gestione del cambiamento. Parlando del GDPR ci si imbatte subito in espressione come “Data protection by design”, “Data protection impact assessment”, “Data protection Officer”. Il GDPR prevede diversi strumenti necessari ad assicurare il continuo adeguamento della compliance all’evoluzione del business, sia individuando procedure, sia definendo figure a supporto di una corretta risposta delle aziende.
Ogni nuovo servizio, nuovo processo o nuova tecnologia vengono introdotti in azienda con il supporto di fornitori di soluzioni o consulenti. Molti di questi obblighi possono diventare parte dei compiti connessi alla fornitura dei servizi o delle tecnologie, senza diventare un costo fisso dell’organizzazione. Almeno in parte, la complessità della compliance può essere trasferita nella contrattualistica, purché ci si pensi in anticipo.
Il GDPR lascia al Titolare una libertà nel determinare il modo in cui intenda assicurare la tutela degli interessi protetti. E, a questa libertà, affianca l’obbligo di dimostrare le ragioni delle scelte compiute e di documentare le azioni che ne sono conseguite. È il principio di “accountability”: più che fare tanto, conta far bene e documentare ciò che si fa, collocandolo all’interno di un processo documentato di affinamento e miglioramento che può durare ben più a lungo del maggio 2018 quando il GDPR sarà pienamente in vigore.
Anzi, deve diventare una costante aziendale, perché il business affronta sempre nuove sfide, produce nuovi servizi e prodotti, nuove modalità operative ed anche i rischi mutano di continuo perché il crimine ragiona negli stessi termini e affina continuamente le proprie armi.
La serietà di questo processo potrà valere, sia verso le autorità di controllo sia verso gli interessati, più di una singola misura o di una non conformità puntuale. In diversi articoli si ricorda poi la necessità di controllare se le decisioni assunte sono state attuate correttamente e producono gli effetti attesi. Non si tratta necessariamente di pensare a cicli di audit dedicati, a meno che la criticità del trattamento non lo giustifichi, quanto di inserire anche questa finalità nei controlli che già vengono effettuati.
* Comitato direttivo Clusit
