Al Security Summit di quest’anno tutti parlano di GDPR in tutte le sessioni, qualunque sia il tema, ma in concreto cosa stanno facendo le aziende per prepararsi? Da questa domanda ha preso le mosse Alessandro Vallega per introdurre la conferenza dedicata da Europrivacy al nuovo Regolamento europeo, nella seconda giornata del Summit di Milano organizzato dal Clusit. Al di là delle sofisticate analisi, che pure sono opportune per capire ed interpretare meglio il Regolamento, alcune cose da fare sono già chiare: la crittografia dei dati, tanto per dirne una. E’ vero infatti che il GDPR non dice in specifico quali sono le misure di sicurezza da adottare, ma può essere una buona scusa per fare alcune cose che andrebbero fatte comunque; il Regolamento ci chiede essenzialmente di “farle bene” e di poterlo dimostrare.
Il “padrone di casa” Gabriele Faggioli ha proposto alcune riflessioni che emergono dalla recente Survey dell’Osservatorio Sicurezza Informatica e Privacy del Polimi: le PMI non sono pronte, sarà necessario adottare i Codici di Condotta per metterle in compliance; bisogna prevedere cambiamenti nell’organigramma privacy (eventuale DPO ma anche la scomparsa dei Responsabili interni); la scelta di un DPO interno all’organizzazione sarà più opportuna almeno per le realtà complesse, grazie alla sua maggiore vicinanza al business ed ai progetti. Diventa cruciale il tema della responsabilità dei fornitori di servizi: non basterà più al Responsabile esterno dichiarare di rispettare le misure minime ma sarà necessario dimostrare l’applicazione corretta dell’art.32.
Alberto Canadè di Spike Reply ha lanciato diversi stimoli per chi sta affrontando la road map di adeguamento al GDPR: per prima cosa non bisogna ragionare in termini di “progetto” ma di un programma di attività che conduca ad un Sistema di Gestione della Privacy, tenendo ben presente che il nuovo paradigma è la reale protezione dei dati e non più la burocrazia. Volendo fissare 5 priorità: essere coscienti del proprio ruolo come titolare (o responsabile); riconsiderare l’organizzazione (serve un DPO?); agire in ottica di accountability (la privacy “dimostrabile”); prepararsi a gestire le richieste degli interessati e i data breach; analizzare eventuali cross-border data flow. Per avere successo bisognerà saper coniugare diversi punti di vista interni (Privacy Officer, Compliance Manager, CIO, CSO, CISO ecc.) ed esterni (Garante e clienti). Fra gli errori da evitare: tardare l’awareness del board, avviare iniziative separate senza visione globale, puntare a livelli di dettaglio esasperati, concentrarsi sugli aspetti formali posponendo la IT security, trascurare l’analisi delle attività che coinvolgono il pubblico, sottovalutare l’importanza di un team skillato e multidisciplinare. Da fare subito l’assessment del parco applicativo: se sarà necessario applicare la privacy by design, occorrerà poi tempo per farlo. Bisogna anche pensare fin d’ora alla fase 2, che partirà da maggio 2018, quando permarrà l’importanza delle istanze interne e normative ma cominceremo a dover affrontare le richieste provenienti dall’esterno.
La tavola rotonda ha permesso di conoscere il punto di vista di diverse esperienze aziendali concrete. Elena Agresti (Global Cyber Security Center) ha presentato i risultati di una survey sulla maturità delle imprese verso il GDPR: per la figura del DPO (che il 50% dei soggetti dichiara di avere già, formalmente o informalmente) saranno richieste competenze su normativa, analisi dei rischi, misure di sicurezza; l’80% ritiene importante una certificazione e gli anni di esperienza; il 50% del campione lo pensa interno, altrettanti esterno.
Filomena Polito (APIHM) ha esposto la visuale dell’ossevatorio GDPR in ambito sanitario attivato con l’Università di Pisa: i risultati si avranno nella seconda metà dell’anno ma sta già emergendo una scarsa consapevolezza (come peraltro risulta anche dalla sezione dedicata dal Rapporto Clusit alla Sanità). Parte del problema deriva dalla regionalizzazione del sistema sanitario, che sta rallentando l’adozione del FSE nazionale e disperdendo preziose energie. Nel settore pubblico il driver per l’adeguamento sono le direttive ministeriali: per il 196/2003 ci fu ed ebbe efficacia, per il GDPR la si attende.
Nel privato invece il driver di spesa è il timore di sanzioni e/o di perdite economiche, come ha ricordato Fabio Gianotti (UBI Banca). Il committment aziendale è alto; chi guida è il business, supportato dal team di compliance. Il tema all’ordine del giorno non è l’acquisto di un prodotto (con buona pace dei vendor) ma la revisione dei processi interni; non serve neanche partire dalla data discovery: le banche sanno già molto bene che dati trattano e come. Il progetto ricorre anche ad esperti esterni ma il team è prevalentemente interno, così come sarà anche il DPO.
Anche per Claudio Brisa (CREVAL) è il timore delle sanzioni elevate che muove l’allocazione del budget. Il gruppo di lavoro che è stato attivato sta analizzando i processi, con l’obiettivo di integrare attività già acquisite (data quality, data governance) mettendole a fattor comune con altre compliance all’interno di un framework.
Coniugare la privacy con altre compliance è anche l’obiettivo citato da Alessandro Crepaldi (BP Sondrio). ll tavolo di lavoro attivato (condotto dalla compliance) è partito dal Registro dei trattamenti, puntando ad avere un tool automatico. E’ rilevante definire i tempi di conservazione dei dati personali, con il possibile beneficio secondario (ma non trascurabile) di recuperare risorse dalla cessazione di conservazioni inutili.
Il panorama è stato completato da Alessandro Cosenza (BTicino): il suo team è partito in ottica di progetto ma è cosciente di stare avviando una gestione che diventerà continuativa. Il focus è sui nuovi prodotti di domotica, e sui dati raccolti attraverso le APP legate ai prodotti, utilizzate dagli utenti finali.
Un ultimo giro di tavola ha consegnato le raccomandazioni finali:
- Canadè: registro dei trattamenti, by design, PIA; CMDB; cancellazione dei dati.
- Brisa: il data breach è il cuore del GDPR.
- Cosenza: rilevanza dei rapporti con i cloud provider.
- Gianotti: coinvolgere il board.
- Politi: attenzione alla permanenza della vigente normativa settoriale (es. sanità).
- Crepaldi: Sistema di Gestione, portabilità, rapporti con i fornitori.
- Agresti: valutare non solo le sanzioni ma anche il costo delle comunicazioni ai clienti in caso di data breach e la potenziale perdita di clienti.
- Faggioli: la Certificazione dei fornitori, qualificando tutta la filiera, porterebbe un grande vantaggio sia per il privato che per la PA.