Cambiare il DNA delle aziende
Il nuovo Regolamento Privacy obbliga le aziende a cambiare: organizzazione, processi, forma mentis. Prevede, non solo, implementazioni tecniche, ma modifiche organizzative: l’utilizzo di un approccio proattivo e predittivo.
Sebbene il grado di sensibilità e percezione delle problematiche privacy appaia aumentato negli anni, non si è riusciti a scalfire il “vecchio” modello organizzativo che, in mancanza di incisivi interventi, ha consolidato un approccio burocratico di privacy one time e “sulla carta”.
Il Data Protection Officer non può essere un consulente “una tantum” poiché deve ricoprire un ruolo stabile all’interno della struttura organizzativa al fine di prevenire le innumerevoli criticità; un esempio: l’attività di segnalazione in caso di data breach. Non sempre i soggetti si accorgono di aver subito una violazione dei dati personali, ma nel momento in cui ciò avviene, segnalarlo potrebbe comportare danni di immagine e conseguenti perdite economiche dovute, oltre alle possibili sanzioni dell’Autorità Garante, ad una concreta perdita di fatturato. Non è facile compiere o delegare tali decisioni in poco tempo.
Favorire un maggiore coinvolgimento degli utenti
Uno dei problemi maggiori rimane legato al coinvolgimento ed aggiornamento degli stakeholders, spesso ancorati a pericolose correnti di pensiero che vedono nella privacy e nella sicurezza informatica una superflua “moda del momento”.
Tutto il contesto lavorativo però presenta lacune: in primis i contratti ed i codici di comportamento aziendale, che devono essere adeguati con l’inserimento della data protection nei codici di condotta degli operatori, come ricordato dall’ art. 88 – Trattamento dei dati nell’ambito dei rapporti di lavoro.
Gestire correttamente le terze parti
L’impatto che le terze parti hanno sulla privacy e sulla data security è notevole e purtroppo preso poco in considerazione. Molti casi di data breach sono stati causati da comportamenti ripetitivi ed errati delle terze parti quali: la gestione delle password non corretta, la mancata applicazione delle patch di sicurezza ai sistemi, l’applicazione di aggiornamenti software senza un test di sicurezza preventivo, la mancanza di misure minime di sicurezza.
Capita che alcune software house sviluppino i loro prodotti secondo i canoni di sicurezza e privacy solo se espressamente richiesto e remunerato dal cliente, nonostante ciò sia previsto dalla normativa vigente. Sono dunque presenti sul mercato software non conformi alla normativa privacy. Ogni loro adeguamento in termini di sicurezza e compliance deve essere pagato, con conseguenti esborsi per le aziende, che a volte sono costrette a ripiegare su soluzioni meno costose e probabilmente meno sicure.
Risorse e responsabilità
Il General Data Protection Regulation si pone come obiettivo di allineare dal punto di vista della data protection tutti i Paesi della Comunità Europea.
Abbiamo visto come l’applicazione di tale normativa comporti costi molto elevati, non sostenibili da tutte le aziende, ed infligga pesanti sanzioni a chi non ne esegua le direttive.
Risulta inoltre evidente come, anche da un punto di vista meramente economico, i Paesi della Comunità Europea stiano vivendo un periodo di forti cambiamenti che li pone su differenti livelli.
E’ palese che l’applicazione uniforme del Regolamento, allo stato attuale, sia quantomeno complicata. A tal proposito è emersa la necessità di erogare incentivi a favore delle Comunità svantaggiate per evitare un sistema incoerente e sbilanciato:
“Il bastone e la carota.”
Nuove incombenze possono cambiare le modalità contrattuali. Il General Data Protection Regulation stabilisce che anche il Responsabile di Trattamento risponda in maniera diretta davanti alla legge per danni da lui provocati. Ciò è positivo dal punto di vista della responsabilità, perché il fornitore è chiamato a tenere un comportamento più idoneo, ma è svantaggioso dal punto di vista economico.
I fornitori di servizi informatici oggi sono inquadrati come Responsabili esterni di trattamento: saranno disposti ad assumersi a costo zero responsabilità ed eventuali sanzioni?
Come già suggerito da esperti autorevoli di questo forum, si dovranno rinegoziare tutti i contratti di fornitura e si dovrà ripartire diversamente la catena delle responsabilità, aggiungendo ulteriori costi ad ogni trattamento.
Alcune possibili soluzioni
Per favorire una corretta relazione tra cittadino ed aziende pubbliche e private, sarebbe opportuno che gli Stati membri promuovessero un’intensa e capillare attività di sensibilizzazione in entrambe le direzioni.
Per quanto riguarda le aziende, ci si dovrebbe, sin da ora, dotare di una struttura interna di alto livello in grado di governare costantemente sicurezza informatica e privacy, al fine di definire strategie, politiche, percorsi di formazione del personale.
Tali figure dovrebbero essere coinvolte in tutti i processi chiave aziendali.
L’istituzione di campagne di sensibilizzazione sulla security awareness aziendale aiuterebbe gli operatori a non percepire la privacy come un ostacolo alle attività.
Le terze parti dovrebbero essere gestite mediante efficaci processi di IT change management, al fine di garantire compliance e riduzione del rischio di data breach.
In ogni caso, per meglio amministrare questo complesso sistema, riducendo costi ed abbattendo la superficie di rischio, sarebbe bene seguire un vecchio ma pur sempre efficace principio: “Semplificare!”.