Sperimentiamo quotidianamente cosa significhi il concetto di Privacy by design o, piu’ in generale, di compliance by design. Indubbiamente l’automazione dei processi operativi aziendali si basa su soluzioni informatiche e molto si e’ fatto per introdurre qualita’ nella progettazione e nello sviluppo delle applicazioni e delle soluzioni infrastrutturali. Ormai e’ prassi consolidata includere nei team di progetto, oltre ai ruoli consolidati di sviluppo, anche Funzioni che fanno capo ad architetti informatici, vendor manager, service owner, funzioni di Compliance, funzioni di controllo della documentazione, test manager e change manager.
Si vedono meno, invece, referenti di business con cui confrontarsi per valutare la fattibilita’ delle specifiche o la propensione verso soluzioni alternative; ancora meno si incontrano nei progetti Funzioni che possano dare un supporto di governance di progetto o di risk management per valutare, quantificare, ponderare i rischi di sicurezza e informatici in genere e per confrontare le soluzioni tecniche e operative compiendo analisi ex ante degli impatti come potenziale effetto di una soluzione carente o inadeguata.
Nella maggior parte dei settori prevalgono ancora approcci che mirano a progettare soluzioni per rispondere a requisiti normativi per soddisfare solo obiettivi minimali di conformita’ e non invece con respiro di adeguatezza, di robustezza e di validita’ temporale piu’ ampia, orientate a prioritizzare le soluzioni in base alla valutazione dei rischi connessi con l’uso improprio, con l’incorrettezza dei dati o con la perdita di riservatezza dovuta a eventi intenzionali o involontari.
Tipico e’ il caso di quando si vogliono riutilizzare soluzioni gia’ disponibili ma datate e, per integrarle con nuove funzionalita’, vengono aggiunti controlli di quadratura ex post per mettersi al riparo da assunzioni troppo sbrigative e vengono introdotti continui rework per ottenere l’allineamento atteso dei dati. Questa soluzione e’ solo apparentemente piu’ economica perche’ misurata nel breve termine ma in realta’ comporta costi incrementali nel tempo per mantenere il continuo allineamento con i sistemi di alimentazione dei dati e per il controllo e la soluzione delle incoerenze.
Dunque per sviluppare soluzioni robuste dal punto di vista dei requisiti privacy e della sicurezza informatica si dovranno evitare correttivi o misure aggiuntive ex post o, peggio, solo dopo che si sono verificati eventi di compromissione o di tentata compromissione ma sara’ necessario coinvolgere referenti di privacy (Privacy Officer) e di sicurezza IT e di risk management fin dalle fasi di analisi dei requisiti ed inoltre applicare una procedura di analisi ex ante con cui valutare quanto un singolo processo o prodotto o servizio incida sulla tutela dei dati personali, in poche parole il rischio privacy.
In pratica non si potra’ parlare di Privacy by design fino a quando non verranno coinvolti fin dalle prime fasi di progetto i referenti corretti, impiegate sistematicamente la PIA per identificare i rischi di privacy, prevedere i problemi e anticipare le soluzioni e, anche, adottate soluzioni di default robuste.
Molto interessante. A mio avviso la PIA formalizza un ulteriore elemento da far rientrare in quella cultura di governance olistica che spesso manca all’interno delle organizzazioni, generando così inefficienze, errori e interruzioni in molti progetti.