A cura di Christoph Luykx, Chief Privacy Strategist, CA Technologies
Qualche tempo fa ho pubblicato alcune riflessioni sugli obiettivi originari del GDPR per meglio inquadrare il dibattito sulla sua attuazione. In occasione dell’entrata in vigore della normativa, il 25 maggio, ho riflettuto sui tre scogli principali che ho individuato parlando con clienti e partner e che continueranno a rappresentare aspetti cruciali anche dopo l’entrata in vigore della normativa.
Il 25 maggio non è di certo un replay dell’anno Duemila (con il Y2K bug). Citando le parole di Winston Churchill, per sottolineare quella che io considero la principale differenza, si potrebbe dire che il 25 maggio “non è la fine, e non è neppure l'inizio della fine, ma la fine dell'inizio”.
Se il primo gennaio 2000 abbiamo tirato tutti un bel sospiro di sollievo,il 25 aprile è stato caratterizzato da una specie di smorfia collettiva. La maggior parte degli addetti alla privacy sanno che, sebbene il grosso del lavoro sia già stato fatto nel periodo che precede il questo giorno, l’osservanza del GDPR richiederà un’attenzione costante: va visto come un percorso, e non come una destinazione finale. Le organizzazioni che quindi hanno affrontato la scadenza del 25 maggio come un traguardo in cui vedere coronati tutti i loro sforzi normativi si ritroveranno di certo deluse.
Un elemento che differenzia le organizzazioni è il diverso livello d’ambizione: alcune organizzazioni hanno trattato il GDPR come una semplice “check list” ─ seguendo quella che io definisco una “impostazione da avvocato” (senza voler offendere nessun avvocato, me compreso). La conformità alle norme di legge è di certo essenziale, ma un’organizzazione deve puntare a spingersi oltre ─ a introdurre un vero e proprio cambiamento culturale. Credo fermamente che queste aziende maggiormente “illuminate” in futuro saranno premiate dal mercato, in quanto potranno riscuotere quello che io chiamo il “dividendo di fiducia”, raccogliendo i frutti degli investimenti che hanno continuato a seminare nel terreno della privacy.
Tematiche comuni
Sebbene il panorama aziendale, dal punto di vista della conformità al GDPR, comprenda tutto e il contrario di tutto, sussistono alcuni punti e problematiche comuni. Nel mio ruolo di Chief Privacy Strategist di CA Technologies ho avuto occasione di parlare del GDPR con organizzazioni pubbliche e private scoprendo come una possibile ottica con cui esaminare tutto lo spettro di interrogativi e scogli da affrontare sia rappresentata dal ciclo di vita dei dati: raccolta, gestione e cancellazione dei dati entro i confini aziendali, aspetti che mi permettono di offrire un’indicazione di quelli che permangono come i tre principali scogli creati dal GDPR.
- Raccolta. Rispondere ai tre interrogativi di base: cosa, perché, dove?
Le organizzazioni devono capire come vengono creati e raccolti i dati personali: quali insiemi di dati raccolgono, a quali scopi e come entrano nelle loro strutture. Il dibattito sulle motivazioni legali per la raccolta dei dati ha tenuto impegnate molte realtà aziendali e istituzionali.
Gran parte della risposta consiste nel predisporre procedure e regole chiare per la raccolta dei dati e nel comunicarle sia all’interno che all’esterno. Non sono decisioni facili perché possono entrare in conflitto con le necessità del business. Trattandosi tuttavia di decisioni che vanno prese, la cosiddetta accountability (ovvero definire a chi attribuire la responsabilità) risulta notevolmente agevolata dalla presenza di tracce che ne documentino il filo logico.
Da questo punto di vista bisognerà continuare a seguire un principio evidente: sempre meglio riflettere prima di muoversi. Il modo migliore per abbattere i rischi è evitare di raccogliere dati personali ove non sia necessario o dove esistano delle alternative.
Ad esempio, nelle fasi di testing ai tester piace moltissimo utilizzare dati reali (di persone vere), questo però comporta che i dati personali possano finire anche in altri database. In alternativa, negli ambienti di test si possono ridurre i rischi utilizzando dati in cieco o di sintesi anziché raccogliere dati reali. Questo ci porta al secondo punto: una volta che i dati sono all’interno dell’organizzazione, come se ne può gestire il ciclo vitale mantenendo la compliance?
- Gestione dei dati: premunirsi contro eventuali violazioni
Una volta deciso di raccogliere i dati personali e una volta che questi abbiano varcato il perimetro aziendale, la seconda principale sfida è tenere traccia di dove risiedono e di chi sia autorizzato ad accedervi. È opportuno che le organizzazioni investano in appositi strumenti per mappare i flussi di dati, per rilevare l’ubicazione dei dati personali all’interno dei loro sistemi e per proteggerne e monitorarne l’accesso.
Un fattore importante, che ha alimentato nei mesi il dibattito aziendale, è l’accento posto dal GDPR sulle violazioni dei dati. Ancora oggi, quando parlo con i clienti, mi vengono poste molte domande sull’implementazione vera e propria: i tempi della reportistica, a chi inviare le segnalazioni, quali sono gli obblighi del titolare del trattamento e il nesso fra sicurezza e violazione dei dati.
Anche qui, vorrei partire da una massima consolidata: prevenire è meglio che curare, perciò conviene investire e tenersi pronti. In altre parole, è necessario investire nelle misure di sicurezza per assicurarsi che solo le persone giuste abbiano accesso ai dati e che tale accesso si limiti unicamente ai dati necessari allo svolgimento dei compiti previsti dal loro ruolo.
È sempre bene prepararsi al peggio, quindi stilate piani di misure correttive nonché piani di risposta, addestrate i propri collaboratori a identificare eventuali segni di violazioni ed essere pronti a inviare immediatamente una segnalazione non appena si sospetta che qualcosa sia andato storto.
Se qualcosa dovesse effettivamente andare storto, ai sensi del GDPR si è tenuti a fare rapporto alle autorità competenti entro 72 ore e, in alcuni casi, potrebbe essere necessario informare direttamente gli utenti. Tutto semplice quindi? In realtà, come probabilmente sa la maggior parte degli operatori professionisti, il mondo reale è un po’ più complicato.
- Cancellazione dei dati: abbiamo il diritto di consegnarli all’oblio?
Anche il diritto all’oblio e, su scala maggiore, i diritti in generale delle persone interessate permangono come questioni altrettanto olistiche. Ciò non significa però che le organizzazioni possono ignorare o dimenticare il problema. La soluzione si riallaccia ai punti citati prima: ridurre il rischio evitando ove possibile la raccolta dei dati e quindi la necessità di tenerne traccia.
Si presenta però anche una nuova sfida: cosa può fare un’organizzazione nel momento in cui riceve una richiesta di dati? Come può autenticare gli utenti per evitare di condividere informazioni personali con soggetti che fingono di essere qualcun altro? È il caso di agire nella modalità tradizionale attraverso una copia del documento di identità o si deve piuttosto richiedere informazioni personali aggiuntive da usare come verifica (andando contro gli obiettivi del GDPR)?
Un viaggio senza fine
Non esiste una risposta semplice a queste domande, ma io sono convinto che la tecnologia dovrà svolgere un ruolo cruciale nell’autenticazione delle richieste ai fini della tutela dei dati personali.
Da oltre due anni CA Technologies ha intrapreso il percorso del GDPR lavorando su questo tema a stretto contatto con clienti e partner. Per noi la data di oggi non rappresenta di certo un traguardo quanto piuttosto l’inizio di un nuovo percorso da compiere ancora una volta insieme per supportali nel lungo viaggio finalizzato alla tutela dei dati.
