Il GDPR: mettere insieme organizzazioni e tecnologia

Il GDPR: mettere insieme organizzazioni e tecnologia

Credere che il reparto IT sia racchiuso in un mondo a sé stante rappresenta un vecchio stereotipo, ed è inoltre troppo facile non avere chiaro in mente se sia l'organizzazione a controllare l'IT o viceversa.

Poiché il reparto IT si occupa del funzionamento di laptop e dispositivi mobili, nella realtà potrebbe sembrare molto distante dai vertici aziendali, ma una delle realtà del GDPR è che questo nuovo e dettagliato approccio alla protezione dei dati non solo riunisce di fatto il reparto IT e il resto dell'organizzazione, ma presenta requisiti che richiedono un riavvicinamento obbligatorio tra l'organizzazione e la tecnologia.

Jon Baines, presidente del NADPO (National Association of Data Protection and Freedom of Information Officers) del Regno Unito, afferma: "Credo che se il reparto IT e l'azienda stessa si riavvicinano in seguito all'applicazione del GDPR, ciò avverrà attraverso il riconoscimento che la protezione dei dati non riguarda essenzialmente i sistemi, ovvero i bit e i byte, bensì le persone stesse.

"La struttura attuale della protezione dei dati si basa su una legge europea che ha più di 20 anni, incentrata sul problema della conformità e che a volte ha incoraggiato un approccio di tipo formale burocratico. Il GDPR obbligherà tutti a impegnarsi di più per l'introduzione di una cultura che rispetti e metta in pratica i diritti alla privacy e all'autonomia degli individui".

Il rispetto della conformità con il GDPR, dove la tecnologia verrà distribuita con l'intento specifico di mettere l'interesse delle persone al centro del lavoro dell'organizzazione, è un processo a due fasi: sarà necessario intraprendere una serie di passaggi per assicurarsi che la tecnologia possa garantire la conformità e un'altra serie di passaggi che riguarderanno l'organizzazione stessa.

Tim Turner, consulente del settore protezione dati che si occupa di formazione, afferma che esiste una "serie di attività puramente tecniche, che riguardano procedure che è necessario eseguire: si tratta di un lavoro enorme da svolgere se non si è già iniziato".

Secondo Baynes, un compito tecnologico essenziale riguarda la "mappatura dei flussi dati esistenti, ovvero il dove, come e perché vengono elaborati i dati personali. È necessario procedere in questo modo? Le attività vengono effettuate in modo aperto e trasparente, oltre che onesto? Le persone comprendono perché le loro informazioni vengono elaborate e dispongono di opportunità appropriate per opporsi o dire no?".

Un'altra considerazione tecnologica importante riguarda la crittografia: l'azienda dovrà decidere quali tecnologie di crittografia distribuire, gestendo il compromesso tra la velocità di accesso e gestione relativa ai dati, rispetto al sovraccarico dell'elaborazione della crittografia. Oltre a ciò, esiste il tema del dove dovrà essere effettuata la gestione della crittografia dei dati attivi e dei dati archiviati. Ciò potrà comportare, ad esempio, un aggiornamento alla tecnologia server in modo che la decrittografia venga gestita nell'applicazione client anziché nel database? Oppure riguarderà la scelta di un nuovo provider cloud che possa fornire supporto per una gestione più fluida?

Per Baines, "la crittografia sarà in molti casi un dato scontato, ma la legge riconosce che anche le tecniche di pseudonimizzazione rappresentano soluzioni per la diminuzione del rischio".

Un'altra sfida tecnologica consiste nell'assicurarsi che clienti, partner, dipendenti e fornitori, ovvero tutti i soggetti interessati dai dati, possano esercitare i propri diritti. Le aziende dovranno disporre di tecnologie affidabili, sicure e solide, che permettano la corretta registrazione del consenso per ciascuna istanza, garantiscano agli individui l'accesso ai propri dati e, se necessario, offrano la possibilità di rettificare ed eliminare in modo sicuro i dati, se necessario.

Queste tecnologie devono essere incorporate nei processi aziendali e ciò rappresenta il punto di equilibrio del modo in cui l'organizzazione lavora con la tecnologia. Per Baines, "ciò è potenzialmente molto significativo per alcune categorie aziendali". "Devono quindi prepararsi ad affrontare questo costo. Ad esempio, cosa potrebbe succedere nel caso di una campagna mirata portata avanti da un grande gruppo di clienti insoddisfatti" che intendono esercitare il loro diritto sulla portabilità dei dati?

A questo Tim Turner aggiunge che "la propria azienda dovrà disporre di processi organizzativi che le consentano di conoscere non solo i propri flussi dati, ma anche i dati presenti sul cloud". Inoltre afferma che non sarà possibile "evitare di conoscere cosa sia stato affidato in appalto, a chi e dove. Non sarà infatti possibile difendersi dicendo di essersi affidati al proprio provider, senza rispondere direttamente per tutto".

Altri cambiamenti indotti dal GDPR saranno rappresentati dalle richieste rivolte all'azienda anziché alla tecnologia, come ad esempio capire se è necessario nominare un responsabile della protezione dati (DPO). Judith Vieberink, avvocato dell'azienda olandese First Lawyers, afferma che tale ruolo non è quello di un qualsiasi altro dipendente: "Un DPO deve essere indipendente rispetto al consiglio di amministrazione e rispetto all'auditor".

Per lei, "è possibile avere un DPO interno all'azienda, ma se questo è presente, è necessario pensare a come mantenerne l'indipendenza". Una cosa che l'organizzazione dovrà prendere in considerazione potrebbe essere se abbia più senso utilizzare una società di consulenza per i compiti del DPO anziché averne uno all'interno.

Il GDPR rappresenta un enorme mutamento filosofico per le aziende: è sufficiente chiedere a qualsiasi esperto quale sia il cambiamento principale per sentirsi rispondere che si tratterà di porre il diritto alla protezione dei dati al centro delle responsabilità, e ciò significa assicurarsi che il personale sia al corrente delle proprie responsabilità nel caso si occupi della gestione o dell'elaborazione dei dati personali. Ciò significa che nel momento in cui il GDPR entrerà in vigore il prossimo maggio, coloro che si occupano del controllo e dell'elaborazione dei dati all'interno dell'organizzazione dovranno avere una formazione adeguata non solo per qualsiasi nuova tecnologia installata, ma anche per i propri compiti e responsabilità.

Le organizzazioni nel Regno Unito dovranno affrontare una sfida particolare anche per il trasferimento dati: nonostante il fatto che il governo britannico abbia affermato che il GDPR verrà implementato, una volta che la Gran Bretagna avrà lasciato l'Unione Europea nel 2019, per Jon Baines il paese "sarà fuori da questo ombrello". "Avremo inoltre bisogno dell'approvazione della UE per rientrare. Le aziende che si affidano ai trasferimenti internazionali staranno già considerando le opzioni per il futuro, ma nello scenario peggiore, potrebbero dover affrontare sistemi onerosi, restrittivi e burocratici per spostare i dati tra le varie località".

Il GDPR rappresenta una sorta di direttiva sulla protezione dei dati 2.0, basata su requisiti specifici e che si occupa della relativa armonizzazione, creando inoltre una struttura omogenea applicata non solo a tutta l'Unione Europea, ma anche alle aziende esterne alla UE che gestiscono i dati dei cittadini europei. Si tratta del cambiamento più grande del modo in cui le aziende hanno pensato ai dati per decenni, e le aziende più intelligenti sono già al corrente degli enormi cambiamenti, sia tecnologici che organizzativi che verranno richiesti dalla struttura.

Ma oltre a rappresentare una sfida, il GDPR rappresenta un'opportunità per creare un clima nell'azienda che rompa le vecchie barriere tra il reparto IT e i vertici aziendali, in modo da creare una partnership dinamica e coesiva nel cuore della propria organizzazione.

Responsabile della conformità dei dati (CCO) Responsabile della sicurezza di informazioni e comunicazione (CISO) Team legali Violazione dei dati

Condividi con noi la tua opinione e partecipa alla discussione su LinkedIn!

SOTTOSCRIZIONE

Iscrivetevi per ricevere gli aggiornamenti di GDPR & Beyond