15 Novembre Nov 2017 1200 6 years ago

Adeguarsi velocemente al GDPR applicando l'approccio by Design & by Default

di Salvatore Piu - Business Process Strategist DocFlow

Graphic 2124786 1920

Solo una piccola percentuale di aziende europee sono, o si dichiarano, pronte all’entrata in vigore del GDPR. Secondi alcuni sondaggi, la percentuale sarebbe compresa tra il 10% e il 30%. In Italia il numero potrebbe essere ancora più basso.
I casi che abbiamo avuto modo di analizzare ci suggeriscono che le aziende già pronte sono proprio quelle che negli anni passati hanno intrapreso un percorso innovativo aumentando il livello di maturità nella gestione dei processi e del sistema di controllo, anticipando l’approccio by Design & by Default oggi richiesto esplicitamente dal Regolamento.

[Se preferisci scarica tutto l'articolo in pdf] o prosegui nella lettura...

Un punto di svolta culturale

Molti articoli pubblicati sul tema del General Data Protection Regulation (GDPR) lo rappresentano come un radicale punto di svolta culturale nelle modalità di gestione delle informazioni con importanti impatti sia sul piano organizzativo che su quello dell’Information Technology.

Per rafforzare il messaggio alcuni operatori del settore fanno leva sulle penali introdotte o hanno creato dei siti web informativi con il countdown della data in cui entrerà in vigore.

Ma è davvero un cambiamento così radicale?

Il regolamento introduce sicuramente delle novità, ma dal punto di vista operativo, si può osservare come il legislatore abbia adottato un approccio che è già parte del bagaglio culturale europeo (diffuso soprattutto nel nord Europa) che si focalizza sui processi (privacy by Design & by Default) e sui sani principi della sicurezza e del Risk Management.

I concetti di fondo introdotti sono dunque già applicati in molte aziende mediante un approccio noto come (Multi) Compliance Integrata, ovvero un impianto di processi, sistemi e policy unico per la gestione delle conformità alle diverse normative. Non è raro osservare aziende nelle quali i rischi di privacy siano da tempo valutati con un approccio Risk Based, al pari degli altri rischi di Compliance o di Business.

L’esperienza sull’implementazione del GDPR maturata dalle organizzazioni che hanno in precedenza adottato un approccio integrato, conferma come questo consenta una notevole riduzione dei tempi e dei costi di implementazione, soprattutto nei casi in cui sia coadiuvato da metodologie e strumenti di Enterprise Architecture e Business Process Management. In sostanza, il modello rispetta le promesse anche in caso di ampliamenti legislativi radicali poiché contiene per sua stessa natura il meme del cambiamento.

L’applicazione del GDPR resta comunque gravosa, soprattutto per le difficoltà legate alla sua introduzione nel quadro legislativo italiano notoriamente molto complesso. A questo si aggiungono alcune ambiguità del testo, in particolare sulle tematiche di profilazione e decisioni automatizzate, consenso dei minori e codici di condotta a cui sta lavorando il Gruppo art 29 (organismo consultivo composto dai rappresentati delle autorità di protezione dei dati personali degli Stati membri, dal Garante Europeo della protezione dei dati e da un rappresentante della Commissione Europea), che potrebbe originare ancora delle rilavorazioni anche nelle organizzazioni che si sono già adeguate alla normativa.

Il programma di conformità al GDPR

L'adeguamento alla normativa deve prevedere un progetto strutturato, con una fase di analisi dei requisiti di sicurezza e organizzativi e una successiva fase implementativa.

Una prima discovery ha l’obiettivo di individuare i dati personali presenti in azienda e lo scopo del loro trattamento. La normativa non prevede restrizioni particolari sullo scopo del trattamento, ma esclusivamente l’adozione del principio della minimizzazione dei dati rispetto alle finalità previste e appropriati presidi di sicurezza. L’analisi deve essere completa ed esaustiva e deve includere l’intero sistema informativo aziendale: sistemi gestionali, sistemi documentali, strumenti di condivisione dei file, blog e social, posta elettronica e archivi di backup.

Il reperimento delle informazioni risulta agevolato dalla presenza di un Repository di Enterprise Architecture (EA), mediante il quale è possibile individuare i dati, gli applicativi, i processi e le strutture organizzative coinvolte senza lunghe e faticose interviste.

Non è sufficiente possedere un applicativo di EA, è necessario che esso sia vivo e utilizzato secondo standard qualitativi accettabili. Le aziende che hanno solo parzialmente modellato le loro architetture, potranno approfittare dell’occasione per completare la modellazione inserendo gli strati mancanti.

Per chiarire lo scopo del trattamento dei dati, come ad esempio l’espletamento delle attività previste da un contratto o il miglioramento di un servizio, è necessario comunque coinvolgere i Business Process Owner, a cui andrebbero attribuiti i titoli di Responsabile dei Trattamenti, che restano gli attori principali del processo di cambiamento.

Nella fase successiva è necessario classificare i dati secondo requisiti di integrità e riservatezza per poi valutare i rischi, come ad esempio la divulgazione non autorizzata o perdita dei dati, e i presidi esistenti di controllo e sicurezza.

La valutazione dei rischi segue un processo standard in cui i Risk Manager conducono le loro valutazioni sia sui rischi di privacy che su quelli di business e suggeriscono le misure di mitigazione ai Business Process Owner.

Il GDPR istituisce la figura del Data Protection Officer (DPO), con il compito di facilitare la realizzazione del programma di conformità, senza esserne formalmente responsabile. La responsabilità resta in carico ai rappresentanti legali dell’azienda, che devono esplicitamente accettare il rischio residuo.

È in questa fase che si individuano i possibili scenari in modo che i Business Process Owner possano attuare delle scelte basate sui vantaggi di business e sulla valutazione dei rischi residui. Anche in questo caso l’EA viene in aiuto per la modellazione, l’analisi dei gap e la selezione degli scenari.

Poiché la valutazione dei rischi deve essere condotta periodicamente, è opportuno utilizzare le metodologie e gli strumenti già presenti in azienda e, eventualmente, adeguarli alle nuove esigenze. L’adeguamento del sistema, se implementato con una Business Process Management Suite (BPMS), risulterà veloce e più economico rispetto ad altre soluzioni.

Un capitolo importante degli sviluppi riguarda il Registro delle Attività di Trattamento. Partendo dal modello descritto può essere visto come un’estensione della soluzione presente in azienda del sistema di Governance Risk & Compliance e può essere realizzato mediante tecnologia BPMS. L’integrazione con i processi di business e con il sistema di controllo, fornita da questa tecnologia, permette di cogliere nuove opportunità.

L’applicazione che gestisce il Registro può essere estesa ai processi connessi previsti dal Regolamento. È possibile, ad esempio, gestire e tracciare le richieste dei dati da parte dell’interessato e il loro invio mediante i canali predisposti. Anche le richieste di cancellazione dei dati possono essere processate mediante la medesima applicazione, con uno specifico workflow che preveda l’interazione con i ruoli preposti alla verifica della liceità e che scateni eventi a cascata verso gli applicativi operativi e gestionali. In caso di attacco hacker o violazione di un sistema, un registro avanzato può essere in grado di evidenziare le informazioni oggetto dell’incidente e supportare il processo di predisposizione e invio della comunicazione al Garante e agli interessati.

Razionalizzare il sistema di compliance

La razionalizzazione del sistema di compliance diviene un requisito indispensabile per la gestione della complessità. Quelle aziende che hanno già iniziato un percorso di compliance integrata e hanno investito in tecnologia abilitante al cambiamento, oggi risultano favorite non solo nell’adeguamento al GDPR ma anche per futuri cambiamenti normativi.

L'integrazione delle compliance, tuttavia, è un requisito indispensabile ma non sufficiente a minimizzare i costi: è necessario aumentare il grado di maturità del sistema di controllo mediante un ciclo di miglioramento continuo supportato dalla leva tecnologica, che permette con il tempo di naturalizzare la compliance nei processi.

Quelle aziende che da un lato hanno investito in tecnologia innovativa e dall’altro hanno introdotto delle best practice organizzative oggi sono pronte ad affrontare il GDPR così come domani saranno pronte ai cambiamenti imposti dagli enti regolatori e dalle nuove sfide del mercato, in un ambiente sempre più complesso e regolamentato.

Allegati

Tags