La maggior parte delle aziende italiane, di medie e grandi dimensioni, si è adeguata al GDPR, il nuovo regolamento europeo per la Privacy. La strada da percorrere, per molte di queste, è probabilmente ancora lunga, soprattutto in termini di ottimizzazione del nuovo sistema di controllo GDPR e integrazione con i programmi di conformità alle molteplici normative già in vigore da tempo.
I risultati di alcuni recenti sondaggi realizzati proprio a ridosso del 25 maggio 2018, data ultima per l’adeguamento alla norma, stupiscono e fanno riflettere sul reale stato di conformità.
Un sondaggio di Deloitte mostra che solo il 15% delle organizzazioni intervistate riteneva, solo pochi mesi prima dell’entrata in vigore del GDPR, che sarebbe stata pienamente conforme al regolamento. Mentre il 62% puntava a ottenere esclusivamente una posizione di difesa per minimizzare i rischi di multe e di reputazione.
[Scarica qui l'articolo in pdf] o prosegui nella lettura...
Ancora più interessante è il sondaggio realizzato ad aprile da ISACA, l’associazione internazionale focalizzata sulla Governance IT. Alla domanda “Quando ti aspetti che la tua organizzazione sarà 100% conforme al GDPR?” Solo poco più del 28% degli intervistati ha affermato che lo sarebbe stato entro la data del 25 maggio. Sempre meglio del 15% stimato dal sondaggio di Deloitte, sebbene la domanda sia stata volutamente scartata dal 40% degli intervistati. Molti invece hanno indicato delle date successive. Quest’ultimo dato avvalora la tesi che diversi progetti GDPR continueranno a vivere ancora per mesi.
Un ulteriore sondaggio, condotto da Populus, afferma che la maggior parte delle aziende Europee si aspetta un costo importante per la gestione delle richieste dei Clienti in termini di Privacy.
Questi sondaggi sono stati condotti su scala mondiale o europea. In Italia non ci sono dati certi ma, probabilmente, molte aziende si troveranno in una situazione simile a quella appena delineata.
Anche il nostro osservatorio conferma questa tendenza. Molte aziende italiane si sono affidate a consulenti esterni per definire il nuovo modello di Privacy, costituito da Policy, Procedure specifiche e da alcuni documenti “vivi” in grado di far funzionare il modello, come il registro delle attività di trattamento. Molte di loro hanno inoltre eseguito un primo ciclo di DPIA (Data Protection Impact Assessment) utilizzando Excel o altri strumenti software in uso dalle società che hanno erogato i progetti di consulenza.
Il management ha percepito il GDPR come l’ennesima normativa alla quale adeguare la propria azienda e ha preferito la strada più veloce con l’obiettivo di mettere in sicurezza il patrimonio aziendale, evitando le multe esose prospettate dalla normativa e i danni reputazionali. Tuttavia, nel caso nel GDPR, per avere la piena conformità, le aziende devono essere in grado di rispondere velocemente e in modo adeguato ai cambiamenti organizzativi o di sistema. Il nuovo regolamento europeo, infatti, impone alle aziende un approccio di tipo olistico basato sulla gestione del rischio e sui principi di miglioramento dei processi organizzativi e informatici.
Il principio di Privacy by Design prescrive di assicurare la privacy dalla progettazione dei processi alla loro esecuzione, integrandola nella tecnologia o includendola nelle pratiche commerciali e in tutti i processi in cui ci siano delle attività di trattamento dei dati personali.
Il principio è stabilito dall’articolo 25 del regolamento il cui titolo è “Data protection by design and by default”, tradotto in italiano come “Protezione dei dati fin dalla progettazione per impostazione predefinita”.
Per ottenere questa forma di auto-compliance, l’impianto GDPR non può essere separato dall’esecuzione dei processi aziendali. Un impianto a sé stante corre il rischio concreto che il regolamento non sia attuato come previsto. Viceversa, le regole che sono state definite nel modello devono essere “attive” durante l’esecuzione dei processi.
I principi enunciati da Ann Cavoukian mostrano il percorso da compiere per realizzare la privacy by design e dunque essere totalmente compliant al GDPR.
Il focus principale è indubbiamente sulla gestione del cambiamento a tutti i livelli, dai piccoli cambiamenti IT, all’introduzione di nuovi prodotti, alla ridefinizione di processi o applicativi, al cambio di fornitore IT.
Per ogni cambiamento è necessario verificare l’impatto sulla privacy mediante un approccio al rischio. Le valutazioni che hanno portato a determinare le scelte organizzative e tecnologiche devono essere opportunamente documentate, in modo da poter dimostrare cosa si è fatto, chi ha preso le decisioni e con quale motivazione.
Un altro aspetto, non meno rilevante, riguarda i costi relativi alla sua attuazione: costi di gestione del registro dei trattamenti, delle richieste degli interessati e di allineamento continuo del modello ai cambiamenti. La digitalizzazione diventa una leva per garantire la privacy e, allo stesso tempo, ridurre i costi di gestione. Per gestire i cambiamenti in modo efficiente è indispensabile conoscere le architetture esistenti, sia quelle di business come i processi, sia quelle applicative e tecnologiche. Questa conoscenza consente di individuare e poi riutilizzare dei “pattern”, ovvero componenti e/o configurazioni riutilizzabili (non solo IT) con il fine di aumentare la sicurezza delle informazioni riducendo i costi di progettazione e gestione.
In sostanza, il GDPR spinge le aziende ad adottare delle buone pratiche organizzative e tecnologiche che consentano di non contrapporre la privacy agli interessi economici, ma di coniugarli in un approccio a somma-positiva in cui ci sia un incremento sia del rispetto della privacy degli interessati, che del vantaggio competitivo dell’azienda, con un approccio win win.
Una volta adottato un approccio di questo tipo, si possono estendere i vantaggi ottenuti, sia in termini di costo che di riduzione dei rischi, anche agli altri programmi di compliance, transitando dal concetto di privacy by design a quello più esteso di compliance by design.
L’ottimizzazione dell’intero sistema di controllo in ottica multi-compliance avviene mediante un percorso lungo con tappe pianificate, che se ben attuato consente di raggiungere mete ancora più sfidanti come la Compliance by Performance, ovvero il governo integrato delle architetture aziendali (processi, applicazioni e tecnologie) in grado di conseguire obiettivi elevati garantendo il pieno rispetto della conformità.
I primi passi della trasformazione consistono nell’identificare e mappare i processi necessari alla gestione della privacy e le applicazioni che li supportano.
In molti casi questi processi saranno stati da poco modificati per renderli conformi alla normativa e si troveranno in uno stato transitorio. Il loro grado di digitalizzazione potrà essere molto vario. Alcuni potrebbero essere già standardizzati e rodati, ben supportati dai sistemi informativi, mentre altri potrebbero esserlo solo parzialmente. In questa fase si troverà un uso diffuso dei tool di office, come Excel, utili per coprire i buchi digitali.
La trasformazione digitale deve avvenire valorizzando il patrimonio tecnologico dell’azienda rispettando gli ambiti “naturali” delle piattaforme esistenti. Le decisioni tecnologiche devono essere assunte sulla base della specifica architettura, con l’obiettivo di ottimizzare i costi di gestione e rendere i processi più fluidi.
Ulteriori benefici si possono ottenere mediante l’integrazione dei sistemi a supporto della compliance con i sistemi esterni. A titolo di esempio: