L’applicazione obbligatoria del Gdpr si avvicina. Vi sono molteplici attività di analisi, valutazione, progettazione e documentazione, e non vi saranno proroghe. Ciascuna azienda e organizzazione ha due modi per affrontare tale scadenza. Considerare il Gdpr come una minima evoluzione del vigente documento programmatico della sicurezza (il dps del d.Lgs. 196/2003), sistemare al meglio la parte documentale all’unico scopo di rispettare gli aspetti formali e tentare di evitare le pesanti sanzioni del Regolamento. Tale approccio è scorretto per tanti motivi, ma soprattutto perché affronta la minaccia sbagliata, che tipicamente non è rappresentata da un’improbabile sanzione quanto da un più probabile sfruttamento di una vulnerabilità connessa alla gestione dei propri dati.
L’auspicio è che vent’anni di normative sulla sicurezza informatica e soprattutto notizie quotidiane relative ad attacchi non siano passate invano. L’alternativa matura è prendere atto che, nel mondo digitale, tutti i business sono diventati o stanno per diventare data-driven. Di conseguenza, il Gdpr (dove P sta per protection, non per privacy) rappresenta una guida utilissima per portare a compimento attività che ogni azienda dovrebbe effettuare in ogni caso, proprio allo scopo di non mettere a rischio il proprio business basato sui dati, non solo personali. Vi sono alcuni aspetti che, dal punto di vista della sicurezza informatica, è interessante approfondire. Il Regolamento è più focalizzato sulle politiche, responsabilità e processi di business che sulle tecnologie, per cui coinvolge tutti i responsabili delle unità di business aziendali e tutti i dipendenti.
Questa visione risulta un’encomiabile rivoluzione copernicana dopo trent’anni trascorsi a considerare la sicurezza informatica come un mero problema tecnico. Non è così, non è mai stato così, e il Gdpr ci induce al corretto approccio top-down. L’intero processo relativo al trattamento dei dati viene posto al centro della normativa: sai come acquisisci i dati che possiedi? Sei autorizzato a farlo? Sai dove li memorizzi? Sai chi vi può accedere? Sai proteggerli dai molteplici rischi? Sai per quanto tempo puoi tenerli? Bene, sei pronto per passare alla fase successiva del Gdpr. Se non sai rispondere a queste domande, è bene fermarsi e predisporre l’azienda alla consapevolezza. Il Gdpr riparte da un elemento fondamentale e intuitivo, quanto tuttora disatteso: i dati costituiscono il tuo tesoro; per proteggerli devi innanzitutto sapere quali hai, dove si trovano e chi ha le chiavi per accedervi. È un’attività che ciascuna azienda potrebbe portare a termine in modo autonomo.
Tuttavia, un errore comune è trascurare che le risorse digitali cambiano rapidamente per cui, quello che va attivato non è un processo puntuale, ma un processo continuativo che garantisca l’aggiornamento costante delle modalità relative al trattamento dati. Tutto ciò, poi, non va realizzato per soddisfare le norme del Gdpr; va fatto perché non si può proteggere un tesoro che non si sa di avere. Il Gdpr contiene un’altra apprezzabile novità orientata a promuovere la maturità aziendale: non vi sono misure minime di sicurezza a cui aggrapparsi come nel dps, ma un data protection impact assessment.
In pratica, ciascuna azienda deve effettuare una propria analisi dei rischi e, a seconda degli esiti, procedere a specifiche azioni di trattamento del rischio tra elusione, riduzione e trasferimento, ma anche a princìpi moderni di privacy by design e privacy by default. Ciascuna scelta conduce a un progetto che ha bisogno di un responsabile, di risorse, di competenze e di scadenze. La gestione dei rischi condotta dalle grandi aziende avrà un effetto a valanga sull’intera filiera, in quanto ciascuna impresa dovrà valutare le conseguenze dei trattamenti dei dati esternalizzati e proteggersi da azioni errate e non conformi al Gdpr da parte dei fornitori. La consapevolezza dei clienti costringerà questi ultimi a investimenti in tecnologie e competenze, solo apparentemente non remunerativi, ma che risulteranno fondamentali per la durata e la crescita del loro business.
Tuttavia, la novità che sta inducendo ad adeguarsi al Gdpr, anche più delle sanzioni, è l’introduzione dell’obbligo di notifica agli interessati in caso di violazione dei dati personali. Un’affermazione di civiltà a cui l’Europa arriva in grande ritardo rispetto agli Stati Uniti. Le conseguenze sono chiare. Un incidente non si potrà più gestire investendo nel silenzio, ma al contrario richiederà un adeguato processo di gestione della comunicazione verso l’authority, gli interessati, e tutti i mezzi di comunicazione inclusi i social. Non va dimenticato che le dimissioni da parte dell’IT manager, del security manager e dell’amministratore delegato della società Equifax a settembre 2017 non sono state pretese a causa dell’imponente violazione dei dati, ma per la pessima gestione dell’incidente.
Un ulteriore esempio che il Gdpr si fonda su una crescita della governance indispensabile per affrontare il mondo digitale. Le aziende che sapranno cogliere l’occasione di questa norma per maturare in tal senso avranno i propri benefici dal mercato, non dalle mancate sanzioni.