L'intervento del responsabile Security Governance e Data Protection del partner tecnologico del Mef, Fabio Lazzini, tenuto oggi ad un seminario formativo organizzato in collaborazione con il Garante Privacy

Ringrazio innanzitutto il Presidente dell’Autorità Garante per la protezione dei dati personali e i suoi collaboratori che ci onorano, oggi, della loro presenza e Tutti i partecipanti intervenuti.

Desidero anche esprimere un sentito ringraziamento al Consiglio di Amministrazione ed in particolare all’Amministratore Delegato per l’attenzione costante verso le nostre attività di Sicurezza e Privacy e per la fiducia riposta nella mia persona assegnandomi il ruolo di DPO, che mi accingo a svolgere al meglio per una corretta gestione dei dati personali dei Cittadini.

Il 25 maggio 2018 il Regolamento Europeo sulla protezione dei dati personali sarà definitivamente applicabile a tutti gli Stati membri; esso introduce un cambiamento di grande portata che trasforma radicalmente l’approccio alla Privacy, definendo un nuovo paradigma che comprende aspetti tecnologici, procedurali ed organizzativi, la cui adozione impone un nuovo modo di operare e di affrontare le responsabilità connesse alla protezione dei dati personali e dei diritti e delle libertà dell’interessato.
Ritengo sia molto significativo condividere con Voi l’approccio che Sogei ha voluto adottare per essere conforme al Regolamento Europeo, venendo incontro alle richieste, da parte delle Pubbliche Amministrazioni e dei Cittadini, di servizi sempre più evoluti e intimamente connessi con la vita e le attività quotidiane.

Nel garantire l’erogazione di questi servizi, che pongono il Cittadino e la Pubblica Amministrazione al centro dell’attenzione, come mai prima d’ora, le banche dati digitali giocano un ruolo di primaria importanza. Nel corso degli ultimi anni, infatti, la raccolta e l’analisi dei dati personali hanno sempre più rappresentato una componente strategica nell’evoluzione dell’economia digitale.

L’utilizzo così ampio delle banche dati digitali, se da un lato rappresenta un’opportunità di erogare servizi sempre più efficienti e moderni, dall’altra costituisce una fonte di rischio non trascurabile, che deve essere presa in considerazione. Ciò impone alle aziende e in particolare alla Pubblica Amministrazione, di porre in essere tutti gli sforzi possibili per garantire il rispetto dei parametri di Riservatezza, Integrità e Disponibilità delle stesse, tramite la definizione e l’applicazione di piani di Data Protection sempre più evoluti, con una particolare attenzione alla riduzione dei rischi per i diritti e le libertà degli interessati.

Sogei, a cui è stata affidata la responsabilità di essere uno dei primari attuatori dei progetti legati all’Agenda Digitale del Governo, ha preso attentamente in considerazione tali aspetti e li ha contestualizzati all’interno della propria specifica realtà, generando un percorso in cui la disciplina sulla protezione dei dati diventa un tutt’uno con i principi fondamentali sulla sicurezza delle informazioni. Questo connubio innesca il processo di miglioramento continuo necessario per garantire che i servizi offerti siano erogati, in modalità sicura, nel pieno rispetto dei diritti dei Cittadini.

Sogei ha pertanto definito, implementato e migliorato nel tempo il proprio Modello di Sicurezza, basato sulla gestione integrata del rischio. Tale Modello è costituito da un unico sistema di governo attraverso il quale il CSO ed il Vertice Aziendale governano, controllano e monitorano tutta la “filiera della sicurezza”; a tale “filiera” concorrono più sistemi di gestione dedicati a specifici ambiti, come la sicurezza delle informazioni, la privacy, la sicurezza fisica e le informazioni classificate. Ogni sistema di gestione è stato sviluppato secondo gli standard e le normative che ne regolano la materia, al fine di analizzare i rischi di ogni ambito, definire le necessarie politiche di sicurezza e attuare le relative misure.

Tutte le strutture aziendali sono chiamate ad attuare consapevolmente le misure di sicurezza previste, secondo il proprio ruolo e le proprie competenze. Un ruolo di particolare rilevanza è ricoperto dal CERT (Computer Emergency Response Team) che ha il compito di coordinare, supportare e monitorare le attività di prevenzione, risposta e ripristino degli incidenti, abilitando e coordinando le comunicazioni interne ed esterne e trattando con la dovuta priorità possibile data breach con significativi impatti su dati personali e sui diritti e libertà dei relativi interessati.

A concreta garanzia della gestione integrata del rischio su cui poggia il Modello di Sicurezza di Sogei è stato sviluppato un policy framework chiamato “FOURSec”, che raccoglie e integra con un approccio multicompliance tutti i requisiti di sicurezza necessari e vincolanti, derivanti da norme, linee guida, standard di settore e le policy in materia di sicurezza delle informazioni e di protezione dei dati personali.

FOURSec è alla base del ciclo di vita dei servizi ICT erogati da Sogei, dalla progettazione fino all’audit, infatti in esso trovano piena concretezza i principi di privacy by design e di privacy impact assessment.

In tale contesto, Sogei ha introdotto la figura del DPO che non si occupa, esclusivamente, delle questioni interne a Sogei (in quanto Titolare o Responsabile esterno del trattamento), ma che agisce anche da punto di contatto con i DPO delle Amministrazioni Titolari, per far fronte alle tematiche di Data Protection introdotte dal Regolamento, abilitando in questo modo la generazione di una sinergia tra le Amministrazioni finalizzata ad una gestione omogenea delle tematiche Data Protection.
L’obiettivo ambizioso che mi sto ponendo assieme a tutta Sogei, è di fungere da catalizzatore delle esigenze e delle problematiche che di volta in volta possono scaturire dal complesso ecosistema Sogei – Amministrazioni Titolari – Cittadino, al fine di accrescere la collaborazione e lo scambio di informazioni tra le parti e di affrontare congiuntamente le sfide che si presenteranno di volta in volta nelle attività di sicurezza legate alla gestione dei dati personali.

Solo attraverso la condivisione delle informazioni e la collaborazione tra Responsabile esterno e le Amministrazioni Titolari del trattamento, si hanno maggiori possibilità di intercettare e governare nel modo corretto i rischi che derivano sia dalla gestione delle numerose tipologie di trattamento, sia da un ecosistema complesso e soggetto ad una variegata normativa di riferimento, come quello attuale.

Il cambio culturale imposto dal Regolamento Europeo rappresenta un nuovo punto di svolta rispetto all’intera materia della Data Protection per la gestione dei dati personali, che non sarà più limitata esclusivamente al dover seguire in modo pedissequo i requisiti puntuali di una norma o di una legge, ma dovrà diventare un processo che coinvolgerà l’intera organizzazione (Titolare e Responsabile esterno) in un’ottica di responsabilizzazione delle Amministrazioni Titolari del trattamento, come previsto dal principio di Accountability.

Infatti, già da un primo esame dell’architettura giuridica del principio di Accountability, appare evidente come il Regolamento struttura un sistema di regole che non esprime esclusivamente obblighi, ma fornisce un quadro di riferimento composto sia dagli obiettivi, sia dagli strumenti adottabili per raggiungerli.

È compito delle Amministrazioni Titolari definire il grado di adozione degli stessi, assumendosi la responsabilità di individuare e valutare l’esistenza di rischi di violazione dei diritti degli interessati, al fine di prendere decisioni autonome, dimostrare le motivazioni che hanno portato all’adozione di una determinata decisione e documentare le scelte effettuate.
Sogei sta pertanto provvedendo a formalizzare insieme con le Amministrazioni Titolari strumenti e processi condivisi, che supportano una efficace introduzione del Regolamento al proprio interno, senza i quali l’attività di controllo dei rispettivi DPO potrebbe risultare difficoltosa e inefficiente, operando principalmente in quattro direzioni: formalizzazione del registro dei trattamenti, centro di governo delle attività legate alla protezione dei dati personali; introduzione pervasiva nelle attività di business dei concetti di privacy by design e privacy by default, in particolare come elemento abilitante e distintivo nei processi di sviluppo dei servizi ICT; definizione di una metodologia di Data Protection Impact Assessment (DPIA), che consente di adottare un approccio condiviso e omogeneo per l’analisi del rischio privacy e per la definizione delle conseguenti misure di sicurezza; integrazione dei processi di cyber-incident handling con le Amministrazioni Titolari, per una efficace gestione di possibili data breach volta a limitare prontamente impatti sull’organizzazione e sugli interessati.

Per mettere in campo le attività sopra descritte e integrarle nel proprio contesto, Sogei ha lavorato, e molto, al proprio interno, con lo scopo di rendere pervasivi nell’Organizzazione i principi di privacy by design e privacy by default e consentire agli stessi di entrare in sintonia con i corrispondenti, medesimi principi, in termini di security.

In quest’ottica è stato molto importante, sia rivisitare i propri processi interni, ponendo priorità e precedenza verso la privacy degli utenti, sia potenziare la comunicazione aziendale interna attraverso programmi di formazione specifica, affinché chiunque si trovi in una posizione che implichi l’accesso ai dati personali degli utenti sappia correttamente entro quali limiti poter svolgere la propria attività.

In questo modo siamo riusciti, per usare parole non mie, in quello che fino a poco tempo fa sembrava davvero molto difficile (e per certi versi lo è stato): trasformare la Protezione dei dati da “costo” a “risorsa” per le aziende, da una “fonte di preoccupazione” a un “fattore di accresciuta competitività” per le imprese e di “ulteriore legittimazione” per la Pubblica Amministrazione.

Quello che mi auguro e auspico è che le Amministrazioni Titolari possano attingere dalla nostra esperienza tramite la collaborazione che il Regolamento caldeggia, innescando un ciclo virtuoso che comprenda sia Sogei, sia le Amministrazioni Titolari, e arrivi a far beneficiare tutte le entità Titolari del trattamento del Modello integrato di Sicurezza e Data Protection definito, che vi ho raccontato oggi ad alto livello.

È un cambio di cultura che richiede un confronto continuo, una condivisione di metodologie, di approcci e di strumenti che consente di cogliere l’opportunità di apprendere e al contempo di evolversi di concerto, per passare da tante singole gestioni disgiunte e potenzialmente inefficienti, ad un’unica, unitaria gestione in materia di Data Protection, basata su un modello stabile, collaudato e ripetibile, caratterizzato da punti di riferimento identificati e ben delineati.

In tale contesto sfidante, Sogei si pone l’obiettivo di fungere da hub (cabina di regia) per l’erogazione di servizi sicuri al Cittadino, attraverso l’adozione e la messa a fattor comune di strumenti di sicurezza (tecnologie, metodologie, pratiche) che facilitino la fruizione dei servizi ed accrescano, al tempo stesso, il livello di fiducia nell’utilizzo di tali servizi da parte degli utenti-cittadini.
E non solo: Sogei vuole mettere a disposizione le proprie conoscenze e le proprie esperienze supportando le Amministrazioni Titolari in un percorso di “ricerca e sviluppo” in termini di Data Protection, che partendo dalla già citata condivisione, può arrivare fino a concretizzare politiche di investimento strategico nel campo della formazione vera e propria rispetto a tali tematiche.
Sogei, quindi, conscia della rilevanza strategica che il proprio ruolo impone e guida, mette a disposizione delle Amministrazioni Titolari il proprio approccio, la propria metodologia, le proprie linee guida e tutto l’apparato stabilito, per definire congiuntamente una nuova best practice innovativa e divenire insieme riferimento a livello nazionale per la Data Protection nella PA.

Condividi tramite