Intervista

GDPR 25 maggio: non un traguardo, ma la tappa di un percorso

Qual è l’atteggiamento delle aziende italiane a poche settimane dalla definitiva applicazione del GDPR? Ne parla a ZeroUno Tomasz Slowinski, GDPR Italy Leader in IBM che illustra i 5 principi del “manifesto” della data protection che IBM ha recentemente stilato

Pubblicato il 18 Apr 2018

Tomasz Slowinski IBM GDPR leader Italy

Manca poco più di un mese alla definitiva applicazione del GDPR eppure c’è ancora un’ampia fetta di aziende che ancora non è pronta per essere conforme a quanto prescritto dalla normativa europea in tema di protezione dei dati personali: “In realtà, molte PMI non sono neanche partite. Diverse aziende non si sono ben rese conto che i problemi che vengono investiti dal GDPR non sono solo tecnologici, ma sono soprattutto organizzativi”, afferma Tomasz Slowinski, GDPR Italy Leader in IBM, al quale ZeroUno ha chiesto un’opinione su come le aziende italiane stanno recependo questa normativa.

“Situazione diversa – prosegue Slowinski – quella delle grandi aziende che hanno terminato la fase di assessment e nelle quali stiamo gradatamente entrando nella fase di copertura delle aree che si sono riscontrate deficitarie. Gli scenari sono diversi a seconda del tipo di azienda o del settore in cui la realtà opera: in alcuni settori dove alcuni aspetti particolarmente impattanti, come per esempio la gestione dei data breach erano già normati, non cambia molto, ma nella maggior parte dei casi si richiedono revisioni organizzative e di processo impegnative”. Il GDPR però, al di là della risposta puntuale a indicazioni specifiche, si deve collocare all’interno di una strategia più ampia che riguarda la data governance e i concetti di security e data protection by design: “È corretto – conferma il manager IBM – e molte aziende non si rendono conto che ci sono elementi, come la portabilità dei dati o il diritto all’oblio, che riguardano la competitività aziendale: chi ha impostato la propria strategia aziendale su questi approcci ha visto crescere la propria reputation perché offre maggiore garanzia agli utenti sulla protezione dei propri dati, tema ai quali si è sempre più sensibili”.

Andare oltre il 25 maggio

Ed è superfluo dire che giungere preparati al 25 maggio (data entro la quale le aziende dovranno essere conformi alla normativa) non significa avere raggiunto l’obiettivo, ma avere intrapreso un percorso. A volte, invece, si ha la sensazione che le aziende considerino questa data come un punto di arrivo (al quale si pensa, erroneamente, si possa giungere anche avendo fatto solo una parte dei “compiti”, dimenticando che le sanzioni potranno “fioccare” già dal 26 maggio): “Effettivamente, l’atteggiamento in molte realtà è proprio questo; un atteggiamento che fa il paio con il fatto che la normativa aveva dato due anni di tempo per mettersi in regola, mentre quasi tutte le aziende si sono mosse solo negli ultimi mesi”. Ogni azienda deve invece capire come muoversi nel breve e nel medio periodo, definire un percorso; per questo la fase di assessment è fondamentale, perché bisogna avere una fotografia veritiera e attendibile dei propri dati, “dopodiché – prosegue Slowinski – le tecnologie per rispondere alle diverse necessità ci sono, ce ne sono tante adattabili a ogni specifica situazione e necessità. Quello che è fondamentale è definire una strategia che inglobi i concetti di security by design e data protection by default e per questo abbiamo stilato una sorta di Manifesto per la protezione dei dati che si riassume in 5 punti chiave:

  • Data ownership e privacy: i clienti IBM non devono rinunciare ai diritti sui propri dati per beneficiare di soluzioni e servizi Cognitive Watson: gli insight che derivano dai dati rappresentano il vantaggio competitivo di ciascun cliente e rimangono di sua proprietà;
  • Flusso e accesso ai dati: IBM sta facendo importanti investimenti nei data center in cloud in tutto il mondo per dare ai propri clienti la flessibilità di decidere dove tenere i propri dati, secondo le loro necessità;
  • Data security: la società si impegna nella creazione di nuovi strumenti per la protezione dei dati, sia i dati dei suoi clienti, sia negli ambienti della blockchain e dell’intelligenza artificiale. L’impegno concreto è a non inserire backdoor nei propri prodotti, accessibili ad agenzie governative e non fornire loro chiavi di cifratura; proprio sulla cifratura, la società si impegna a fare riferimento agli standard internazionali o a framework come il NIST).
  • Dati e intelligenza artificiale: nello sviluppo dell’intelligenza artificiale, è fondamentale avere trasparenza e la governance dei dati, così che sia possibile comprendere perché un sistema sia arrivato a una determinata conclusione o a una determinata raccomandazione.
  • Data skill: i cambiamenti in atto sono tali da richiedere competenze specifiche. Per questo IBM sta collaborando con le autorità competenti al fine di modernizzare i sistemi educativi, allineando i percorsi di formazione agli effettivi bisogni del mondo del lavoro.

Questo Manifesto – conclude il GDPR leader – si inserisce in un’altra importante iniziativa, la Charter of Trust, guidata da Siemens e siglata alla Munich Security Conference 2018 da IBM, Airbus, Allianz, Daimler e altri player, che stabilisce 10 principi chiave per la cybersecurity” .

La “carta” si basa sul principio della necessità di una forte collaborazione e condivisione delle informazioni tra governi, società e industria per combattere efficacemente i cybercriminali.

I 3 domini dell’approccio IBM al GDPR

Concludiamo l’incontro con Slowinski con un breve accenno all’offerta di servizi e tecnologie di IBM per rispondere alle esigenze del GDPR (figura).

ibm gdpr
Figura – Servizi e tecnologie IBM a supporto dell’iniziativa GDPRFonte: IBM

L’azienda ha organizzato le attività legate al GDPR in tre domini che consentono di coprire l’intero spettro dei requisiti della normativa:

  • Privacy & Security Compliance Management System, per indirizzare nel complesso la GDPR Accountability: area che copre gli ambiti Strategy, Risk e Compliance, identificazione degli stakeholder, processo PDCA (Plan–Do–Check–Act), documentazione e gestione delle evidenze.
  • Privacy Enforcement, area basata sulla Analisi dei Rischi Privacy, per indirizzare l’identificazione, disegno, sviluppo, implementazione, gestione e raccolta delle evidenze delle misure e degli adempimenti Privacy specifici appropriati (Notice, Consent, Personal Data Management, Data Subject Rights Management, ecc.) che copre anche le applicazioni e gli aspetti di gestione ICT per le richieste e i diritti degli interessati.
  • Security Enforcement, area basata sull’Analisi dei Rischi Security, per indirizzare l’identificazione, disegno, sviluppo, implementazione, gestione e raccolta delle evidenze delle misure adeguate di Security e degli adempimenti specifici (Data Security, Data Breach, Cryptography, ecc.).

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4