GDPR e data protection occasione per una visione estesa della conformità

pittogramma Zerouno

Prospettive

GDPR e data protection occasione per una visione estesa della conformità

A due anni dall’entrata in vigore, il regolamento europeo GDRP continua a tenere banco e dispiegare i suoi effetti sulle organizzazioni, come evidenzia la ricerca dell’Osservatorio Information Security & Privacy del Politecnico di Milano che, per il terzo anno consecutivo, analizza le iniziative delle imprese per essere compliant alla normativa. Parzialmente conclusa la fase di digitalizzazione delle entità di base, si tratta ora di garantire una conformità che coinvolga tutta l’organizzazione e che diventi occasione per creare framework di sicurezza e conformità estesi

20 Apr 2020

di Elisabetta Bevilacqua

La ricerca dell’Osservatorio Information Security & Privacy evidenzia molte luci e qualche ombra sull’attuazione del GDPR nel 2019. Un aspetto positivo è che il 55% delle aziende (180 grandi imprese che costituivano il campione) ha dichiarato di aver completato i progetti di adeguamento con un incremento di oltre il 30% rispetto allo scorso anno; ma d’altro canto si può notare che ancora il 45% non li ha ancora completati. Particolarmente preoccupante appare poi il fatto che il 10% del totale affermi che le implicazioni del GDPR non sono ancora all’attenzione del board, a due anni dell’entrata in vigore della normativa.

Lo stato di adeguamento al GDPR graphic
Lo stato di adeguamento al GDPR Fonte: Osservatorio Information Security & Privacy del Politecnico di Milano, 2020

Può considerarsi positivo il ruolo del GDPR nel 2019 nell’alzare il livello di attenzione sulla problematica del data breach: il 76% delle imprese ha infatti dichiarato che con il GDPR sono cambiati i processi di gestione dei della violazione dei dati.

Novità interessanti anche sulla presenza della figura del DPO che ha assunto un ruolo rilevante in concomitanza con il GDPR per assistere il titolare del trattamento nel garantire il rispetto dei requisiti della normativa. Risulta un sensibile incremento delle aziende che hanno formalizzato la presenza della figura al loro interno e delle aziende (+9%) che hanno delegato la responsabilità all’esterno (27% del totale). La tendenza a esternalizzare il ruolo del DPO nasce sia dalla necessità di dover contare su figure multidisciplinari (non sempre disponibili all’interno) sia per evitare conflitti di interesse.

Lo stato di adeguamento al GDPR graphic
Il ruolo del DPO Fonte: Osservatorio Information Security & Privacy del Politecnico di Milano, 2020

Il ruolo del DPO in un contesto di conformità in progress

Fabrizio Bicego, Data Protection Officer di Lavazza ha evidenziato, nel corso della tavola rotonda sul tema GDPR svoltasi in occasione della presentazione dei dati dell’Osservatorio, in cosa consista il suo ruolo, che si è focalizzato soprattutto nel definire un percorso, a partire dal 2018, per strutturare una cultura della privacy all’interno dell’azienda: “Per rispondere alle organizzazioni che si ritengono conformi, sottolineo che, a mio parere, la compliance è sempre un work in progress – sostiene – I trattamenti non sono statici ma vanno rivisti continuamente, la connessa evoluzione del rischio è continua e adempimenti, come il registro trattamenti, non sono mai compiuti”.

A suo parere la cultura della privacy, che ritiene sia ormai diffusa nella sua azienda, non va vista come imposizione legata solo a un aspetto sanzionatorio; va invece compresa l’utilità del trattamento dei dati conforme al regolamento. Questo comporta anche ragionare con le diverse figure aziendali per capire quali sono i dati da conservare sia a livello elettronico sia cartaceo che spesso occupano spazi inutili che si potrebbero invece liberare, diminuendo il rischio. “Tutto questo va spiegato e interiorizzato per definire una strategia di retention e applicarla”, aggiunge.

La focalizzazione sulla componente formativa va estesa a tutti gli aspetti della sicurezza, ivi compreso il data breach, che Bicego considera “il peggior incubo del DPO”. La formazione è indispensabile soprattutto per prevenire violazioni di dati personali che possono arrivare dall’interno, spesso in modo inconsapevole.

Gianluca Giaccardi, Chief Product Officer, Tesisquare, facendo il punto sullo stato dei progetti aziendali, conclusa la digitalizzazione delle entità di base (come il registro trattamenti), conferma l’esigenza di mantenere aggiornato il sistema, attingendo a tutte le funzioni aziendali, business compreso.

In questa nuova fase serve a suo parere:

  • l’attivazione di un sistema collaborativo che usi un linguaggio comprensibile anche per il business con l’obiettivo di poter raccogliere informazioni che verranno poi rielaborate da funzioni specifiche (IT, DPO, sicurezza informatica);
  • l’automazione di processi secondari, come ad esempio quelli che servono al DPO per mantenere aggiornata l’organizzazione; può risultare ad esempio utile automatizzare la mappatura, ereditando dati e informazioni dal sistema Risorse umane;
  • nel momento in cui le aziende fanno uno sforzo di comunicare con tutta l’organizzazione, i flussi informativi non devono operare solo sulla protezione dei dati ma realizzare un sistema integrato che includa anche altre normative.
foto Tavola Rotonda Osservatorio
Osservatorio Information Security & Privacy del Politecnico di Milano, 2020

Nel 2019 il GDPR come occasione per definire la supply chain security, la testimonianza

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Quanto suggerito da Giaccardi, ossia raccogliere dati e informazioni per realizzare un sistema integrato per altre normative, è stato realizzato da DEPObank che, in collaborazione il Gruppo Lutech, ha definito un framework in grado di definire gli obblighi normativi e i requisiti di sicurezza che la società deve garantire quando esternalizza una funzione o un servizio.

DEPObank è una banca che offre security service e servizi di pagamento bancari principalmente a banche e SGR e ha individuato nella supply chain uno dei punti problematici: “Abbiamo considerato i rischi della Supply chain per individuare le normative richieste per la tutela dei dati e le abbiamo inserite in un framework aggiornato – ricorda Marco Sanseverino, CISO di DEPObank – Si è trattato di un lavoro complesso visto che le normative non sono omogenee e non prevedono misure prescrittive ma lasciano ma l’interpretazione dei principi di security all’organizzazione”.

Il progetto, durato 4 mesi e da poco in produzione, aveva l’obiettivo di standardizzare i requisiti di sicurezza richiesti ai fornitori per allinearli alle policy di sicurezza aziendali.

Il framework è stato realizzato incrociando le normative, declinate nel contesto dell’azienda e dei fornitori, individuando i requisiti da mettere in atto, con il supporto dell’organizzazione che si trova a dover rispondere in prima persona agli organi di vigilanza e enti, per individuare la compliance ai rischi.

“Un importante risultato è stato rendere consapevoli i fornitori, che non sempre riescono seguire la velocità delle nuove normative in ambito bancario, dei loro obblighi normativi e del livello di sicurezza richiesto”, commenta Sanseverino.

La mappatura dei requisiti su un framework standard di processo, tipo 27001, non ha riguardato solo i requisiti tecnici del fornitore ma anche quelli organizzativi, di formazione, etc.

Il lavoro fatto confluisce in documenti di requisiti di sicurezza allegati ai contratti con i fornitori.

Elisabetta Bevilacqua

Giornalista

Sono attiva dal 1989 nel giornalismo hi-tech, dopo esperienze in uffici studi di grandi gruppi e di formazione nel settore dell’informatica e, più recentemente, di supporto alle startup. Collaboro dal 1995 con ZeroUno e attualmente mi occupo soprattutto di trasformazione digitale e Industry 4.0, open innovation e collaborazione fra imprese e startup, smart city, sicurezza informatica, nuove competenze.

Argomenti trattati

Approfondimenti

G
GDPR
GDPR e data protection occasione per una visione estesa della conformità

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 4