La compliance con la normativa GDPR costituisce oggi un impegno inderogabile per le aziende, non solo per non incorrere nelle salate sanzioni di legge, ma per evitare i danni che le perdite di dati potrebbero arrecare all’immagine dell’azienda e alla fiducia dei clienti. È un problema vitale per un’azienda come Elmec che opera come managed service provider di servizi IT per cui la tutela dei dati e le compliance con i regolamenti europei e nazionali sono la condizione essenziale per rispondere ai requisiti dei clienti e continuare a fare business. “I clienti di Elmec sono sempre di più aziende di medie e grandi dimensioni, con esigenze specifiche, spesso dettate dalla natura del business, dalla compliance di riferimento o da certificazioni di settore. – spiega Elena Bertolin, Legal Affairs & Compliance Manager e Data Protection Officer di Elmec – Elmec si pone nell’ottica di soddisfare al massimo queste necessità, affiancandosi ai referenti aziendali del cliente per individuare le soluzioni migliori, anche in termini contrattuali”.
Who's Who
Elena Bertolin
Ci parla del progetto d’implementazione GDPR di Elmec Luca Bechelli, Information & Cybersecurity advisor di Partners 4 Innovation, membro del team di consulenti che lo ha curato, in stretta collaborazione con le persone interne dell’azienda. Elmec ha ingaggiato P4I a partire dalla metà dello scorso anno nel momento in cui era chiaro cosa fosse necessario fare per la compliance GDPR. “Analizzando la complessità della nostra struttura e dei servizi erogati, – continua Bertolin – abbiamo valutato la necessità di rivolgerci ad un partner altrettanto strutturato per raggiungere l’obiettivo dell’adeguamento al GDPR con la serenità di essere seguiti da professionisti di alto livello: il mercato delle consulenze in ambito privacy e security è esploso nell’ultimo periodo, ma pochi offrono garanzie di compentenza al pari di P4I”. “Un progetto fortunato – aggiunge Bechelli -, correttamente inserito dai dirigenti all’interno di una più ampia iniziativa di adeguamento dei servizi erogati ai clienti”. Come fornitore d’infrastrutture IT gestite, Elmec si è sempre preoccupata delle garanzie tecniche sul fronte della sicurezza dei dati e delle compliance.Ha quindi coinvolto i consulenti di P4I nella gestione delle fasi di adeguamento GDPR che riguardavano gli aspetti contrattualistici e procedurali, “a partire dalla base documentale che i clienti Elmec devono recepire e allegare ai contratti per ottenere dal fornitore le garanzie sulla protezione dei dati. Abbiamo inoltre curato gli adeguamenti interni per allineare i trattamenti di fornitori e dipendenti”. Per fare i piani e curare il progetto, Elmec ha creato un team di persone dedicato, riunendo le tre fondamentali competenze: di security, legali e organizzative. “Nel team io mi sono occupato della security – racconta Bechelli – affiancando i legali impegnati nella ridefinizione dei contratti e gli ingegneri gestionali per la revisione dei processi aziendali”.
Who's Who
Luca Bechelli
“La documentazione prodotta è stata decisamente apprezzata dai nostri clienti, che possono dimostrare agevolmente di aver affidato i trattamenti a <<responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate […]>> e allo stesso tempo beneficiano di una parte di analisi del rischio relativa ai servizi IT data in outsourcing praticamente già fatta” – sottolinea Bertolin.
Dall’analisi del rischio all’adeguamento dei contratti con i clienti
Il primo impegno sul fronte della sicurezza ha riguardato l’analisi del rischio. “Abbiamo classificato i servizi erogati in base ai rischi associati – spiega Bechelli -, distinguendo tra quelli che necessitavano di trattamenti specifici e altri non impattati. Ogni servizio è stato valutato in base ai requisiti del regolamento GDPR, estendendo la gap analysis al livello delle best practice e quindi ricercando le misure risolutive più ragionevoli. Nell’analisi sono state considerate anche le esigenze di alcuni clienti che operano in ambiti molto sensibili alla tutela dei dati, come per esempio il campo sanitario”. Come fornitore di servizi IT basati su tecnologie allo stato dell’arte, Elmec aveva affrontato tematiche di sicurezza e di protezione dati già prima del GDPR, ottenendo la certificazione ISO 27001. “Questo ha aiutato il managed service provider italiano ad evitare gli adempimenti più onerosi nel percorso verso la compliance GDPR – continua Bechelli , – limitandoli agli aspetti innovativi introdotti dal regolamento europeo, a cominciare dall’obbligo di notifica degli incidenti”. Quest’ambito, soggetto a pesantissime sanzioni, ha richiesto degli adeguamenti. “Comunicazioni che nel passato potevano essere variamente gestite, devono essere oggi garantite nei tempi e nei modi definiti, accompagnate dai dettagli che consentono al cliente di capire cosa è successo e di procedere alle comunicazioni di legge verso l’Autorità garante. “Il lavoro principale è quindi consistito nell’adattare i controlli e i processi interni di Elmec agli obblighi imposti dal regolamento – precisa Bechelli -, tradurli nei contratti che legano Elmec ai suoi clienti individuando gli aggiustamenti, chiudendo il cerchio di un percorso di adeguamento che Elmec aveva già avviato in modo autonomo”.
Partendo dalla compliance ISO 27001, Elmec aveva già implementato la gran parte dei processi e dei controlli che sono utili al GDPR. “C’era la gestione degli incidenti – spiega Bechelli -, quindi gli strumenti avanzati per accorgersi delle violazioni, per gestirle e mitigarne gli effetti. GDPR aggiunge specifici obblighi di comunicazione: avvisare tempestivamente il titolare dei diritti sui dati sull’accaduto”. Poiché un gestore di servizi IT per conto terzi come Elmec non ha conoscenza dell’uso e del contenuto dei sistemi, non può sapere se un problema eventualmente verificatosi ha impatti o no sui dati sensibili degli utilizzatori finali. “Questo rende necessario definire dei criteri di comunicazione specifici, soggetti a livelli di servizio ben definiti, correlati con le informazioni che consentono al cliente di stabilire l’impatto”, precisa Bechelli. Un attacco informatico con conseguente blocco di un sistema potrebbe comportare delle criticità GDPR per anagrafiche o altri dati sensibili posseduti dal cliente. “Per questo è fondamentale la trasparenza del gestore dell’infrastruttura, il rispetto dei processi secondo gli impegni contrattuali presi. Solo il cliente può capire in base alle corrette segnalazioni se un fatto riguardante un suo sistema è rilevante oppure no”.
Creare un’organizzazione efficace e proiettata nel futuro
L’esame a cui è stata sottoposta la struttura organizzativa di Elmec ha rilevato una sostanziale adeguatezza ai fini della gestione della privacy, pur essendo necessario un adeguamento dei ruoli al GDPR. “Elmec aveva già nell’organizzazione le persone responsabili per la gestione della protezione dei dati e della sicurezza – spiega Bechelli -; questo ha reso più semplice reperire le figure professionali da coinvolgere nel team di progetto e alle quali trasferire le ulteriori competenze necessarie al GDPR”.
“Uno degli obiettivi centrali è sempre stato quello di portare la competenza internamente, partecipando attivamente alla creazione dell’impianto di compliance. I processi, la documentazione, le procedure, ecc. sono frutto di un lavoro di squadra e saranno, inevitabilmente, oggetto di revisione, manutenzione e approfondimento da portare avanti il più possibile autonomamente, per venire incontro anche alle necessità dei diversi clienti.”, aggiunge Bertolin.
L’importanza di coinvolgere le persone chiave dell’organizzazione è palese: “Fa sì che tutti conoscano gli adempimenti e gli oneri che inevitabilmente comportano, oltre ad aiutare a individuare le migliori soluzioni. L’aver accostato le attività necessarie alla conformità GDPR con quelle per il miglioramento dei servizi al cliente mette oggi Elmec nella condizione di fare analisi preventive, dare evidenza dei rischi al cliente e spiegare di cosa il gestore può farsi carico”. Nella documentazione che oggi Elmec fornisce ai clienti ci sono le misure da prendere, i consigli su sistemi operativi e molto altro. “Centinaia di contratti sono stati rivisti e adeguati con la nomina del responsabile del trattamento – spiega Bechelli -. Poiché tutto questo è stato fatto con largo anticipo, Elmec ha evitato di dover rispondere alle richieste che sarebbero in seguito arrivate dai singoli clienti, mettendo l’azienda nella difficile condizione di dover gestire centinaia di trattative”.
Sul fronte organizzativo, “il nostro impegno come consulenti si è tradotto in un approccio di creazione di un buon modello di gestione – precisa Bechelli – che abbiamo realizzato anticipando gli orientamenti del recente decreto legislativo 101/2018”. Diversamente dalle normative precedenti, GDPR non è una compliance che si realizza e poi si poi può dimenticare, ma “richiede modelli e un’organizzazione per la gestione delle conformità: cosa che è stata fatta in Elmec creando un comitato permanente con un coordinatore e i soggetti interessati alla gestione dei dati personali. Un comitato che si riunisce periodicamente, decidendo le azioni di verifica e di miglioramento”. GDPR si è quindi tradotto in un processo continuo, dove le competenze sviluppate per il progetto di adeguamento divengono funzionali al miglioramento dei servizi. Le competenze del Data Protection Officier (DPO, figura responsabile prevista da GDPR) e del team vanno a costituire un valore competitivo per l’azienda: “La capacità d’interagire non più solo a livello tecnico ma anche con gli uffici legali dei clienti sul tema sempre in evoluzione della tutela dei dati”, conclude Bechelli.
Best practice per un adeguamento GDPR di successo
Nel progetto Elmec è risultata importante la forte componente interna di partecipazione. “Siccome GDPR non si traduce in una certificazione ma nella creazione di un processo, il consulente non può fare da solo tutto il lavoro e poi andarsene – spiega Bechelli -. Ho esperienza di approcci GDPR molto diversi, ma al di là dei casi aziendali più complessi, il lavoro si traduce nella creazione e avvio di un corretto modello di gestione dei dati e quindi nell’accompagnare il personale interno che ha partecipato al progetto e acquisito le competenze necessarie a proseguire da solo”. È importante saper fare in casa le valutazioni che servono per capire la situazione dei propri fornitori ed evitare brutte sorprese. “Occorre sempre sapere di chi posso e di chi non posso fidarmi per le responsabilità sulla tutela dei dati. Se chi lavora nel procurement o nell’ufficio legale dell’azienda non ha partecipato in modo attivo al progetto GDPR, allora sarà più difficile affrontare le situazioni”. La più importante capacità da acquisire è quella di saper valutare i rischi e di farlo nel modo più efficiente e veloce possibile. “Questo perché la valutazione dei rischi è strutturale: si ripropone ogni volta che si avvia un nuovo servizio aziendale, si cambiano infrastrutture o fornitori o appaiono nuove minacce informatiche”, dice Bechelli.
“I risultati raggiunti sono stati accolti positivamente dalla direzione e dalle varie funzioni aziendali e ci hanno aiutato nel difficile compito di far percepire la <<compliance>> come un valore aggiunto e non come pesante costo burocratico. – conclude Bertolin – I temi di data protection e security ormai sono recepiti in maniera fluida nei vari processi aziendali anche grazie ad una formazione attenta e continua sui diversi aspetti impattati, diretta a tutti i dipendenti e collaboratori, anche e soprattutto a quelli che vengono man mano inseriti. Con un progetto ben gestito è sicuramente più facile ora smorzare la naturale diffidenza verso gli aspetti più <<burocratici>> e portare avanti altri progetti di implementazione di una normativa italiana ed europea in continuo fermento.”
