La differenza tra ‘progetto’ e ‘processo’ nella protezione dei dati personali
Nel contesto della protezione dei dati personali, è fondamentale comprendere la differenza tra i concetti di "progetto" e "processo", in quanto questi due termini, sebbene spesso utilizzati in modo intercambiabile, rappresentano approcci distinti e complementari anche nella gestione delle informazioni sensibili.
Cos'è un "progetto"? Un progetto è un'attività temporanea, con un inizio e una fine ben definiti, finalizzata al raggiungimento di un obiettivo specifico. In un progetto, tutte le risorse vengono concentrate su una missione chiara, e il successo si misura in base al completamento di tale obiettivo. La sua natura è quindi limitata nel tempo e nel suo impatto.
Se un processo è stato ben pianificato e non intervengono stravolgimenti, le modifiche che subisce nell’arco di tempo in cui si sviluppa, possono essere di lieve entità.
Esempio 1 - Nel contesto della protezione dei dati personali, un progetto potrebbe essere l'implementazione di una piattaforma di gestione dei dati personali che rispetti i requisiti del GDPR. Questo progetto richiede fasi specifiche, come la progettazione della piattaforma, la selezione del fornitore, l’individuazione di strumenti tecnici adeguati, lo sviluppo, la messa in opera della piattaforma, il training per il personale e le eventuali correzioni che si rendessero necessarie dopo un adeguato periodo di sperimentazione. Per ognuna delle fasi è definito un responsabile, una tempistica, un budget e degli input ed output. La piattaforma deve essere progettata per garantire la verifica regolare dei diritti di accesso e cancellazione dei dati, la gestione della sicurezza informatica, e la documentazione delle violazioni dei dati personali, qualora avvengano.
Il progetto nel suo complesso è in carico ad un Project Manager (PM) che deve rispettare determinate scadenze per il suo completamento ed il budget complessivo assegnato. Inoltre deve garantire che la piattaforma sia in linea con quanto richiesto dalla normativa. Una volta che la piattaforma è operativa progetto è terminato; la protezione dei dati personali continua ad essere una responsabilità aziendale.
Cos'è un "processo"? Un processo, al contrario, è un insieme di attività ripetitive e continuative che vengono svolte nel tempo per mantenere e migliorare determinati standard o risultati. Un processo non ha una fine definita, ma è continuo e ciclico. In un contesto organizzativo, i processi sono cruciali per garantire che un'azienda operi in modo efficiente, conforme alle normative e in grado di adattarsi ai cambiamenti. I processi sono spesso documentati attraverso procedure al fine di permettere alle ricorse aziendali di conoscere i compiti che hanno in carico, nel contesto dello specifico processo, in relazione al ruolo ricoperto. Tali procedure hanno valenza di criteri nell’ambito delle attività di audit.
Esempio 2 - Nel caso della protezione dei dati personali, un processo riguarda la gestione della documentazione, in materia di protezione dei dati personali, che deve essere resa disponibile, nella versione aggiornata alle varie funzioni aziendali. Ad esempio il responsabile delle risorse umane deve poter accedere, ogni volta che ne ha la necessità, alla versione aggiornata dell’informativa da sottoporre ai nuovi dipendenti. Si tratta di garantire pratiche quotidiane e le attività regolari necessarie per assicurare che i dati siano sempre protetti.
I progetti generano processi - I progetti sono i mezzi primari con i quali le organizzazioni crescono e creano valore, si adattano al contesto e innovano: l’unico modo in cui le organizzazioni sopravvivono. I progetti nella loro forma più pura generano processi interamente nuovi. Creare un nuovo processo comporta fare cose nuove e scoprire il modo giusto per svolgerle e comporta frequentemente che si compiano alcuni errori. I progetti hanno un inizio ed una fine, mente i processi si protraggono nel tempo. Laddove incidono in maniera più limitata, i progetti modificano in parte i processi che per loro natura sono stabili, anche se cambiamenti di contesto interno o esterno ovvero a seguito del manifestarsi di problematiche possono comportare la necessità di aggiornarlo.
Esempio 3 - A seguito di carenze che si sono determinate nella distribuzione della documentazione (vedi esempio 2) si decide di implementare una piattaforma di gestione dei dati personali (vedi esempio 1). Quindi i risultati di un progetto possono e di norma ciò accade, confluire in un processo che potrebbe subire modifiche anche rilevanti.
(Nella foto: l'Ing. Monica Perego, docente al Corso di alta formazione per Data Manager)
Il rischio dell’esecuzione - È possibile distinguere un progetto da un processo anche in base al grado di rischio che l’esecuzione comporta. Le procedure ripetute con una certa frequenza vengono solitamente affinate dall’esperienza, fino a rendere improbabili errori significativi o fallimenti catastrofici. Le iniziative di miglioramento continuo sfruttano la ripetizione dei processi per creare valore, implementando modifiche incrementali volte a ridurre il rischio, migliorare la qualità (ovvero l’adeguatezza allo scopo) e contenere i costi. Tuttavia, all’aumentare dell’innovazione all'interno di un processo, cresce anche il rischio di non ottenere i risultati previsti, soprattutto quando si introducono cambiamenti radicali che non possono essere supportati da processi preesistenti.
Diversamente, un progetto si caratterizza per una componente di incertezza intrinseca. Essendo per definizione un'attività temporanea e orientata a un obiettivo specifico, spesso innovativo o non precedentemente realizzato, un progetto è esposto a rischi più elevati rispetto a un processo consolidato. Il rischio in un progetto può derivare da molteplici fattori, tra cui l’assenza di esperienze pregresse, la complessità tecnica, la variabilità delle risorse disponibili, le dipendenze da fornitori o stakeholder esterni e i cambiamenti nei requisiti. Sebbene sia possibile adottare strategie di mitigazione attraverso un’attenta pianificazione, analisi dei rischi e gestione proattiva, non è possibile eliminare completamente l’incertezza. Inoltre, i progetti innovativi possono comportare rischi sistemici, ossia rischi che, se si concretizzano, possono avere impatti significativi non solo sul progetto stesso, ma anche sull’organizzazione o sull’ambiente in cui viene sviluppato.
Differenze principali tra progetti e processi - Il seguente prospetto illustra le principali modifiche tra progetto e processo:
Conclusioni - Nel contesto della protezione dei dati personali, la protezione deve essere trattata come un macro processo continuo a sua volta suddiviso in sottoprocessi. Spesso necessita anche di progetti specifici per l'implementazione di nuove soluzioni o per l’adeguamento alle normative. Un progetto aiuta a realizzare un cambiamento significativo o ad introdurre nuovi sistemi, mentre un processo garantisce che tali cambiamenti siano mantenuti, aggiornati e monitorati nel tempo. Entrambi sono essenziali per proteggere adeguatamente i dati personali, ma operano su piani differenti: il progetto è temporaneo, mentre il processo è continuo e fondamentale per la compliance a lungo termine.
