Capire e capirsi nell’era digitale
Tra proroghe e concessioni, con il giungere del nuovo anno, sembravamo finalmente arrivati ad un momento in cui sembrava essersi delineato un “punto zero” normativo/operativo con cui approcciare al nuovo Regolamento Europeo. Sia essa di natura informatica oppure legale, la preparazione professionale del nuovo consulente privacy, per quanto multidisciplinare e qualificato, non riesce a fornire ancora una risposta certa e completa alla richiesta che proviene dal mercato.
Troppo spesso il repentino mutare delle tecnologie, la sensibilità di argomenti che salgono alla ribalta dei media, lo sviluppo tecnologico, disegnano mappe del trattamento dei dati su “territori inesplorati” che il consulente, al giorno d’oggi, non riesce ancora a navigare in piena sicurezza.
Anche se avessimo messo in atto tutto ciò che era previsto, prevedibile e realizzabile, per generare un reale e funzionante sistema di gestione del trattamento del dato, affermare di essere riusciti a raggiungere la piena conformità normativa vorrebbe dire illudere l’ipotetico nostro interlocutore in merito al fatto che questo percorso, prima o poi, possa veder scritta la parola Fine.
Basterebbe l’inserimento in azienda di una tecnologia innovativa, lo sviluppo di un progetto che comporti le partecipazioni di più prodotti o aree, e tutto il Sistema di Gestione Privacy sarebbe da rivedere, ripianificare, rivalutare. Troppe sono le variabili e le conoscenze da mettere in campo per poter pensare di passare il “guado” da “soli” e facilmente.
Evitando eccessi di retorica, l’esperienza acquisita in molteplici settori e mercati aziendali, in ambito di compliance, traccia un singolo punto in comune tra tutte le realtà che ho avuto la fortuna di incontrare: ovvero, la necessità di conoscenza, di confronto, di condivisione delle informazioni tra cliente e consulente e, in alcuni casi, tra consulente e consulente. Il capire che, solo insieme, si può ottenere il migliore dei risultati.
Sorge spontanea una domanda. Ma a tre anni dall’entrata in vigore del nuovo Regolamento Europeo, siamo ancora a questo punto?
I prospetti, in effetti, non sono certo dei più incoraggianti. A febbraio di quest’anno ancora poche aziende si erano adeguate alla nuova normativa.
Ma il vento del cambiamento ha iniziato a spirare. Lento. I più maliziosi sosterranno che sono state le cifre previste per le sanzioni a dare il giusto abbrivio a tale processo.
Chi si interessa di cinema forse ricorderà che in, un film molto famoso, e per l’epoca avveniristico (I Signori della truffa, del 1992) si vedeva il personaggio del cattivo recitare la frase “It’s all about information”; introducendo, forse per la prima volta nell’immaginario di tutti noi, il concetto di sicurezza delle informazioni.
Spontaneo il rimando a recentissimi fatti di cronaca, come il coinvolgimento di uno dei più famosi social network nello scandalo dello scambio di dati elettorali con un’azienda che combinava il data mining, l'intermediazione dei dati e l'analisi dei dati con la comunicazione strategica per la campagna elettorale.
Insomma, in un mondo dove ormai siamo tutti interconnessi e subiamo valutazioni digitali che entrano nelle sfere più personali della vita di ognuno di noi, pecchiamo ancora di superficialità quando si tratta di gestire i nostri dati, sia all’interno della nostra vita, sia all’interno delle nostre aziende. La comunicazione che in questi anni il Garante ha sostenuto, sembra non aver dato il ritorno sperato.
La gestione dei dati, dal punto di vista normativo, per molti, fatica a sdoganarsi dal concetto di processo “inutile e dispendioso”. A suffragio di quanto sopra vi è la drammatica realtà in cui alcune aziende strutturate sono costrette a vivere al loro interno, in un problema di mancanza di comunicazione e di priorizzazione che appare alquanto ilare agli occhi di chi scrive.
Focalizziamo la nostra attenzione su due aree, tra le più impattate dalla disciplina.
Più in confronto, che in collaborazione, quasi solo a dimostrare la qualità dei processi e l’infallibilità delle procedure realizzate nel proprio comparto, due tra i più eccellenti pilastri aziendali nella protezione del dato, la parte legal e la parte IT, si muovono come figure asincrone di questo scenario raggiungendo obiettivi che, nella loro somma non raggiungono sempre la completezza dell’intervento.
Un esempio: il GDPR stabilisce severi requisiti per il trattamento di dati personali, requisiti che richiedono "protezione contro l'elaborazione non autorizzata e illecita dei dati".
Piattaforme centralizzate e unificate possono rappresentare la soluzione ideale per la progettazione di processi di autenticazione a più fattori e la costruzione di specifiche regole per il controllo degli accessi ai dati.
In questo modo, sarebbe possibile garantire l’accesso solo a utenti autorizzati; inoltre, l’introduzione di ulteriori controlli durante il processo di autenticazione basata su ruoli e/o profili potrebbe semplificare e rafforzare il controllo dell’azienda sugli accessi effettuati dal personale interno dell’organizzazione.
Partendo da questa premessa, il lavoro fatto per mappare la situazione sopra descritta, svolto nell’ottica di garantire la piena applicabilità di queste regole, diviene tutto inutile nel momento in cui queste informazioni vengono “inghiottite” nel vortice della scarsa o difficile comunicazione che, nonostante l’interdisciplinarità propria del GDPR, esiste ancora con la parte legale.
Quest’ultima, nel valutare l’enorme rischio generato dalle attività informatiche, si trincera dietro a concetti come l’impossibilità o la possibilità che, nel mondo informatico, tutto sia a portata di click o, peggio ancora, dietro l’adagio che sempre più spesso si sente recitare ovvero che gli informatici parlano una lingua ignota.
Parimenti, analizzando il lato giuridico della medaglia, l’accurato lavoro di interviste, di analisi delle basi di legittimità in merito ai processi individuati, di necessari controlli e report circa le attività svolte da un software, da un utente o da un processo, viene reso vano quando la parte tecnologica non riesce a recepire determinate e specifiche esigenze derivanti da provvedimenti ad hoc che la norma suggerisce/impone. Questo, trincerandosi dietro a concetti come l’irragionevolezza di alcune richieste, la macchinosità o l’incomprensibile lingua parlata dalla parte legale.
Da qualunque parte vogliamo prendere in esame il problema, rimane solo una certezza. Sia esso un momento di adeguamento interno all’azienda, oppure esterno, abbiamo bisogno di comunicare meglio: senza l’ausilio di troppi orpelli informatici, senza troppe citazioni o ripetizioni di articoli a memoria e, se possibile, trovandoci con calma davanti a un buon bicchiere di vino, con la voglia di capirsi con gli altri. Sempre.