La protezione dei dati come materia trasversale e multidisciplinare tra privacy e cybersecurity
Il GDPR è uno straordinario corpus normativo che è stato emanato per proteggere i dati personali che sono, da un lato, indicatori dell’esercizio dei diritti e delle libertà fondamentali delle persone e, dall’altro, elementi necessari per allenare i sistemi di intelligenza artificiale, di supporto ai processi di produzione di beni e servizi che sono sempre più “data driven”.
(Nella foto: Giuseppe Alverone, Data Protection Officer dell'Arma dei Carabinieri, sarà speaker al Cyber & Privacy Forum 2023)
Una “materia prima” davvero preziosa, quindi, da custodire e difendere, per poter realizzare uno spazio di libertà, di sicurezza e di giustizia e per poter rafforzare l’economia e il benessere delle persone .
Al fine di realizzare così grandi e ambiziosi obiettivi, il GDPR ha introdotto un quadro solido e coerente di principi e regole che vanno a comporre una disciplina dettagliata sia degli obblighi di coloro che determinano ed effettuano il trattamento dei dati personali sia dei diritti degli interessati.
Il risultato è stato davvero straordinario.
Ne è derivato un insieme equilibrato di indicazioni operative che ben potrebbe essere definito come “ricetta dell’efficienza organizzativa”.
Gli “ingredienti” di questa ricetta sono i principi di protezione di dati personali fissati dall’art. 5 del GDPR. Ogni pubblica amministrazione o impresa che tratti dati personali, quale titolare del trattamento è chiamata a conformare, fin dalla progettazione, tutti i trattamenti di dati personali a detti principi, dandovi contestualmente evidenza.
In sostanza, si tratta di un “mix” di proattività e responsabilità che non si limita a garantire la protezione dei dati personali. Va molto “oltre l’intenzione” del Legislatore Unionale, introducendo, all’interno delle organizzazioni pubbliche e private una sorprendente leva di efficienza organizzativa ed un efficace strumento di governance dei processi aziendali in cui vengono trattati dati personali.
La protezione dei dati si presenta così come una macro-funzione trasversale che attraversa ed incrocia tutte le funzioni aziendali, sia operative che di staff, mantenendole in piena efficienza, in sicurezza e soprattutto, sotto stretto effettivo controllo del C-Level.
Un risultato molto suggestivo e rassicurante che però non è affatto facile da realizzare. Innanzitutto perché l’allineamento dei trattamenti ai principi stabiliti nell’art. 5 del GDPR è un’attività davvero molto complessa. Poi, bisogna considerare che per proteggere in modo adeguato i dati personali, è necessario anche gestire in sicurezza tutti gli asset utilizzati per eseguire i trattamenti.
Per ottenere “la quadra” di tanta complessità, si deve necessariamente far ricorso ad un team multidisciplinare, composto da persone con una vasta gamma di competenze, abilità e background.
Queste persone sono chiamate ad applicare misure organizzative e tecniche, basate su un approccio multirischio mirante a proteggere i dati personali, i sistemi informatici e di rete e il loro ambiente fisico.
Pertanto, è fondamentale puntare ad un vero e proprio sistema di gestione della protezione dei dati, che può essere costruito solo con il contributo integrato di:
- esperti giuridici che possano garantire la compliance,
- esperti informatici che siano capaci di proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche;
- psicologi e/o filosofi che preservino l’organizzazione dalle minacce dell’ingegneria sociale o da violazioni dell’etica.
Sono tutti professionisti che devono condividere conoscenze ed abilità, sforzandosi di trovare un codice comunicativo condiviso.
Sulla base di quanto descritto, con una visione olistica, è così possibile riconoscere che l’ecosistema della protezione dei dati disegnato dal GDPR è diviso in 2 principali domini tra loro complementari:
- la privacy intesa come attività volta a definire le politiche del titolare del trattamento per salvaguardare sistematicamente i dati personali;
- la cybersecurity che comprende l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche.
Tra questi 2 domini, al centro del sistema, vi è una pietra angolare; è l’essere umano: ciò che dà Senso e Valore a questa straordinaria architettura.