A un certo punto su tutti i nostri dispositivi sono arrivate ondate di messaggi informativi sulla privacy. Lo imponeva il Gdpr, il nuovo regolamento europeo sulla privacy. E' entrato in vigore da poco più di un mese, ma le grandi piattaforme online si sono adeguate in modo ancora "insufficiente".
Il 23% delle imprese italiane si è adeguata al Gdpr, la nuova normativa Ue sulla privacy in vigore da fine maggio 2018, il 59% ha progetti in corso, l'88% ha un budget dedicato. E cresce il mercato della sicurezza informatica raggiungendo il valore di 1,9 miliardi di euro (+9% su anno). A scattare la fotografia è una ricerca dell'Information Security & Privacy della School of Management del Politecnico di Milano.
Nella mia ormai lunga esperienza di consulente strategico in materia di privacy e protezione dati, sono purtroppo molte le aziende che ho visto sbandierare virtù che in realtà non hanno. Fin dal primo incontro presso la sede della società, o a volte perfino alla prima occhiata al sito web aziendale, spesso sono evidenti delle desolanti carenze che rivelano quanto sia realmente scarsa la sensibilità ai temi di cui mi chiedono di occuparmi.
Uno degli errori più comuni, nel quale si rischia di cadere - spesso in perfetta buona fede - è quello di affrontare la protezione dei dati partendo dal rispetto di una sola normativa di cui si sente di essere abbastanza padroni e considerare tutte le altre quasi come una sorta di “rumore di fondo”, semplici realtà ancillari rispetto alle norme che meglio padroneggiamo.
Il Modello Organizzativo per la Protezione dei Dati (c.d. MOP) è uno strumento di accountability, utile anche per dare evidenza di come l’Organizzazione che lo adotta intenda integrare la normativa cogente (sia generalista che di settore), come i sistemi di gestione volontari, favorendo efficaci modalità di comunicazione. L’integrazione tra sistemi è un tema di grande attualità, a cui sono dedicati standard specifici, come la recente ISO 37301:2021 “Sistemi di gestione per la compliance - Requisiti con guida per l'utilizzo”, che fornisce le “Linee guida per istituire, sviluppare, attuare, valutare, mantenere e migliorare un efficace sistema di gestione per la compliance all'interno di un'organizzazione”.
Con sempre maggiore frequenza si fa ricorso alla definizione “catena di custodia”; in quest’articolo cerchiamo di comprenderne il significato nel contesto della protezione dei dati personali.
Secondo una ricerca condotta da Usercentrics solo un terzo delle aziende italiane (33 %) si dichiarano totalmente certe di rispettare le normative vigenti in materia di protezione dei dati personali.
L’impatto del Gdpr sui siti web è stato in questi anni spesso sottovalutato. Molti operatori del settore hanno pensato che la redazione di una semplice privacy policy potesse, in qualche modo, bastare a rendere conforme al Gdpr il sito web. Il processo di compliance di un sito web, invece, passa inevitabilmente per l’analisi approfondita del sito, delle componenti tecniche di cui è composto e dei dati che raccoglie e tratta.
Affinché le aziende possano prendere decisioni informate e ben orientate agli obiettivi di business, devono prima sapere quali risorse possiedono, dove sono posizionate e come vengono utilizzate.
La contrapposizione tra figure tecniche e figure umanistiche è antica; storicamente si sono sempre individuate professioni in cui la componente tecnica era rilevante, a scapito delle conoscenze umanistiche, e viceversa, ma l’antica dicotomia va riducendosi. La dottrina della protezione dei dati è una dimostrazione di ciò: è un tavolino a tre gambe.
