L’entrata in vigore del GDPR ha rappresentato senza dubbio una sfida (anche) per i CIO. Nell’era della rivoluzione digitale, infatti, i direttori informatici si trovano a svolgere il proprio lavoro immersi in una mole di dati che cresce costantemente in maniera esponenziale. I dati, si dice, sono il nuovo petrolio: il successo delle aziende, di qualsiasi comparto, dipende sempre più spesso dall’analisi e dalla gestione delle informazioni. Ma tra Cloud, applicazioni SaaS e BYOD i confini del perimetro aziendale sono sempre più liquidi: uno scenario che, se non adeguatamente gestito, mette a rischio la sicurezza dei dati. E non è tutto: a scompigliare ulteriormente questo caotico panorama è arrivato a soffiare il vento di cambiamento del GDPR, la nuova normativa europea rivolta a rinforzare la tutela della privacy e della protezione dei dati personali di tutti i cittadini dell’Unione.
CIO, CISO e la cultura aziendale promossa dal GDPR
I CIO erano già ampiamente consapevoli dell’importanza di un'attenta gestione e protezione dei dati, ma il nuovo regolamento ha aggiunto una richiesta di attenzione senza precedenti. Come hanno fatto fronte quindi alla nuova normativa, ormai pienamente in vigore da ormai un anno? Nelle situazioni più virtuose, puntando su una visione olistica della governance dei dati, a livello aziendale. Molte organizzazioni, infatti, ritenevano erroneamente che il GDPR fosse una questione esclusivamente legale, mentre in realtà ha rappresentato un nuovo paradigma culturale. A tal proposito, è interessante riflettere sulla collaborazione tra CIO e CISO (Chief Information Security Officer). Se i CIO sono più propensi a concentrarsi sui risultati in termini di crescita dei ricavi, di produttività e di velocità, i CISO sono invece maggiormente rivolti a tutelare la protezione dei dati aziendali. La nuova normativa ha incoraggiato CIO e CISO ad abbracciare una visione comune che comprenda velocità e sicurezza insieme, senza compromettere la privacy. Questa virtuosa collaborazione sta ponendo le basi per una nuova cultura incentrata su sicurezza, privacy e data protection.
In quest’ottica, ecco quali sono i cinque elementi che richiedono ai CIO un'attenzione più significativa lungo il percorso di compliance al GDPR.
1. Più consapevolezza: quali dati si stanno trattando?
Il primo step per un’adeguata conformità al nuovo Regolamento è senza dubbio quello rivolto ad acquisire la maggior consapevolezza possibile in merito a quali dati personali vengono trattati dall’organizzazione, dove sono custoditi, chi vi ha accesso e come vengono elaborati. Per rispettare il GDPR, dunque, le aziende sono chiamate a identificare, inventariare e catalogare tutti i dati personali trattati relativi a cittadini dell’Unione Europea.
2. Privacy by design, nuovo obbligo del GDPR
Come specificato all’art. 25 della nuova normativa, con la cosiddetta privacy by design il GDPR richiede che i controlli sulla privacy e sulla protezione dei dati siano incorporati dalla progettazione in qualsiasi sistema o processo, nuovo o preesistente, che coinvolga dati personali dei cittadini residenti nell'UE. I CIO sono quindi chiamati ad adoperarsi affinché, già a partire dalla progettazione delle misure di trattamento dei dati, tali informazioni siano protette con la massima tutela. La privacy by design non è un concetto nuovo, ma ciò che cambia rispetto al passato è che - per la prima volta - è diventato un obbligo: i controlli sulla privacy ora devono essere incorporati in ogni sistema che gestisce i dati fin dall'inizio e per l'intero ciclo di vita del progetto.
3. Le valutazioni d’impatto sulla protezione dei dati
In linea con l'obbligo di privacy by design, il GDPR impone alle organizzazioni di intraprendere una valutazione d’impatto sulla protezione dei dati (DPIA) prima di dare inizio a un trattamento che potrebbe comportare un rischio elevato per i diritti e le libertà degli utenti coinvolti.
Questo è uno dei passaggi più cruciali della nuova normativa, poiché pone decisamente l’accento sull’accountability (la responsabilizzazione) del titolare del trattamento. Le organizzazioni devono pertanto intraprendere queste prassi per assicurarsi di rispettare tutti gli obblighi di data protection e tutelare così la riservatezza degli utenti coinvolti. La DPIA è uno strumento di gestione dei rischi che consente alle organizzazioni di identificare e risolvere i problemi di protezione dei dati nelle prime fasi di un progetto prima che possano incorrere in problemi.
4. GDPR vuol dire anche approccio basato sul rischio
Lo abbiamo già detto: i dati sono il nuovo petrolio, uno degli asset più preziosi delle aziende nell’era della rivoluzione digitale. Tra tutti quelli in circolazione, però, alcuni dati personali risultano più preziosi di altri agli occhi dei criminali informatici e quindi sono considerati più esposti a eventuali rischi di violazione. Per questo motivo, non tutte le informazioni trattate necessitano dello stesso livello di protezione. Per i responsabili informatici e della sicurezza IT adottare un approccio basato sul rischio significa dover conoscere bene tutte le tipologie di dati in circolazione nella loro organizzazione e decidere, per ogni categoria, quali misure di sicurezza intraprendere. A seconda del tipo di dato, dunque, l’azienda potrà trovarsi nella situazione di dover spostare, bloccare, anonimizzare, crittografare o eliminare determinati set di dati personali. Il vero valore aggiunto sarà saperlo fare in modo rapido e proattivo.
5. L’importanza di gestire i rischi da parte di terzi
Secondo il GDPR le organizzazioni possono essere considerate responsabili anche per i dati personali dei cittadini UE gestiti dai loro partner commerciali. Questo significa non abbassare mai la guardia in merito ai rischi associati alla condivisione di tali informazioni. E vuol dire soprattutto dover effettuare un inventario completo di tutti i partner commerciali con cui avvengono questi scambi per monitorare relativi contratti e comportamenti (utilizzando criteri come la sensibilità e il volume dei dati personali condivisi). Una volta identificati i partner maggiormente a rischio è necessario concentrarsi sul risanamento delle lacune emerse.