L’approccio al GDPR \u00e8 un tema di cui si parla molto recentemente, visto la scadenza alla conformit\u00e0 per le aziende italiane, fissata per il 25 maggio 2018.<\/p>\n
Questi ultimi mesi hanno visto un crescente interesse verso la normativa europea GDPR (General Data Protection Regulation)<\/strong> e un proliferale di offerte sia di prodotti sia di servizi per rendere le aziende \u201cGDPR Compliant\u201d.<\/p>\n Tutta questa attenzione sembra essere pi\u00f9 rivolta ad evitare le sanzioni piuttosto che allo scopo principale per cui \u00e8 nata la normativa. ovvero proteggere i dati<\/strong> ed in particolare i dati delle persone<\/strong>.<\/p>\n La conseguenza \u00e8 che quasi tutte le aziende che lavorano nel mondo IT stanno cercando di replicare quanto fatto in passato per l\u2019anno 2000 e per l\u2019Euro con una differenza fondamentale: nei due casi citati era stata la funzione dell’IT ad essere impattata maggiormente e a svolgere un ruolo centrale per l\u2019azienda nel processo di adeguamento; nella normativa GDPR l\u2019IT invece svolge la funzione di collante fra tutte le funzioni aziendali, supportando non solo il business, ma anche tutti i nuovi processi necessari a garantire il rispetto della nuova normativa, con nuovi strumenti e soprattutto con nuove competenze.<\/p>\n Provo ad argomentare pi\u00f9 dettagliatamente questo mio pensiero.<\/p>\n Per\u00a0 l\u2019anno 2000 era evidente la necessit\u00e0 di revisione dei programmi per bonificare i sistemi informativi e disinnescare la tanto temuta \u201cbomba dell\u2019anno 2000\u201d. L\u2019introduzione dell\u2019Euro ha reso necessarie altre modifiche ai programmi e alle applicazioni per consentire alle aziende di lavorare correttamente con la nuova valuta: anche in questo caso c\u2019\u00e8 stato un business legato quasi esclusivamente al mondo dell’Information Technology.<\/p>\n Il GDPR ci pone di fronte a dinamiche molto differenti da quelle appena citate: esso prevede che si guardi al dato<\/strong> con la dovuta attenzione e considerazione; richiede che si arrivi alla consapevolezza del valore del dato, non solo per l\u2019azienda che lo registra, gestisce, manipola e trasforma ma soprattutto per chi possiede il dato e per le persone a cui i dati si riferiscono.\u00a0Questo \u00e8 il vero obiettivo della normativa, che non significa semplicemente adeguare il firewall o l\u2019antivirus per non incorrere nelle sanzioni ma nemmeno, all’estremo opposto, arrivare a tracciare ogni singolo bit a cui l\u2019utente pu\u00f2 accedere.<\/p>\n L\u2019approccio al GDPR, per essere corretto, deve iniziare con il prendere consapevolezza di come il dato viene gestito in azienda, dall’acquisizione fino alla sua cancellazione.<\/strong><\/p>\n Purtroppo molte volte si tende a sottovalutare l\u2019importanza dei dati, dando per scontato la loro disponibilit\u00e0 e correttezza, non governando adeguatamente la loro sicurezza nel senso pi\u00f9 ampio del termine.\u00a0Mi riferisco all’importanza dei dati come materia prima da cui estrarre conoscenze e informazioni per il miglioramento del business; penso all’importanza e al valore dei dati per l\u2019azienda, agli impatti economici legati alla perdita di informazioni o alla perdita di valore delle informazioni in essi contenuto. Penso ai CryptoLocker che hanno fermato aziende per intere settimane – se non per sempre -, alla corruzione dei dati dovuti a problemi hardware che rendono gli stessi non pi\u00f9 attendibili o incompleti, per arrivare alla fuga dei dati nel senso della copia non autorizzata – casi come Yahoo! ad esempio -.<\/p>\n Il valore dei dati in termini di informazione corretta e sicura che rappresenta un vantaggio competitivo per l\u2019azienda, \u00e8 solo una faccia della medaglia. L\u2019altra \u00e8 quella dei dati personali e dei dati sensibili riferiti a persone.\u00a0Ma per chi hanno valore queste informazioni?\u00a0Per le persone che affidano alle nostre aziende i propri dati personali e sensibili fiduciosi che verranno custoditi ed utilizzati per gli scopi concordati, vedi i contratti di lavoro, i dati dei CRM per la profilazione dei clienti, i dati di vendita, i dati legati alle carte fedelt\u00e0, i cookies del browser etc.<\/p>\n Questa nuova consapevolezza richiede alla funzione IT di estendere le proprie competenze e di spingersi oltre i limiti incontrati fino ad oggi. E\u2019 necessario quindi addentrarsi nei processi aziendali, capirli, disegnarli ma soprattutto supportare l\u2019implementazione dei nuovi processi per la sicurezza dei dati.\u00a0La funzione IT deve diventare \u201cconsulente del dato\u201d per l\u2019azienda, proprio in virt\u00f9 della sua posizione privilegiata di gestore dei dati.<\/p>\n Questa \u00e8, a mio avviso, la sfida che il GDPR sta lanciando alle nostre aziende: capire l\u2019importanza del dato e della sua integrit\u00e0 garantendo la sua protezione.\u00a0<\/strong>Una protezione che, come recita la normativa GDPR, deve essere \u201cby design\u201d ovvero insita nel processo di gestione del dato. Non dovranno pi\u00f9 esistere livelli minimi di sicurezza ma livelli adeguati in funzione della tipologia del dato trattato.\u00a0La funzione IT deve quindi iniziare a padroneggiare nuove competenze, \u00e8 necessaria la conoscenza approfondita delle normative vigenti e del flusso che i dati seguono nei processi aziendali. Solo in seguito si potr\u00e0 introdurre nei processi aziendali la corretta gestione del dato che dovr\u00e0 tenere conto di:<\/p>\n\n