Lo scorso 21 ottobre si è tenuto a Roma il Privacy Day Forum, organizzato da Feder Privacy. Un’agenda estremamente fitta per una moltitudine di argomenti da chiarire. Alcuni dei temi affrontati hanno riguardato Cloud e dati aziendali, il diritto all’oblio, adempimenti online e cookie law, la relazione tra la privacy e la nuova norma ISO 9001:2015, process analysis e disaster recovery plan, le richieste di mercato circa i profili professionali specializzati ed immancabilmente lo stato di avanzamento dei lavori del nuovo regolamento europeo per la privacy.
Se da una parte è evidente la comprensione della necessità di gestire gli aspetti sostanziali delle norme che regolamentano la tutela dei dati personali attraverso un dominio consapevole delle infrastrutture tecnologiche – basti pensare alla quantità degli interventi specifici proposti -, dall’altra non risulta ancora chiaro come tradurre i requisiti normativi in buone abitudini condivise a tutti i livelli nelle organizzazioni. Tra l’altro è necessario segnalare anche che, nell’ambito degli interventi ICT oriented, non tutti si sono dimostrati ancora di apprezzabile livello culturale, confermando un parziale stato di incertezza.
La personale esperienza maturata circa le attività di implementazione dei sistemi di gestione mi induce ad individuare due aree fondamentali di lavoro, ancora molto poco presidiate: la generazione e condivisione di un framework tecnico efficace e l’integrazione tra i requisiti stabiliti con un sistema di gestione dinamico.
Entrambi questi elementi sono fondamentali per traghettare una normativa, oggi un po’ ingessata e non sempre efficiente, in un contesto adeguato alle nuove tendenze gestionali della compliance, fondate su un approccio orientato alla gestione del rischio.
Per fortuna, anche su questi temi, sono state pronunciate le prime riflessioni. Spicca infatti per innovazione il progetto europeo Privacy Flag. Questo crowdsourcing, fondato sull’intelligenza collettiva della rete, si propone l’obiettivo di affidare ad utenti anche inesperti, attraverso la formulazione di semplici quesiti che tengono conto dei requisiti giuridici fondati sulle norme privacy europee, la classificazione del rischio per siti web, app e servizi smart cities.
Il risultato è costituito quindi da un ranking sempre aggiornato degli strumenti comunemente utilizzati dagli utenti. La metodologia innovativa impiegata, l’UPRAAT (Universal Privacy Risk Area Assessment Tool), rappresenta esattamente un prototipo di framework al quale mi riferivo qualche riga più su.
Parallelamente è risultato altrettanto interessante l’intervento dell’avvocato Rosario Imperiali, esperto di compliance per la PA, aziende private ed individui, sul tema la compliance aziendale con il nuovo regolamento Privacy europeo.
I dati sensibili devono essere interpretati come asset strategici e immateriali che alcune aziende private già trattano da tempo secondo i requisiti dei sistemi di gestione per la sicurezza delle informazioni e per la continuità operativa.
Contestualmente le persone coinvolte nei trattamenti, e per primo il Titolare, devono manifestare – come già in precedenti articoli ho più volte sottolineato – accountability: la capacità di render conto delle proprie scelte che, secondo una logica di responsabilità sociale d’impresa, conduce ad una semplice verifica: “Ho fatto tutto ciò che potevo…?”.
La logica – spiega Imperiali – non è così differente dalle caratteristiche dell’illuminante D.lgs 231/01 sulla Responsabilità Amministrativa delle organizzazioni.
Del resto anche il nuovo regolamento sulla Privacy si muove verso alcune caratteristiche distintive di questa norma, come ad esempio l’impianto sanzionatorio, molto più ampio, analitico e grave rispetto al passato. In senso più esteso il ciclo di Deming, se adeguatamente interpretato nelle sue fasi di progettazione, realizzazione, controllo e miglioramento, fornisce un’ottima chiave per raggiungere gli obiettivi prefissati in modo dinamico, evolutivo.
Insomma, tutti i lavori convergono verso un unico punto: abbattimento delle violazioni dei dati sensibili, per consapevolezza delle persone coinvolte e per sicurezza delle infrastrutture utilizzate.
L’unico rischio reale? Che ancora una volta, anche con il nuovo regolamento europeo, tutti questi aspetti rimangano pura teoria.