L’architetto della protezione dei dati
Siamo tutti abituati a sentir parlare di “architetti” in ambito edilizio o quando dobbiamo arredare o ristrutturare casa. È molto raro invece, e probamente siamo noi i primi a farlo, citare questa figura per abbinarla al mondo della protezione dati. E allora perché lo facciamo?
(Nella foto: l'Ing. Gianluca Lombardi, CEO di GL Consulting, sarà speaker al Privacy Day Forum 2023)
Partiamo da questa idea: perché se dobbiamo arredare casa, secondo i canoni del design e del buon gusto, chiamiamo un architetto? Certamente perché vogliamo che il risultato sia armonioso, equilibrato, con un abbinamento di colori ottimale e con un effetto generale che faccia dire “wow” ai nostri ospiti. In sostanza ci rendiamo conto che da soli avremmo difficoltà ad ottenere tutto questo e quindi chiamiamo un esperto che ci supporti.
Allora perché se parliamo di protezione dei dati tendiamo a voler fare in autonomia? Perché riteniamo più semplice costruire un sistema privacy e progettare una rete informatica sicura piuttosto che arredare un appartamento? Perché non capiamo che il rischio che corriamo sottovalutando il tema della sicurezza è decisamente maggiore rispetto a quello per un abbinamento divano-parete errato?
Il problema è di tipo culturale e bisogna partire da questo presupposto per riuscire a creare una consapevolezza generale che aiuti le aziende a comprendere che la protezione dei dati è un tema molto complesso, che difficilmente può essere affrontato in autonomia.
Le competenze dell’architetto - Per comprendere meglio la necessità di coinvolgere una risorsa come quella dell’architetto della privacy è utile elencare le competenze che una figura di questo genere deve avere.
Innanzitutto, parliamo di un professionista o di un pool di professionisti con competenze trasversali, che devono avere ampie conoscenze in materia di GDPR, cybersecurity, organizzazione aziendale e certificazioni. Ma non solo, spesso è utile avere nozioni anche in tema di legge 231, whistleblowing, cloud, web e marketing. In aggiunta è necessario che figure di questo livello mantengano un aggiornamento costante sulle indicazioni nazionali ed internazionali che possono essere di supporto alla materia e che influenzano, anche in maniera sostanziale, l’evolversi delle normative coinvolte.
Se dovessimo ipotizzare un piano lavori per l’architetto della protezione dati e per il suo team, potremmo strutturarlo in questo modo:
1.Analisi dello stato di fatto di una realtà aziendale sotto il profilo del Regolamento Europeo, della sicurezza informatica e della normativa vigente collegata in qualche modo alla gestione dati;
2.Redazione dell’analisi dei rischi relativa ai trattamenti effettuati e allo stato della cybersecurity con strumenti specifici come assessment strutturati e rating di cybersecurity;
3.Comunicazione alle figure aziendali coinvolte dello stato di rischio rilevato, con l’ulteriore onere di fare da punto di collegamento e comunicazione tra la Direzione e le figure IT;
4.Progettazione di un sistema della sicurezza dei dati che comprenda tutti gli aspetti legati al GDPR, alla sicurezza informatica e agli aspetti correlati della normativa vigente, facendo sì che il progetto sia adattabile alla singola organizzazione;
5.Supporto nella costruzione del sistema progettato, ponendo particolare attenzione alla formazione di tutte le figure coinvolte;
6.Valutazione di eventuali necessità/opportunità di certificazione legate alla sicurezza dei dati (soprattutto in contesti con una supply-chain particolarmente complessa e sensibile)
7.Mantenimento di una supervisione sul sistema per segnalare eventuali necessità di modifica e aggiornamento;
8.Supporto in caso di eventi negativi come Data Breach o attacchi esterni.
Durante tutte queste fasi è fondamentale che l’architetto della protezione dei dati garantisca una caratteristica imprescindibile: l’oggettività.
L’architetto come figura super partes - Poniamo l’accento su questo aspetto perché può essere la chiave di volta nell’ottenere la fiducia di un’azienda. Il punto focale è: se un’azienda che commercializza firewall ti dicesse che per aumentare la tua sicurezza devi installare un firewall, cosa penseresti? Che probabilmente l’offerta è viziata da un interesse personale. Non è per forza così e molto probabilmente il venditore ha ragione, ma nella nostra testa si insinua comunque il dubbio.
Se invece l’acquisto del firewall ti venisse consigliato da una figura terza, che non vende firewall, che non ha interessi commerciali che tu lo acquisti e che nemmeno ti spinge verso un fornitore piuttosto che un altro, probabilmente avresti una maggior tranquillità nel pensare che il consiglio è spassionato e che quindi l’indicazione è valida.
Il ruolo dell’architetto della protezione dati è proprio questo: assumere un ruolo di assoluta neutralità per individuare le aree di maggior rischio e suggerire all’azienda un ordine di priorità degli investimenti necessari.
Il DPO può essere l’architetto che cerchiamo? - Riassumiamo quello che ci dice il GDPR in merito al DPO (art. 38 e 39): il DPO è una figura indipendente che supporta il Titolare o il Responsabile nell’osservanza e nella sorveglianza del Regolamento privacy, fornendo pareri e cooperando con le autorità in caso di necessità. Tutto questo evitando ogni possibile conflitto di interessi, garantendo massima riservatezza e potendo svolgere ulteriori compiti e funzioni (non meglio specificati).
Quanto sopra sembra suggerire che il DPO possa sì essere il nostro architetto della protezione dati, ampliando il proprio raggio di azione e andando oltre i normali compiti affidatigli.
Tutto sta nel comprendere che il professionista nominato deve avere competenze che vadano ben oltre il GDPR e che nell’era digitale che viviamo, gli aspetti legal devono essere affiancati e supportati da un bagaglio di conoscenze di ampio respiro.
L’azienda stessa, nell’effettuare la nomina, deve valutare con attenzione cosa cerca e quali sono i suoi obiettivi. La mera formalità di individuare il proprio DPO “perché il Regolamento mi obbliga a farlo” è una scelta diametralmente opposta al quadro che abbiamo cercato di prospettare in questo articolo. Al contrario la possibilità di scegliere un professionista che vada bene oltre i compiti standard previsti dal GDPR può essere un reale valore aggiunto, sia in termini di conformità alla norma sia in termini di sicurezza, prevenzione e protezione. Si supera così il preconcetto che il DPO sia un costo e lo si valorizza come risorsa aziendale che può essere di supporto nelle attività di salvaguardia di tutti i dati aziendali e non solamente di quelli personali.
Ma quindi il GDPR non basta più? - Il GDPR è la pietra miliare della protezione dati e la sua attenzione è rivolta verso l’Interessato. L’era digitale impone però di avere competenze che vadano ben oltre il Regolamento: i dati di tutti noi sono ospitati su reti informatiche, possono essere profilati, possono essere rubati o possono essere trasferiti in maniera illecita. È quindi indispensabile comprendere che è necessario andare verso una nuova frontiera della tutela dei dati e affidarsi a professionisti che, come gli architetti, possano avere le competenze per gestire un progetto trasversale in maniera oggettiva e completa.
