Nella mia ormai lunga esperienza di consulente strategico in materia di privacy e protezione dati, sono purtroppo molte le aziende che ho visto sbandierare virtù che in realtà non hanno. Fin dal primo incontro presso la sede della società, o a volte perfino alla prima occhiata al sito web aziendale, spesso sono evidenti delle desolanti carenze che rivelano quanto sia realmente scarsa la sensibilità ai temi di cui mi chiedono di occuparmi.
Il Modello Organizzativo per la Protezione dei Dati (c.d. MOP) è uno strumento di accountability, utile anche per dare evidenza di come l’Organizzazione che lo adotta intenda integrare la normativa cogente (sia generalista che di settore), come i sistemi di gestione volontari, favorendo efficaci modalità di comunicazione. L’integrazione tra sistemi è un tema di grande attualità, a cui sono dedicati standard specifici, come la recente ISO 37301:2021 “Sistemi di gestione per la compliance - Requisiti con guida per l'utilizzo”, che fornisce le “Linee guida per istituire, sviluppare, attuare, valutare, mantenere e migliorare un efficace sistema di gestione per la compliance all'interno di un'organizzazione”.
L’impatto del Gdpr sui siti web è stato in questi anni spesso sottovalutato. Molti operatori del settore hanno pensato che la redazione di una semplice privacy policy potesse, in qualche modo, bastare a rendere conforme al Gdpr il sito web. Il processo di compliance di un sito web, invece, passa inevitabilmente per l’analisi approfondita del sito, delle componenti tecniche di cui è composto e dei dati che raccoglie e tratta.
Affinché le aziende possano prendere decisioni informate e ben orientate agli obiettivi di business, devono prima sapere quali risorse possiedono, dove sono posizionate e come vengono utilizzate.
La contrapposizione tra figure tecniche e figure umanistiche è antica; storicamente si sono sempre individuate professioni in cui la componente tecnica era rilevante, a scapito delle conoscenze umanistiche, e viceversa, ma l’antica dicotomia va riducendosi. La dottrina della protezione dei dati è una dimostrazione di ciò: è un tavolino a tre gambe.
L’odierno dinamismo delle aziende è caratterizzato da un notevole aumento delle minacce informatiche. Il problema riguarda sia le PMI sia le multinazionali, poiché tali rischi sono anche frutto della congiuntura creatasi su scala internazionale: l’emergenza sanitaria e l’affermazione di scenari riconducibili al cyberwarfare.
Il regolamento europeo sulla privacy è pienamente applicabile da ormai più di tre mesi. Eppure, sembra proprio che le aziende non abbiano ancora trovato la via maestra per mettersi in regola. Negli ultimi tre mesi la quota di aziende che non sono riuscite a rispondere alle richieste da parte degli utenti di ottenere una copia dei propri dati personali entro un mese, così come stabilito dai regolamenti della General data protection regulation (Gdpr), ha toccato quota 70%. E non è proprio un segnale di buon auspicio in termini di compliance.
E' partito il "Privacy Sweep 2018", un´indagine a carattere internazionale dedicata quest´anno al principio di responsabilizzazione (accountability), introdotto anche in Europa dal Regolamento Ue. L'iniziativa è coordinata dalla Global Privacy Enforcement Network (GPEN) - la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi - e prenderà in esame le misure che titolari o responsabili del trattamento hanno adottato per garantire e dimostrare il rispetto delle norme e degli standard in materia di protezione dei dati.
Rendere "pop" la cultura della privacy è una missione tanto importante quanto affascinante, come trasformare un concetto apparentemente astratto e lontano in un'icona conosciuta ed amata da tutti. Proprio come il celebre videogioco Pac-Man degli anni '80, possiamo immaginare il mondo digitale come un gigantesco labirinto, in cui navighiamo quotidianamente alla ricerca di informazioni e condivisione: così come il protagonista del gioco si aggira tra i corridoi, inghiottendo puntini e frutti, noi ci muoviamo tra flussi di dati, spesso inconsapevoli dell'importanza di proteggere le preziose informazioni personali che ci riguardano.
L’Organismo di certificazione Inveo, dopo aver già reso liberamente disponibile lo schema di certificazione ISDP©10003:2020, già accreditato da Accredia in forma volontaria per la valutazione della conformità al Gdpr, ha pubblicato nella sezione privacy tools un nuovo, efficace strumento operativo: la Gdpr compliance check list.
