“Dialogo sopra i massimi sistemi – il GDPR”
GDPR – Negli ultimi tre mesi ho dedicato molte risorse per comprendere meglio cosa succederà tra circa 15 mesi da ora, quando cioè, il nuovo Regolamento Europeo sulla Data Protection (GDPR) inizierà ad esercitare i suoi effetti sulla stragrande maggioranza delle aziende italiane e non.
Ho usato consapevolmente il termine “comprendere” perché il GDPR va in primis “compreso”, bisogna aver chiaro quali siano le fondamenta logiche che stanno alla base di un regolamento che, voglio dirlo, più lo “comprendo” più mi piace.
Lo si deve fare per non confonderlo con l’ennesima richiesta di “compliance” da parte di un qualche ente o qualche organizzazione. Se cercate una tabella di controlli da spuntare, starete delusi, o come nel mio caso, soddisfatti,
perché il GDPR non parla di un elenco di cose da fare o da avere. Parla dell’obiettivo che si vuole raggiungere, i mezzi ed i modi sono lasciati, entro certi limiti, alla discrezione dell’azienda.
L’idea di compliance, come viene comunemente intesa, si focalizza sulla misura minima, cioè l’insieme di controlli (tecnici e procedurali) che l’azienda deve implementare per raggiungere il livello minimo di accettazione.
Un po’ come avere le catene da neve in auto. Perché lo prevede la norma, ma non essere in grado di applicarle in caso di necessità. Conformità raggiunta, utilità pratica, zero.
Il GDPR diversamente pone l’accento sulla misura idonea, concetto che porta con sé l’idea di efficacia.
Per soddisfare le richieste del GDPR, si devono implementare controlli (tecnici e procedurali) che siano idonei allo scopo, quindi, presumibilmente efficaci.
Potrò sembrare un tecno-romantico, ma già questa differenza è un salto di qualità nell’approccio alle tematiche di sicurezza: la sicurezza non è un bollino su un foglio di carta,
bensì un insieme di azioni che l’azienda compie per essere adeguatamente sicura, non perché le è richiesto di esserlo, ma perché trova valore nel farlo.
E guarda caso il concetto di “adeguatezza” è anch’esso ben presente nel GDPR, perché, se qualche riga fa, si parlava della discrezionalità che ha un’azienda nel decidere come rispondere al regolamento, ecco che questa autonomia trova i suoi confini proprio nell’adeguatezza: in altre parole,
ogni azienda deve implementare misure di controllo e gestione adeguate alla tipologia di dati che raccoglie, alla loro quantità e anche al tipo e dimensione dell’azienda stessa.
Giusto per capirsi, un’azienda che tratta informazioni sanitarie dovrà garantire un livello di sicurezza di queste informazioni decisamente più alto di un’azienda che raccoglie indirizzi email di clienti e potenziali clienti attraverso una campagna di marketing.
Perché l’indirizzo email è un dato personale si (secondo il GDPR), ma il suo “valore” e quindi il livello di sicurezza adeguato è ben diverso da quello di una cartella clinica.
Et voilà, ecco trasparire da queste poche righe un altro aspetto chiave del regolamento. Il focus non è più sui diritti dell’interessato (Privacy). È sulla sicurezza dei dati e sui doveri che gravano su chi questi dati li tratta (Data Protection).
In qualche modo, il concetto di Data Protection è più ampio ed include quello di Privacy.
In altri termini, la commissione europea resasi conto del fatto che vi è un generale disinteressamento nei confronti della sicurezza dei dati nelle aziende (e la mia esperienza diretta è perfettamente allineata con questa visione), sembra dire:
“Care aziende, con i vostri dati fateci quello che volete, esponeteli, cancellateli, regalateli, ma quelli delle persone che con voi hanno una relazione e che in un modo o nell’altro vi hanno fornito delle informazioni personali. Dovete trattarli con un’attenzione maggiore e se succede qualcosa e voi questa attenzione non l’avete avuta, subirete anche delle conseguenze economiche.”
Già, conseguenze economiche e non trascurabili. Un altro aspetto di novità di questo regolamento è che con le sanzioni “ci va giù pesante”. Sempre in proporzione alla tipologia di azienda e ai dati trattati, ma il messaggio è chiaro, chi non fa le cose nel modo appropriato potrebbe avere delle conseguenze non trascurabili.
Ed è corretto, proprio per quanto si diceva prima. Qui non si sta parlando di dati aziendali, ma di informazioni che appartengono a persone e che vengono affidati alle aziende pretendendo da loro la giusta cura ed attenzione.
Se questa giusta cura dovesse venire meno, il danno derivante potrebbe ledere l’individuo stesso.
Vorrei fare un esempio usando una tipologia di dato particolarmente controversa e apparentemente irrilevante, l’indirizzo email. Perché mai viene data enfasi ad un’informazione così poco sensibile?
Primo, è comunque un’informazione legata all’identità di un individuo, identità digitale magari, ma per questo non meno personale.
Secondo, sapere che pinco.pallino@xyzmail.com ha una relazione di qualche tipo con te azienda ACME.net, fornisce a chi ottiene questa informazione, qualcosa di più di un semplice indirizzo email. Solo per fare un esempio, potrebbe esporre il sig. Pinco a possibili campagne di spear-phishing usando come leva la sua relazione con la suddetta ACME.net. Chi è addentro al tema sa quanto questo tipo informazioni correlate siano ricercate nei mercati non convenzionali.
GDPR Quindi, se non vi sono delle imposizioni, significa che si può fare come si vuole e andrà comunque bene?
Sicuramente si può fare come si vuole, non necessariamente quanto fatto andrà bene.
E’ fondamentale essere in grado di dimostrare e giustificare il motivo delle proprie scelte.
Dovranno comunque essere sempre rispettati i principi cardine definiti dal GDPR sulle responsabilità che gravano sul titolare dei dati:
- liceità, correttezza e trasparenza: i dati devono essere raccolti e trattati in maniera lecita e in modo trasparente per l’interessato
- limitazione delle finalità: i dati devono essere raccolti e trattati per finalità chiare, definite e legittime
- minimizzazione dei dati: i dati devono essere raccolti e trattati nella misura minima sufficiente rispetto alla finalità del trattamento
- esattezza: il dato raccolto e trattato deve essere sempre esatto ed aggiornato, rispetto alla finalità del trattamento
- limitazione della conservazione: il dato deve essere mantenuto per il periodo richiesto dalle finalità per cui è stato raccolto
- integrità e riservatezza: il dato raccolto per tutto il periodo del trattamento, deve essere mantenuto integro e ne deve essere garantito l’accesso solo a chi (o cosa) lo debba usare per le finalità definite.
Se andiamo a sintetizzare questi sei punti cardine, ritroviamo concetti estremamente familiari a chi opera nel campo della cyber security. Chi non ha mai sentito parlare di Confidentiality, Integrity, Availability (CIA) oppure dei concetti di “least privilege” e “need to know”?
Cosa voglio dire con questo? Semplificando forse un po’.
Voglio dire che il GDPR è un invito a riprendere in mano quei concetti di cui si parla da anni ed applicarli.
Perché il buonsenso, l’atteggiamento del “buon padre di famiglia”, le “best practice” sulla sicurezza, potrebbero essere già sufficienti per raggiungere un buon livello di adeguatezza.
Senza svuotare il budget con soluzioni tecnologiche che promettono una “compliance” che non è richiesta.
Lungi da me affermare che non si dovranno fare investimenti. Chi non ci ha pensato prima, lo dovrà fare ora, questo è certo, ma bisogna farlo nello spirito del GDPR: sicurezza adeguata ed efficacie.
Per quanto sia lasciato ampio margine di manovra alle aziende nell’implementazione di queste misure adeguate, non mancano dei vincoli tecnici ed operativi che, magari in misura diversa da azienda ad azienda, dovranno essere rispettati.
I 6 principi cardine descritti prima sono molto di più di un suggerimento. Per implementarli è molto probabile che qualcosa si debba modificare da un punto di vista tecnico o procedurale.
Sicuramente, è tempo di muoversi. Maggio 2018 è “alle porte”. Il percorso che porterà le aziende a capire cosa dovranno fare dovrebbe iniziare già da ora. Se da un lato l’implementazione potrebbe essere più semplice di quanto sembri, da un altro è fondamentale avere chiaro cosa è necessario fare, cosa è opportuno e soprattutto perché si sono operate o meno certe scelte.
E’ altresì importante iniziare a definire quali saranno i partner ai quali affidarsi per affrontare questo percorso. Uno studio legale che possa seguire gli aspetti normativi e la definizione del modello organizzativo e qualche serio professionista che veda questa direttiva come un’opportunità di crescita culturale comune. Più che un’occasione ulteriore per piazzare la nuova “scatola” GDPR-proof.
GDPR Il punto di svolta
Credo che il GDPR possa diventare un punto di svolta nel nostro territorio, per cominciare finalmente a pensare alla Sicurezza come ad un valore, un vantaggio competitivo, un sostegno irrinunciabile per tutte le aziende anche solo minimamente digitalizzate.
Volevo condividere delle sensazioni in questo momento e mi piacerebbe ricevere le vostre, sia che condividiate il mio punto di vista, a maggior ragione se dissentite.
Conclusioni
Concludendo questi sono i motivi per cui questo regolamento mi piace, e anche molto:
1) Non si tratta di riempire una tabella con virgolette verdi o rosse con la logica del ce l’ho non ce l’ho. Si tratta di pensare al modo migliore per rendere adeguatamente sicura un’informazione che ha sempre più valore, quella relativa all’individuo.
2) Forza una condivisione di informazioni trasversale all’azienda, dallo sviluppo applicativo, passando dal networking, sicurezza, management, data owner, business owner, ….
3) Crea cultura della sicurezza