Adeguati o non adeguati al GDPR?
Ormai più o meno tutti, e non solo gli addetti ai lavori, sanno cosa sia il GDPR, la nuova normativa europea sulla “protezione” dei dati personali, e che a brevissimo entrerà in vigore.
Un recente studio di iWelcom (azienda che fornisce servizi as-a-service di identità e accesso – IdaaS), ha stimato che soltanto il 20% delle organizzazioni europee saranno pienamente conformi al GDPR entro il 25 maggio.
Gartner stessa, in una sua recente ricerca, riprendendo la stessa indicazione di iWelcom, afferma che entro il 2020 almeno il 20% delle organizzazioni potranno essere colpite dalle sanzioni per non conformità.
Perché questa bassa percentuale di conformità ed adeguamento al GDPR delle organizzazioni aziendali.
Provo a spiegare questo fenomeno con alcune considerazioni.
Il mandato del GDPR e le sue implicazioni non sono state ben compresi da molte organizzazioni.
Il più grande equivoco è stato quello di considerare che la responsabilità della gestione della “data protection” ricada esclusivamente sui responsabili della sicurezza e della gestione dei rischi.
Il GDPR influisce ed impatta sulle organizzazioni nelle loro interazioni globalmente, con i dipendenti, con i clienti, con i partners, e con chiunque interessato dai dati personali.
I responsabili della sicurezza e della gestione del rischio non possono "fare da soli", ma è necessario coinvolgere un team multidisciplinare per tradurre tutti i requisiti richiesti dalla norma e individuare le principali priorità di azione per la mitigazione del rischio.
La “data protection” non riguarda un particolare atto legislativo, nè la conformità, le ammende e le date di scadenza. Riguarda fondamentalmente "l'uso responsabile dei dati" in tutti i processi ed attività di business delle organizzazioni.
La creazione di questa cultura dell’utilizzo coerente e responsabile dei dati, in tutte le aree delle organizzazioni, sarà pertanto un processo lungo, non precisamente scadenziabile per le diverse maturità organizzative e per la diversità e molteplicità delle applicazioni che supportano i processi di business.
In tal senso Gartner afferma anche che entro il 2021 solo il 60% delle grandi organizzazioni avranno un programma di gestione della “data protection” completo ed integrato nel business, rispetto all’attuale 10%.
E’ in questa relazione tra individui, organizzazioni e sistemi che i CIO delle organizzazioni aziendali dovranno riconoscersi ed indirizzarsi. U.K. Information Commissioner's Office ha affermato che "taking a privacy by design approach is an essential tool in minimizing privacy risks and building trust." Usare la “data protection” secondo i principi di progettazione e considerarla il modo standard di lavorare, riduce al minimo il rischio, e successivamente aumenterà la fiducia e reputazione dell'organizzazione stessa.
L'utilizzo di un approccio basato sulla privacy per design implica che i CIO possano riconoscere fin da subito i potenziali usi impropri delle applicazioni prevenendo violazioni sia interne che esterne.
I principi della privacy per design possono e devono essere applicati anche a tutte le applicazioni esistenti. E questo richiederà ancora del tempo.