Non sempre la Data Protection viene percepita come processo tecnologico volto all’innovazione industriale e digitale. La protezione dei dati personali viene comunemente associata a un vincolo più che a un’opportunità. La Quarta Rivoluzione Industriale non prescinde dall’utilizzo di dati personali o informazioni digitali.

In ogni smart factory nella quale si utilizzino informazioni per ottimizzare la produzione, ovvero vengano gestite ingenti quantità di dati per analisi predittive, comportamentali o di consumo, la Data Protection e necessariamente la Data Security risultano essere processi strategici per l’efficientamento del business.

Quali sono i 5 (+1) step per una corretta gestione della Data Governance?

1. Obiettivo e analisi

L’utilizzo di dati e informazioni in maniera indiscriminata può risultare inutile e per di più illecito. Un dato personale non aggiornato diminuisce l’attendibilità del risultato. L’obiettivo perseguito attraverso l’utilizzo di dati personali deve essere raggiungibile, profittevole, sia in termini di costi e benefici che di time cunsuming, nonché conforme ai principi di diritto in materia tra cui correttezza, liceità e trasparenza.

Il kickoff deve essere un’analisi critica sulla Data Governance tramite un risk assessment delle misure organizzative e tecniche coinvolte che evidenzi l’impatto privacy sui diritti e le libertà dei soggetti i cui dati sono utilizzati.

2. Organizzazione e accountability

L’obiettivo, a fronte dell’analisi, deve essere organizzato tramite una specifica ripartizione di risorse, compiti e responsabilità. Soprattutto, qualora si utilizzino strumenti di terze parti nelle diverse fasi del ciclo di vita del trattamento dei dati personali. Responsabilizzazione in ogni fase di realizzazione e privacy by design devono rappresentare i criteri per una gestione efficace e lecita dell’intero processo privacy, sin dalla fase iniziale di progettazione.

3. Valutazione e mitigazione

Il Risk Based Approach deve essere la forma mentis atta a garantire l’adozione di rimedi tecnici, da un punto di vista della sicurezza, integrità e resilienza dei sistemi tecnologici adottati, e organizzativi quali l’affidamento delle ownership sui dati, assegnando diligentemente le responsabilità conseguenti al trattamento.

Le mitigazioni devono tendere ad abbassare il livello di rischio, quale conseguenza stimata in termini di gravità e probabilità, sull’impatto negativo, patrimoniale o reputazionale sui soggetti i cui dati sono oggetto di trattamento.

4. Sicurezza e supporto esterno

La sicurezza non è un mero prodotto bensì assurge a processo organizzativo quando l’azienda oltrepassa la labile barriera del Cloud Computing e approda nel moderno mondo digitalizzato. L’interazione tra tecnologie è parte integrante dei nuovi sistemi informativi.

Il Cyber Risk Management deve considerare ogni vulnerabilità, interna, esterna, umana e non umana, e implementare idonei rimedi tecnici e organizzativi al fine di evitare attacchi che sfruttino le debolezze di sistema. Figure specializzate esterne, professionisti o il Data Protection Officer, possono rappresentare il supporto metodologico e sostanziale necessario per il raggiungimento dell’obiettivo che è stato prefissato.

5. Verifica e aggiornamento

I processi di Data Protection e Data Security non sono statici o ineluttabili. La dinamicità e proattività aziendale deve mitigare il repentino mutamento tecnologico-digitale a cui è sottoposta la società.

La verifica periodica e l’aggiornamento sistematico dei processi di compliance sono funzionalmente connessi alla mitigazione delle vulnerabilità residue. Garantiscono altresì il rispetto di un diritto fondamentale per gli esseri umani in proporzione al grado di accountability dimostrato nell’utilizzo dei dati per il raggiungimento dell’obiettivo.

6. (5+1) Istruzione e formazione

La formazione viene tendenzialmente sottovalutata e non rappresenta una vulnerabilità agli occhi di colui che ritiene sufficiente cifrare un database piuttosto che effettuare un test di phishing per testare l’attenzione dei propri collaboratori.

Nel fattore H (-uman) risiede il rischio potenzialmente più impattante per un’Organizzazione complessa e per i processi di compliance. Non conoscere le potenzialità di uno strumento quotidianamente utilizzato, cha sia un server in cloud, un software oppure la posta elettronica, e i rischi che esso comporta, si pensi alla perdita o divulgazione accidentale di informazioni confidenziali, implica l’accettazione delle conseguenze della mancata mitigazione preventiva della fonte del rischio a causa dell’omessa conoscenza necessaria ad un corretto utilizzo dello strumento.

Non servono complicati concetti giuridici o definizioni. È sufficiente informare in modo da istruire chi dovrà utilizzare quel determinato strumento per garantire la resilienza del sistema.

La strutturazione e l’efficientamento di un processo di Data Security & Protection si rappresenta come un insieme di azioni eterogenee e complesse e talvolta dal risultato apparentemente incerto.

La certezza e accuratezza del risultato dipenderà dalla genuinità e liceità dei dati utilizzati e dalla correttezza e trasparenza adottate a protezione degli stessi allo scopo di prevenire violazioni della sicurezza o la perdita di brand identity.

Si ringrazia per la stesura di questo articolo Aligi M. Pilotto, Legal & Data Protection Consultant/DPO di NSI Think Outside The Box.