La privacy sembra essere diventata IL tema per eccellenza di queste ultime settimane. E a ragione, a quanto pare.
Non solo per l’apertura del vaso di Pandora con il Datagate che vede Facebook, Cambridge Analytica e diversi altri nell’occhio del ciclone, bensì perché il nuovo regolamento europeo sul trattamento dei dati sta per diventare legge anche nel nostro paese.
Il cosiddetto GDPR (General Data Protection Regulation) sarà infatti a tutti gli effetti vigente a partire dal 25 maggio prossimo, integrando ciò che l’attuale legge sulla privacy già dispone per regolare la materia, salvo gli attesi adeguamenti delegati al Governo, che andranno ancora a coordinare e modificare la normativa interna al GDPR.
Come accennato nel precedente articolo su “Privacy e Riservatezza”, il GDPR punta a tutelare i dati delle persone fisiche, degli individui. Nasce quindi, in tempi apparentemente non sospetti, per proteggere tutto ciò che gira attorno ai temi dell’identità personale, della sfera privata intesa come “dati identificativi e identificabili” della persona e del suo stile di vita, stato di salute, abitudini sessuali, stato giudiziario e molto altro ancora facilmente immaginabile.
È chiaro che gli accadimenti delle ultime settimane pongono ancora di più l’accento sulla necessità di tutelare ogni individuo dall’uso improprio, fraudolento o manipolatorio di questi dati. E gli stessi fatti emersi (o fatti emergere) intorno alle presunte dichiarazioni dei manager di Cambridge Analytica fanno riflettere sulla relativa facilità di intervenire sui comportamenti degli individui e le loro decisioni. Ricordiamo che il motto riportato sul loro sito è:
“Cambridge Analytica uses data to change audience behavior”.
Cambridge Analytica usa i dati per cambiare i comportamenti del pubblico.
A volte parlare di manipolazione può sembrare eccessivo, in molti casi è sicuramente una scorciatoia per non affrontare temi più grandi, ma, di fatto, tutti quanti noi esponiamo, consapevolmente o meno, una grande quantità di nostri dati personali sulla rete, sui moduli che firmiamo, con i call center, sui social, con le carte fedeltà e in molti, molti altri posti.
Questa situazione, indipendentemente dalle valutazioni di merito, ha bisogno di regolamentazione e di chiarezza che il legislatore (sia europeo che nazionale) cerca di fare a mano a mano che le situazioni diventano palesi.
Capito questo, come dovranno fare le aziende ad adeguarsi al nuovo regolamento sulla privacy?
Quali sono i primi passi da fare per fare in modo di non incorrere in sanzioni?
GDPR, come ci si adegua: il progetto di Risk Assestment
Prima di “fare” qualsiasi cosa, è necessario capire “cosa” c’è effettivamente bisogno di fare e con quali metodiche. Perché le situazioni di gestione dei dati possono essere differenti per ogni azienda, settore di utilizzo dei dati stessi e procedure attuative.
In questo senso parliamo più di una fase di analisi progettuale, che non è da affrontare solo ed esclusivamente dal punto di vista legale, ma incrocia differenti aspetti della vita e delle funzioni aziendali che trattano, in un modo o in un altro, i dati personali dell’utenza.
Utenza che, lo ripetiamo, dal punto di vista del GDPR è solo ed unicamente riferibile alle persone fisiche, agli individui.
L’indagine, il progetto di adeguamento al GDPR passa, in prima battuta, su un censimento preliminare accurato della tipologia di dati trattati e della tipologia degli stessi.
Che tipo di dati trattiamo? È pura anagrafica o abbiamo anche altri tipi di dati? Dove vengono archiviati? Secondo quale procedura? Per quanto tempo? Sono tutti necessari?
Queste sono alcune delle domande che dobbiamo farci per incominciare ad inquadrare la situazione.
Ecco che ci dovremmo quindi porre con attenzione la domanda: che cos’è realmente un dato personale e la mia azienda come gestisce questo tipo di dato ?
Questo “come” riguarda la seconda parte dell’analisi di progetto.
GDPR e il percorso dei dati in azienda
I dati fanno un percorso per entrare in azienda e, molto spesso, più percorsi all’interno delle funzioni aziendali, per essere processati memorizzati e gestiti in modi differenti, a secondo degli scopi.
Prendiamo, ad esempio, i dati dei dipendenti e dei collaboratori.
Qual è il percorso che fanno i loro dati? A chi vengono trasmessi e perché?
Lo sapevi che immagini e suoni fanno parte della categoria “dati personali”?
Questo apre uno scenario di approfondimento interessante, ad esempio, nell’ambito della video sorveglianza.
Capire quali sono i percorsi che fanno i dati all’interno dell’azienda e come vengono conservati ci permette di capire anche il livello di rischio procedurale al quale esponiamo i dati stessi.
Se fino ad ora non abbiamo mai ritenuto di pensare ad un sistema chiaro e definito di procedure aziendali per gestire determinate operazioni, è sicuramente venuto il momento di farlo.
GDPR e nuove tecnologie in azienda
Altro approfondimento necessario da fare in azienda è quello rispetto all’impiego delle tecnologie che utilizziamo in azienda per i flussi di dati, la loro acquisizione, trattamento e conservazione.
Per fare un esempio attuale, Facebook (ma non solo, sia chiaro) consente di acquisire molti dati personali grazie a meccanismi tecnologici relativamente semplici. Uno di questi è il classico “Fai l’accesso con Facebook” che troviamo su molti siti web o applicazioni per smartphone e tablet. L’acquisizione di un indirizzo email dal profilo Facebook o degli interessi consente di creare, secondo una serie di prassi tecniche, una buona banca dati di utenti cosiddetti profilati, ovvero, il cui profilo personale è molto preciso.
Ma, indipendentemente, dal fatto che si faccia accesso ai profili Facebook, Twitter o Linkedin dei nostri utenti, è comunque necessario identificare con quali tecnologie vengono trattati i dati che acquisiamo. Questo ci serve anche per capire con che grado di sicurezza gestiamo i dati e con che strumenti li proteggiamo.
Qualche esempio magari banale, ma forse non troppo: la nostra rete aziendale è protetta dalle intrusioni? I server dove conserviamo i dati sono in condizioni di sicurezza? Siamo in grado di dimostrarlo?
Procedure, quindi, ma anche verifiche tecniche e tecnologiche. Perché, quasi inutile ripeterlo (ma forse no) è tramite e grazie a queste che ci poniamo il problema.
GDPR e comportamenti in azienda
Se abbiamo stabilito che dobbiamo fissare delle procedure chiare per la gestione dei flussi di dati, il loro trattamento e la conservazione, sia da un punto di vista formale che tecnologico, allo stesso dobbiamo instaurare una serie di prassi interne che facciano diventare l’azienda, un organismo che considera la privacy dei propri utenti di riferimento (e dunque non solo le persone fisiche) un elemento serio e parte delle funzioni aziendali.
In questo senso si parla di “Company Diligence”, ovvero sia di quell’atteggiamento da parte dell’azienda che fa capire che vengono attuati comportamenti e misure basate sul criterio della diligenza. In altre parole: ce ne stiamo occupando sul serio, non facciamo semplicemente “il minimo indispensabile”, perché quello potrebbe non essere sufficiente. In fase di accertamento questa è una delle caratteristiche che può spostare l’ago della bilancia da una parte o dall’altra.
Il GDPR ci mette quindi nella condizione di ridisegnare che tipo di azienda vogliamo avere.
Esattamente come per la fantomatica 231 (ovvero, D.Lsg 231/2001), possiamo prendere questa norma come l’ennesima imposizione che ci casca in testa dall’alto e a cui dobbiamo obbedire perché “non abbiamo alternativa”; oppure possiamo decidere di prenderla come una grande opportunità per mettere ordine, per dare stabilità ai processi, consolidarli o innovarli.
Questo tipo di opportunità rappresenta quindi una buona occasione per “fare marketing” sulla fidelizzazione del cliente, per ricordare ai nostri stakeholder che noi prendiamo seriamente la loro privacy e che lavoriamo costantemente per garantire la sicurezza dei loro dati. Ma è anche una grande occasione per capire in profondità quali dati, quali flussi e che tipologia di gestione abbiamo al nostro interno.
Analizzandolo scopriremo sempre qualcosa di interessante da trasformare in nuove opportunità.
