Dal 2018 normative quali il GDPR europeo hanno imposto la gestione delle informazioni sulla privacy nell’agenda di ogni azienda. Sottolineando la titolarità individuale dei dati personali, simili normative hanno spinto le aziende di tutto il mondo a proteggere questo diritto con modalità conformi alla legislazione.
La coerenza nella protezione dei dati personali continua a rappresentare una sfida per le aziende. Una recente indagine Espresso di DNV ha rivelato che il livello di maturità è aumentato solo di poco rispetto alla ricerca equivalente del 2019. Quattro anni fa, quando è stato implementato il GDPR, le imprese avevano difficoltà ad assicurare la conformità e sembra che ancora oggi per molte di esse la prospettiva rimanga questa. Tuttavia, un approccio alla gestione delle informazioni sulla privacy da un punto di vista esclusivamente legale potrebbe rappresentare un grande limite.
Le persone sono la maggiore fonte di rischio
Le aziende intervistate hanno indicato come principale fonte di rischio l’errore umano (44,5%), seguito dalla mancanza di consapevolezza tra i dipendenti o una carente cultura organizzativa (27,7%) e dalla mancanza di competenze legali/interpretative sui requisiti legali (25,3%). La prevalenza delle preoccupazioni per le questioni organizzative, culturali e di competenze piuttosto che per le minacce esterne traccia un quadro non molto diverso da quello delineato nell’indagine del 2019, ma con uno spostamento delle azioni dall’IT alle persone. Nel 2019 la principale area di investimento riguardava il potenziamento della sicurezza IT, mentre oggi quest’ultimo è stato superato dalla formazione e la sensibilizzazione del personale, la priorità per quasi un rispondente su due.
Quando vengono considerati come principali rischi l’errore umano e la mancanza di consapevolezza, spesso significa che non si è riusciti a costruire una cultura efficace sul tema: un problema che potrebbe essere mitigato con facilità implementando un modello formale di assurance per il sistema di gestione. Ogni organizzazione sperimenta la transitorietà delle risorse a causa, ad esempio, di attriti e nuove assunzioni, che richiedono una formazione e sensibilizzazione periodica del personale sia nuovo sia preesistente
Costruire una cultura della sicurezza coerente
Questa esigenza può essere soddisfatta al meglio applicando al sistema di gestione un modello basato sulle buone pratiche formalizzate nello standard ISO 27701 relativo al sistema di gestione delle informazioni sulla privacy. Lo standard stabilisce specifici requisiti per una regolare formazione e sensibilizzazione, par assicurare lo stesso livello di coerenza in tutta l’organizzazione. Di conseguenza aumenta l’engagement dei dipendenti, che assumono la capacità di pensare in termini di “privacy”, gestendo in modo migliore le relative “incertezze”. L’esperienza in altre aree, come la sicurezza delle informazioni, ha chiaramente dimostrato la capacità di un’organizzazione di creare e migliorare una cultura della sicurezza con l’implementazione di un sistema di gestione.
In una società multi-connessa, le minacce per la privacy spaziano dalla sicurezza delle informazioni e la cyber sicurezza all’utilizzo o archiviazione illeciti di dati, anche quando non intenzionali, da parte dell’azienda stessa o di altri attori legittimi. Con le aziende che oggi sembrano maggiormente esposte a rischi, gli investimenti in sicurezza IT rivestono un’importanza crescente nei piani aziendali e risultano sempre più essenziali. Spesso l’anello debole nella catena dei dati rimane però la persona che utilizza le informazioni e il dispositivo o il software che le gestiscono. Un aspetto che sottolinea la forte esigenza di una formazione regolare, che si tratti di e-learning, di brevi pillole formative o di una formazione più ampia per tutto il personale coinvolto nella gestione dei dati.
I sistemi guidano un approccio robusto e affidabile
Naturalmente, esistono altri aspetti importanti oltre a un sistema di gestione conforme alle normative. Per esempio, è essenziale la presenza in azienda di esperti della materia, adeguatamente formati, che possano rappresentare il punto di riferimento per le richieste o i dubbi del personale. Simili esperti possono contribuire a far davvero adottare a qualsiasi azienda una logica “privacy by design”, cioè che si estenda automaticamente alla progettazione. Una logica di questo tipo assicura in modo sistematico la sicurezza dei dati già nello stadio di ideazione di qualsiasi progetto, o in caso di cambiamenti nel modo in cui sono gestiti i dati, implementando processi che ne limitano la raccolta e il trattamento, ne assicurano la qualità, gestiscono la conservazione e la cancellazione e i controlli durante la trasmissione.
L’indagine DNV ha rivelato che, per mitigare il rischio di errore umano, le aziende stanno effettuando rilevanti investimenti in formazione e sensibilizzazione del personale. Investire in competenze è sempre un approccio costruttivo e questo rilevante investimento in formazione può coniugarsi con l’implementazione di un sistema di gestione delle informazioni sulla privacy ISO 27701, per ottenere un approccio più solido, resiliente e affidabile.
Di Nanda kumar Shamanna, ICT Business Manager, DNV
