La cosiddetta Data Privacy rappresenta ormai un elemento di sviluppo imprescindibile per tutte le aziende. In tempi di piena applicabilità del GDPR e delle altre normative europee sulla protezione dei dati, delle reti e delle informazioni, infatti, acquistano sempre più valore gli investimenti effettuati per salvaguardare la privacy dei dati sensibili. Lo stretto legame che c’è tra questi due elementi, solo apparentemente distanti tra loro, comporta benefici di business tangibili.
È quanto si evince dai risultati dello studio globale Data Privacy Benchmark Study 2019 di Cisco, che sottolinea l’importanza per le aziende di dedicare sempre la massima attenzione a tutti gli aspetti inerenti alla sicurezza delle informazioni. Una conferma che arriva in concomitanza con il Data Privacy Day, l’evento globale dedicato proprio alla sensibilizzazione di utenti e aziende sul tema della privacy digitale, sulla protezione dei dati e sulla loro sicurezza.
Indice degli argomenti
I dati sono la nuova valuta per le aziende
Dall’entrata in vigore del Regolamento europeo sulla protezione dei dati, noto come GDPR, le aziende di tutto il mondo hanno lavorato assiduamente per essere compliance e rispettare tutti gli obblighi previsti. Secondo il report Cisco, il 59% di quelle interpellate durante lo svolgimento dello studio globale ha dichiarato di aver soddisfatto tutti o la maggior parte dei requisiti, il 29% prevede di farlo entro un anno mentre per il 9% ci vorrà oltre un anno.
“Quest’anno, in particolare, riservatezza e privacy dei dati sono stati aspetti molto importanti. Il dato è la nuova valuta e, mentre il mercato evolve, le aziende ottengono benefici di business reali dai propri investimenti nella protezione dei dati,” ha commentato Michelle Dennedy, Chief Privacy Officer di Cisco.
Il risultato più evidente della piena applicabilità del GDPR è che i clienti vogliono sempre più che i prodotti e i servizi implementati forniscano l’adeguata salvaguardia della loro privacy. Le aziende che hanno investito nella riservatezza dei dati per soddisfare i requisiti del GDPR, hanno subito minor ritardi nelle vendite ai clienti: 3,4 settimane rispetto a 5,4 settimane per le aziende meno pronte in ottica GDPR.
Nel complesso, il ritardo medio nelle vendite ai clienti esistenti è stato di 3,9 settimane, in calo rispetto alle 7,8 settimane registrate un anno fa. Le aziende pronte per il GDPR hanno indicato una minor incidenza delle violazioni dei dati (il cosiddetto data breach), un minor numero di record coinvolti in incidenti legati alla sicurezza e tempi inferiori di inattività del sistema. Inoltre, la probabilità di subire una perdita finanziaria significativa a causa di una violazione dei dati è stata molto inferiore.
Oltre a ciò, il 75% degli intervistati ha dichiarato di aver ottenuto diversi benefici dagli investimenti fatti nella salvaguardia della privacy, che includono maggiore agilità e innovazione derivanti da un adeguato controlli dei dati, nonché vantaggio competitivo e maggiore efficienza operativa grazie a una pronta organizzazione e classificazione dei dati.
Data privacy: i consigli degli esperti
In poche parole, in era GDPR, i consumatori hanno una maggiore consapevolezza dell’importanza della privacy e vogliono conoscere come le loro informazioni vengono utilizzate e protette, mentre le imprese stanno imparando a trarre sempre più valore dai dati grazie ad una gestione migliore.
In questo contesto, sono proprio le aziende a rappresentare il punto debole nella nuova filiera di protezione dei dati. Il 2018 verrà infatti ricordato non solo come l’anno del GDPR, ma anche per una nuova era di attacchi informatici: gli ultimi dati pubblicati dal Clusit, l’Associazione Italiana per la Sicurezza Informatica, riferiscono che nel solo primo semestre del 2018, gli attacchi informatici sono aumentati del 30% rispetto all’anno precedente.
A tal proposito, secondo Alessio L.R. Pennasilico, Information & Cyber Security Advisor presso P4I – Partners4Innovation, “creare processi formali rispetto ad alcuni degli adempimenti previsti, molto spesso, oltre a tutelare “gli interessati” tutela l’azienda stessa. Si pensi anche al solo prevedere come gestire correttamente la notifica di un eventuali data breach contribuisca a formalizzare parte del processo di incident management o come la redazione del registro dei trattamenti aiuti a comprendere i processi aziendali e gli asset coinvolti, solo per fare alcuni esempi”
“Pur nell’ottica del garantire i diritti degli interessati”, continua Pennasilico, “creare un proprio modello di analisi del rischio, verificare quali misure siano applicate a quali strumenti, permette spesso di identificare carenze che, se colmate, aumentano la sicurezza dei sistemi ICT e tutelano maggiormente il patrimonio informativo aziendale”.
“Lo scopo dell’information & cyber security è proprio tutelare l’azienda dai danni derivanti da un eventuale incidente. Il costo di una sanzione, così come il danno reputazionale legato ad una notifica agli interessati, è tra gli elementi che vanno presi in considerazione durante un’analisi quantitativa dei rischi e dei loro impatti. Adempiere, quindi, permette di minimizzare l’impatto economico di molti incidenti. Non stupisce che aziende che, anche al solo scopo di adempiere ad un obbligo normativo, facendolo in modo serio, abbiano creato maggiore organizzazione, chiarezza, processi fluidi e ridotto la quantità di possibili errori o incertezze siano diventate più competitive. Organizzazione, infatti, significa efficienza, non burocrazia”.
Qual è, invece, la situazione nelle piccole e medie imprese? Lo abbiamo chiesto a Luigi Padovan, avvocato e Data Protection Officer, Founder & Legal Advisor presso DPO Compliance Consulting: “Per quanto riguarda la situazione sul campo, perlomeno a livello di PMI, debbo dire che la realtà appare piuttosto diversa da quanto rappresentato nello studio. Mi spiego meglio: credo che il tenore delle risposte derivi in buona parte dalla percezione che le imprese possiedono sul proprio livello di adeguamento. In molti ritengono infatti di trovarsi perfettamente in regola, seppure, come molto spesso ci rivela il lavoro sul campo, la maggior parte di questi in realtà è molto distante dalla definizione di compliance prevista dalla normativa. Questo dipende, a mio avviso, principalmente da due fattori: il primo, una scarsa conoscenza dei reali adempimenti ai quali sottoporsi; il secondo riguarda la purtroppo diffusa approssimazione a livello di consulenza, sia ex ante che ex post, rispetto all’attività da porre in essere per soddisfare i requisiti legislativi oggi imposti alle attività produttive in tema di protezione dei dati personali”.
“Accade difatti molto frequentemente di trovarci di fronte a casi in cui l’imprenditore, scarsamente informato in tal senso anche da parte dei propri consulenti abituali, è convinto “di essere a posto con la privacy” per il solo fatto di aver acquistato un plugin GDPR per il gestionale utilizzato in azienda o aver eseguito pochi adempimenti formali, strutturati in maniera standard da sedicenti consulenti privacy sulla scorta della vecchia normativa”, continua l’avvocato Padovan, secondo cui “la sensibilità e la prontezza ai cambiamenti che i nostri imprenditori possiedono strutturalmente ha fatto sì che essi si siano resi comunque attivi in seguito all’introduzione del GDPR, secondo quanto spiegato dal rapporto in esame; ciononostante però, probabilmente a causa della confusione che purtroppo permea ancora l’ambito in cui ci muoviamo, non può certo dirsi che la maggior parte delle PMI nostrane possano ritenersi effettivamente conformi alla normativa vigente in tema di protezione dei dati personali”.
Quali consigli pratici suggerire allora alle PMI? La risposta di Padovan è chiara: “la cosa da tener principalmente a mente è che il GDPR è per prima cosa sostanza e solo marginalmente formalismo. Alcune attività, per loro natura, necessitano certamente di maggiori attenzioni e più precisi interventi, come ad esempio quelle il cui core business sia rappresentato dal marketing, chi commercia frequentemente con l’estero e, in genere, chi raccoglie e utilizza per il proprio business i dati personali (tessere fedeltà, newsletter, database clienti ecc.); altre, invece, saranno sicuramente meno pervase dalla necessità di correttivi imponenti: per questo, è fondamentale rivolgersi a consulenti che possano fornire un adeguato livello di conoscenza della materia, dovendosi diffidare da chi propone soluzioni onnicomprensive, sia analogiche che informatiche, ma dal basso costo, esclusivamente formali o prive della necessaria personalizzazione. Ciò non significa che la spesa per l’adeguamento debba essere necessariamente proibitiva, ma deve certamente essere adeguata, allo scopo di rendere la propria attività effettivamente conforme alla normativa vigente, al riparo da sanzioni assolutamente evitabili, ma soprattutto al fine di massimizzare il rapporto tra costo, beneficio attuale e, soprattutto, guadagno potenziale”.
Alcuni suggerimenti alle aziende che si trovano ad affrontare sfide e opportunità legate alla protezione dei dati arrivano anche da Albert Zammar, Regional Vice President for Southern EMEA Veeam:
- Consapevolezza. Quali dati hanno in gestione le aziende e dove sono memorizzati? Ogni azienda dovrebbe sapere con certezza quali sono i dati personali in suo possesso, come e dove sono conservati e da dove provengono. Dopo aver ottenuto un quadro chiaro di tutti i dati rilevanti raccolti e conservati, sarà il momento di vedere a quali hanno accesso i dipendenti e quali processi sono in atto per diminuire il rischio di attacchi anche da parte di chi è autorizzato;
- Strategia. Una volta che si ha una visione chiara di tutti i dati rilevanti raccolti e conservati, sarà essenziale approfondire e conoscere l’utilizzo da parte dei dipendenti. È necessario implementare procedure e flussi di lavoro standard per la gestione dei dati personali e assicurarsi che i dipendenti abbiano accesso ai dati di cui hanno bisogno. Gestire i dati significa avere visibilità sul modo in cui i dati si comportano all’interno dell’organizzazione e anticipare e soddisfare rapidamente le richieste di dati che servono per nuovi prodotti e servizi. La conformità potrebbe dipendere anche dalle altre aziende con cui si lavora: occorre sempre assicurarsi che rispettino le regole.
- Protezione. Una volta ottenuta una migliore visione dei dati e implementato un processo di gestione standard, è il momento di assicurarsi che siano in atto i giusti controlli di sicurezza. Non basta “premere un pulsante” per proteggere l’azienda. Serve una soluzione che sia in grado di mappare i dati e apprendere in modo automatico migliorando sempre più i risultati ottenuti, così come di gestire quei dati che dipendono da impostazioni manuali. In entrambi gli scenari, è di fondamentale importanza che il software sia in grado di scoprire e mappare tutti i dati raccolti, gestiti e conservati, indipendentemente da dove si trovano. Questo approccio più proattivo alla protezione dei dati richiede una combinazione di tecniche di sicurezza, flussi di lavoro, formazione, controllo e, naturalmente, di soluzioni di backup e ripristino.
- Report in tempo reale. Il GDPR richiede alle aziende di segnalare le violazioni dei dati entro 72 ore dalla scoperta. Pertanto, le aziende hanno bisogno di strumenti e software di reporting in tempo reale che siano in grado di fornire maggiore controllo e visibilità dei propri dati al fine di prendere le giuste decisioni e reagire alle irregolarità in modo rapido. Inoltre, in caso di data breach, è possibile garantire la continuità aziendale grazie ad un backup automatizzato, veloce e sicuro e alla possibilità di ripristino verificato; così, in caso di attacco, è possibile fare affidamento su questi processi senza compromettere il business.
- Formazione. La protezione dei dati è responsabilità di tutti. È essenziale essere informati sulla strategia, sui processi aziendali, sulle potenziali minacce e su ciò che si può fare al riguardo. Organizzare aggiornamenti regolari all’interno dell’azienda è un punto chiave.
