A un anno dall’entrata in vigore del GDPR, molte aziende hanno compiuto i passi necessari per adeguare i propri contratti, le informative, i propri sistemi e la propria organizzazione alla nuove normativa europea. Dopo investimenti a volte corposi, molti si sentono ragionevolmente al riparo da sanzioni in caso di ispezioni delle Autorità della Privacy e contestazioni da parte dei soggetti di cui trattano dati personali. Ma quanti di essi lo sono veramente?
Scopriamo insieme alcuni dei punti di criticità degli adeguamenti, generalmente sottovalutati, e che generano rischi privacy che dovreste tenere in considerazione.
Indice degli argomenti
Effettività dei report di conformità GDPR
Molte decisioni del Management in termini di gestione operativa e mantenimento del livello di conformità, si basano su report che ogni azienda, se ben consigliata da chi ha supportato l’adeguamento, ha (o almeno dovrebbe avere) già costruito e consolidato. Giunti al termine dell’adeguamento al GDPR, infatti, occorre avere già a disposizione dei report ben costruiti, utili per monitorare situazioni veramente rilevanti per GDPR, diventa molto difficile poi percepire la qualità dei risultati raggiunti, e l’eventuale degrado nel tempo della conformità. Degrado possibile dato il minor focus del personale nel seguire le policy nel tempo, oppure a cambiamenti organizzativi, tecnologici o di processo o di forniture che non siano stati adeguatamente gestiti.
Potrà darsi quindi il caso che il management non percepisca affatto la situazione reale della conformità dell’azienda e si ritenga, forse irragionevolmente, al sicuro. I report di conformità interni, infatti, sono generalmente costruiti su informazioni provenienti dalle varie aree aziendali, che comportano di solito, soprattutto in società complesse, un numero consistente di autovalutazioni e di stime, fatte per lo più da team interni cui di solito manca un sufficiente esperienza nell’area GDPR. Inoltre sono basate su checklist non sempre nate per la verifica degli aspetti Privacy, ma spesso mutuate da valutazioni con scopi diversi (come la ISO27001) e che quindi non riescono a cogliere eventuali aspetti di criticità, in particolare in merito a requisiti che sono completamente nuovi (basti pensare alla gestione dei diritti degli utenti sui propri dati).
In ambito GDPR poi, la complessità della materia influisce moltissimo sul risultato delle interviste. Le stesse domande possono dare, infatti, risultati anche completamente diversi a seconda della dell’intervistatore, essendo le valutazioni largamente dipendenti dagli skills e dalle sue esperienze “sul campo”. E dato che il personale interno con solidi skill GDPR e un adeguato mix di competenze tecniche, organizzative, legali, di processo e di sicurezza, è generalmente raro da trovare, i risultati delle autovalutazioni possono essere a volte poco accurati. Un altro fattore da considerare, è che spesso, l’occhio del valutatore interno è particolarmente auto-indulgente con colleghi e manager di altre organizzazioni. Durante le Autovalutazioni entrano in gioco, infatti, fattori relazionali e di politica interna, che hanno una forte influenza sui risultati, portando i report a dare risultati troppo spesso ottimistici.
Per questo motivo, è opportuno che un buon Manager, tenga conto di ciò, e si rivolga a valutatori esterni per controllare la affidabilità dei report soprattutto in relazione alle situazioni di maggior rischio. In particolare, sono da prediligere valutatori esterni con cui non si hanno relazioni di lungo termine, perché capita che le relazioni personali strette o di lungo termine, tra valutatore e valutato, portino ad una minore obiettività della valutazione e quindi ad una minore affidabilità dei report.
Effettività delle implementazioni
Chi ha preso seriamente la conformità a GDPR, sicuramente avrà speso budget consistenti, per cercare di creare un percorso di compliance per la propria organizzazione. È arrivato per lui il momento di chiedersi se quello che ha fatto sinora funziona veramente oppure è rimasto essenzialmente sulla carta, che in realtà è quello che molti dei manager che vantano la completa conformità, difficilmente possono sapere con certezza, anche per i motivi sopra esposti.
La capacità di verificare anche l’effettività dell’adeguamento a GDPR, è discriminante per capire se e dove il denaro investito è stato sprecato per una conformità più “formale” che sostanziale, e soprattutto per capire come indirizzare meglio il budget futuro, evitando di ripetere gli sprechi. È consigliabile quindi definire un piano di verifiche sul corretto funzionamento di procedure e processi che nel frattempo avete modificato in funzione dei requisiti GDPR. Anche in questo caso, un valutatore esterno è più idoneo a esaminare con obiettività se quanto predisposto possa funzionare correttamente in tutti gli scenari possibili, o almeno in quelli a più alto rischio.
Documentazione ed evidenze
Occorre sempre ricordarsi che è l’azienda che, secondo GDPR, deve dimostrare di avere fatto quanto doveva e poteva per mettere in sicurezza i dati personali che tratta. Se non è stato ancora fatto quindi, all’interno dei sistemi di valutazione di cui si è parlato prima, occorre inserire anche gli aspetti relativi alla verifica sulla produzione delle evidenze documentali.
Molte aziende, infatti, convinte di implementare best practice di security e di gestione della privacy, danno per scontato che ciò sia sufficiente ma non è così, quindi l’azienda potrebbe trovarsi in difficoltà, in caso di data breach o di ispezione, a dimostrare di avere fatto quello che doveva e poteva.
Politiche di riduzione del rischio residuo
Una volta che tutto il sistema è stato valutato nel complesso, ed i rischi pienamente identificati, sono state intraprese misure e politiche di riduzione del rischio sufficienti? È una domanda cui difficilmente si ottiene risposta, visto che molti manager sono convinti di aver fatto il massimo in tempi ristretti e magari senza risorse sufficienti, per migliorare la conformità, e generalmente ritengono che rimanga loro poco da fare per ridurre il rischio residuale. Non è così, il rischio residuale può essere spesso ridotto, o con misure interne, o tramite il trasferimento del rischio a polizze assicurative esterne.
Si tratta di quindi di adoperarsi per coinvolgere personale con competenze specifiche, per analizzare ed eventualmente implementare le misure più idonee di riduzione del rischio residuo rispetto al budget disponibile. È da considerare anche, che, dalla verifica sull’effettività delle implementazioni, cui si è accennato prima, emergono quasi sempre rischi residuali aggiuntivi, che vanno integrati nella gestione del rischio residuo.
Dopo un anno di GDPR
Considerate le attività qui suggerite un po’ come le polizze assicurative per l’auto o per la casa, si pagano sempre mal volentieri, ma intanto si riposa tranquillamente o si viaggia più sereni, e poi se capita un incidente, che potrebbe compromettervi economicamente, si è sempre contenti di averle stipulate. Anche voi potreste essere più tranquilli, e un domani, magari anche contenti, che la vostra azienda abbia messo in opera un sistema efficace di monitoraggio e di controlli in caso di data breach o interventi delle Autorità della privacy. Ma anche se non vi succedesse niente, potrete essere comunque molto soddisfatti nel vedere che un sistema di controlli ben costruito, vi consentirà di risparmiare sui budget futuri di mantenimento della conformità, con una migliore comprensione sull’effettiva utilità dei soldi spesi nelle varie aree aziendali, e magari anche di risparmiare su polizze assicurative cyber. Quindi, se deciderete di investire per realizzare le attività sopra indicate, saranno soldi ben spesi.
