Con l’entrata in vigore del Regolamento europeo in materia di protezione dei dati personali 679/2016 stiamo assistendo ad un proliferare di soluzioni software per la gestione del GDPR.
Se da un lato una soluzione gestionale piuttosto che documentale può rappresentare un valido strumento di compliance o, per meglio dire, di supporto alla compliance aziendale o per pubbliche amministrazioni, dall’altro lato è anche vero che la scelta del software deve essere operata oculatamente.
Scegliere ad occhi chiusi un gestionale, espone il titolare o il responsabile del trattamento a significativi rischi. Una soluzione adeguata deve tenere conto delle esigenze dell’azienda o della pubblica amministrazione, per monitorare e rivedere i processi in un ambiente sicuro ed essere facilmente utilizzabile tanto da parte dagli utenti preposti quanto dal consulente esterno.
È utile, quindi, mettere in luce quali requisiti dovrebbe avere un sistema gestionale efficiente, per garantire gli standard adeguati in merito alla protezione dei dati, analizzando da differenti punti di vista le criticità che molti software per la gestione del GDPR in circolazione presentano.
Indice degli argomenti
Software per la gestione del GDPR: una breve introduzione
Approcciandomi per la prima volta alla protezione dei dati personali (n.d.r., a parlare in prima persona è l’Avvocato Conti), sono sempre stato consapevole del fatto che gli strumenti in mio possesso, compresi gli studi giuridici e la mia preparazione, fossero insufficienti per affrontare correttamente il GDPR con una soluzione pienamente soddisfacente per i miei assistiti.
Questa nuova norma richiede uno sforzo maggiore rispetto alla gestione di una vertenza giudiziale ed in particolare per il legale, richiede di acquisire logiche di pensiero diverse da un solito approccio giuridico in quanto tale, ma richiede di agire secondo uno schema di analisi che passa da una preventiva analisi del fatto, per poi passare ad un processo di individuazione di una o più norme di riferimento nell’ambito delle quali assumere il fatto ricostruito che, infine, deve essere interpretato.
Lo schema potrebbe essere riassunto in questi quattro passaggi logici:
- fatto
- diritto
- applicazione
- interpretazione.
Conscio dei miei limiti, ho quindi elaborato la necessità di adottare un approccio olistico e sinergico alla protezione dei dati personali, ponendo come base per una corretta compliance aziendale una cooperazione strutturata fra le diverse professionalità coinvolte, nella quale devono operare per garantire sia il rispetto del GDPR che garantire un background legale, gestionale ed informatico.
Per arrivare a questo livello di maturazione professionale, è venuta in soccorso la mia esperienza professionale maturata nel campo dell’edilizia, dove professionisti di un significativo spessore, quali il Professor Cartone[1], mi hanno fatto comprendere come un approccio legale puro sia del tutto insufficiente.
Lo schema sopra proposto in materie ad alta complessità tecnica si arricchisce, pertanto, di un nuovo passaggio:
- ricostruzione del fatto
- qualificazione tecnica del fatto
- individuazione delle norme di diritto
- applicazione del diritto al fatto, ricostruito alla luce della perizia del tecnico
- interpretazione della realtà.
Nell’ambito dell’edilizia, alle competenze legali si devono necessariamente affiancare le competenze tecniche di geometri, architetti e ingegneri, preziosi ed imprescindibili interpreti di un sapere tecnico. L’interpretazione della realtà da parte di un operatore giuridico deve essere preventivamente filtrata da un sapere tecnico che un avvocato può – solo limitatamente – arrivare a padroneggiare.
Gli stessi schemi si ripropongono con dinamiche non troppo dissimili in materia di protezione dei dati personali dove – come ho messo in luce nella mia recente pubblicazione con Maggioli Editore – è più che mai necessario che diversi professionisti che parlano linguaggi differenti collaborino per trovare soluzioni gestionali e tecnologiche a problemi giuridici.
Basti pensare alle applicazioni pratiche dei principi di privacy by design e privacy by default che interessano i processi e che richiedono soluzioni applicative tecnologiche a problemi di natura giuridica posto che l’ordinamento non si può, oramai, limitare soltanto ad affrontare i rapporti fra esseri umani (actio in personam) o fra persone e cose (actio in rem), ma deve gestire i rapporti fra uomo e tecnologia o nell’ambito dei servizi.
In questa sede, pertanto, ho raccolto il parere di altre personalità con le quali ho avuto modo e piacere di collaborare per affrontare i problemi relativi alla protezione dei dati personali, di titolari e responsabili di trattamento.
In primo luogo, ringrazio il caro amico Roberto Faggion Executive Manager e CEO di HubServizi, società innovativa di servizi con la quale collaboro per risolvere le problematiche relative alla protezione dei dati e alla sicurezza di molti imprenditori.
Roberto Faggion aveva compreso, infatti, ben prima di me il GDPR, mentre io mi sono limitato a studiarlo e ad interpretarlo con enorme difficoltà e tenacia secondo schemi e logiche di pensiero che all’Università di giurisprudenza non vengono affrontate se non – al momento – ancora marginalmente.
In secondo luogo, un ringraziamento va all’Ingegnere Giuseppe Bono, professionista che stimo profondamente sotto il profilo umano e professionale e che vanta un’invidiabile esperienza come DPO e come esperto di sicurezza informatica anche per pubbliche amministrazioni a livello nazionale.
In questo contributo “a sei mani” pertanto raccontiamo, o meglio raccogliamo, le nostre esperienze professionali affrontando un tema comune, ossia l’implementazione di software ed applicazioni per la gestione degli adempimenti normativi evidenziando le criticità sotto diversi profili, riscontrandone i vantaggi che un software gestionale adeguato può portare.
Software per la gestione del GDPR: adeguatezza e responsabilizzazione
Titolari e responsabili molto spesso decidono di affidarsi a software per la gestione del GDPR anziché rivolgersi a consulenti esperti o sedicenti tali.
Questa scelta non è – in astratto – né un male né un bene, ma la scelta del software, al pari di quella del consulente e del modello organizzativo, deve essere operata ponderatamente in quanto individuare una soluzione inadeguata espone il titolare a significative responsabilità.
È utile precisare, comunque, che non sempre affidarsi a un software (specie se individuato sulla base di un mero criterio di contenimento dei costi) sia la soluzione migliore, seppure la scelta di un software adeguato possa realmente dare un effettivo valore aggiunto.
Molto spesso la funzione dei software è quella di stampare carta, senza garantire alcuna possibilità di personalizzazione al consulente e all’organizzazione aziendale, con grave pregiudizio dell’accountability aziendale e della responsabilizzazione che il GDPR richiede di acquisire alle organizzazioni aziendali.
Molti di questi programmi applicativi permettono di realizzare un adeguamento meramente formale e cartolare, a danno dei processi aziendali ed espongono a rischi specifici gli interessati coinvolti nel trattamento.
Ne consegue che non viene aumentata né la sicurezza dei trattamenti, né migliorano le politiche di protezione aziendali che diversamente possono venirne pregiudicate.
Ogni processo di adeguamento che si rispetti può (o meglio deve) passare attraverso un necessario percorso di consapevolezza e responsabilizzazione del titolare e dei soggetti coinvolti nelle operazioni di trattamento, nell’ambito del quale la scelta di una soluzione gestionale adeguata rappresenta o dovrebbe rappresentare un mero tassello.
Da un lato troviamo un mercato con offerte che sviluppano metodi innovativi basati su algoritmi fantascientifici, che permettono con un clic di risolvere ogni problema relativo alla protezione dei dati personali e alla gestione delle informazioni in azienda: strumenti indispensabili e necessari per ogni consulente che si rispetti.
Dall’altro lato, ci sono anche soluzioni che presentano interfacce di scarsa usabilità e possono essere utilizzati solamente da professionisti esperti, con un significativo grado di difficoltà, con conseguente danno per le politiche aziendale di protezione dei dati e della sicurezza delle informazioni.
Le soluzioni migliori, per contro, presentano costi proibitivi e non sono alla portata di tutti i titolari e responsabili che trattano dati personali.
Contrapposte a queste vette perdute fra le nebbie del Monte Olimpo, sono presenti sul mercato anche soluzioni che offrono servizi di DPO a 20 euro al mese a titolari che gestiscono boutique, a parrucchieri o altri piccoli esercizi commerciali.
Inutile dire come queste soluzioni rischiano di essere non solo un costo inutile, ma addirittura pericolose in quanto instillano un falso senso di sicurezza che nella vita, professionale e personale è sempre nocivo al pari di un’eccessiva paura.
Una soluzione gestionale non deve essere né per l’organizzazione aziendale né per il consulente un fine cui ambire, ma un mezzo per raggiungere un livello adeguato di protezione dei dati che, se usato nella maniera giusta, può davvero portare quel valore aggiunto che le aziende ricercano: un processo per documentare, monitorare e gestire gli adempimenti e le procedure con semplicità soprattutto nella fase di documentazione.
L’applicativo non deve creare armature di carta, ma deve essere una finestra che permette al consulente o al DPO di entrare direttamente in azienda per prendere contatto diretto con il privacy officer interno (o designati aziendali per usare la terminologia del codice privacy) e per monitorare costantemente e con una certa facilità i registri, le procedure aziendali, la contrattualistica, l’analisi dei rischi e, soprattutto, per permettere un aggiornamento costante ed efficiente dei modelli secondo la logica di fluidità che il GDPR richiede.
In questo senso, il titolare dovrebbe permettere di tenere sotto controllo la protezione dati aprendo una finestra di dialogo fra consulenti e DPO esterni, che conoscono bene la normativa, i referenti aziendali che, meglio di tutti, conoscono le prassi e i processi aziendali con un’esperienza che un esterno difficilmente potrà arrivare ad acquisire.
In buona sostanza, una soluzione software idonea dovrebbe essere altamente personalizzabile sulla base delle esigenze del titolare, sulla base dei processi che realizza, facilmente utilizzabile e gestibile tanto per il consulente esterno e/o DPO quanto per il privacy officer interno (usabilità), immediatamente aggiornabile, nell’ottica di monitorare costantemente tutti i processi (aggiornabilità).
Infine, visto che le soluzioni gestionali offerte trattano dati personali, è indispensabile che colui che offre sia il primo ad assicurare elevati standard di sicurezza delle informazioni e la conservazione delle informazioni stesse in ambiente sicuro.
Information security first: sicurezza e affidabilità dei sistemi
Il tema della sicurezza e della gestione delle reti informatiche rappresenta oggi un punto di partenza per poter sviluppare la propria attività perché tutti i processi sia delle PMI che degli Enti Pubblici sono informatizzati ed il “sapere” è di tipo digitale.
Per preservare i dati, ogni ente o azienda deve avere una rete affidabile e dei device che siano sicuri in termini di affidabilità hardware e Software. Inoltre, ogni dato contenuto su di essi deve essere conservato in modo sicuro e inalterabile.
Per poter realizzare tutto questo in sicurezza, occorre un sistema di gestione capace di poter proteggere la rete ma allo stesso tempo essere in grado di adattarsi al mondo esterno, aggiornando i database e conservando i dati sia all’interno della rete che all’esterno in maniera automatizzata.
Spesso si pensa sia necessario un investimento consistente ed oneroso che richieda apparati e device sofisticati, compreso l’intervento di un ingegnere informatico che configuri il sistema con costi esosi. Oggi è possibile organizzare un’intera rete con un unico apparato in grado di gestire e monitorare la rete, tramite software che si adattano alla tipologia della rete, archivi i dati in modo sicuro e permetta di effettuare il backup esterno in maniera automatizzata.
Tutto ciò con la supervisione di un tecnico specializzato (amministratore di sistema remoto) in grado di intervenire tempestivamente per configurare o ripristinare i dati in caso di necessità.
Inoltre, per poter avere una rete aggiornata e dei clienti performanti è possibile sfruttare PC ricondizionati con tecnologia SSD che rispettano le norme ambientali e allo stesso tempo aiutiamo la natura a riciclare apparati che sono ancora idonei ad essere utilizzati in maniera performante all’interno della rete.
Per poter raggiungere un alto standard di sicurezza non basta avere sistemi hardware e software che gestiscono la rete automatizzata, in quanto vi è necessità di avere un amministratore di sistema che svolga il monitoraggio e che analizza i dati derivanti dai log di connessioni e gli alert che gli apparati segnalano, pertanto per ridurre al minimo i rischi di perdita del dato è consigliabile effettuare audit periodici e test di vulnerabilità, in grado di rilevare le falle del sistema e operare le contromisure adeguate da eseguire per minimizzare il rischio.
Tutte queste operazioni descritte spesso non sono eseguite all’interno delle aziende in quanto il personale preposto non ha le competenze per poter gestire e interpretare quello che gli apparati segnalano.
Pertanto, avere un “amministratore di sistema in tasca” riduce i rischi di perdita di dati e migliora la sicurezza e la performance della rete aumentando la produttività dei dipendenti che operano in quella rete.
Accountability first: focus sulla documentazione dei processi aziendali
Il GDPR non è un mostro creato per frenare le imprese nel loro processo di crescita, ma è un nuovo strumento che può rivelarsi un’opportunità per ogni imprenditore la quale dovrebbe essere colta in quanto permette di rivedere ed intervenire sui processi aziendali per renderli più efficienti.
L’opportunità di analizzare i processi chiave in cui vengono trattati i dati personali, porta il titolare alla scoperta dei rischi a cui è esposto e trovando le giuste misure correttive porta inevitabilmente la propria azienda ad un livello più competitivo.
Il dato è il patrimonio dell’azienda che lo deve gestire, proteggere con procedure efficienti con l’ausilio di processi, formando i propri dipendenti in funzione alle proprie esigenze di sicurezza aziendale non solo per rispettare il GDPR, ma soprattutto nel proprio interesse.
Questi fattori, soprattutto nelle piccole realtà, sono spesso trascurati.
Il nuovo Regolamento Europeo non chiede, pertanto, nulla di irragionevole, ma risponde alle esigenze di gestione dei dati di un’impresa moderna ed efficiente che non dovrebbe essere affossata dalla burocrazia, ma focalizzata sui propri processi produttivi e messa nelle condizioni di un continuo sforzo per automatizzare e digitalizzare sempre di più i processi.
Molti adempimenti sono necessari e a tempo stesso facili da implementare come, ad esempio, una clear desk policy aziendale che obblighi i dipendenti a riporre in armadi e cassetti i documenti riservati piuttosto che l’implementazione di procedure anche per la distruzione sicura dei documenti.
Un software gestionale in quest’ottica, dovrebbe essere facilmente fruibile da chi opera all’interno dell’azienda e potere permettere al consulente esterno o al DPO di intervenire direttamente sugli aspetti critici.
Molti titolari utilizzano strumenti comuni come fogli Excel oppure circolari aziendali per documentare quanto hanno svolto per garantire il rispetto del GDPR, ma questi strumenti non sempre permettono di documentare in maniera soddisfacente quanto è stato svolto dall’organizzazione aziendale.
Per questa ragione, il gestionale deve essere impostato come un processo operativo e permettere non solo di aggiornare le procedure, ma anche di registrare gli aggiornamenti delle informative, dei contratti, le analisi dei rischi, gli accessi operativi dei dipendenti i quali devono essere istruiti e tutto ciò che ne consegue al monitoraggio continuo dei dati che si vanno a trattare.
In questo modo, i dipendenti potrebbero accedere, già direttamente all’interno del gestionale, alle informative e alle procedure che sono tenuti a rispettare.
Questo processo operativo deve essere verificabile e continuativo secondo quanto richiesto dall’Autorità Garante.
La soluzione gestionale dovrebbe, pertanto, permettere di gestire e raccogliere tutti gli adempimenti necessari, le valutazioni dei rischi, le eventuali minacce, il suo impatto ed eventuali misure correttive, per quanto possibile, preventivandone la fattibilità.
Il tutto con lo scopo di gestire, controllare e registrare tutti i processi messi in atto dimostrando di aver fatto tutto il possibile per proteggere i dati; come le modifiche degli stessi che sono state effettuate nel corso del tempo, nell’eventualità di dover affrontare un data breach.
Infine, per migliorare il processo di comunicazione con il consulente esterno, deve essere inserita nel gestionale anche una – specifica area upload – che permette al manager aziendale di caricare la documentazione effettuata come eventuali verbali di audit, documenti relativi alla videosorveglianza o le eventuali valutazioni di impatto effettuate.
Il consulente esterno, in questo modo, può avere un controllo diretto ed immediato sui processi aziendali come se fosse sempre in azienda, avere un riscontro in tempo reale da parte dei privacy officer interni ed aiutare il titolare a gestire al meglio la sua organizzazione ottenendo vantaggi oggettivi quali:
il contenimento del rischio con un aumento del livello IT security, una maggiore prevenzione ad intrusioni cyber, migliori modelli di protezione dei dati personali, eventualmente anche una migliore salvaguardia sul patrimonio intellettuale dell’azienda, non da poco un migliore contenimento dei costi.
Il risultato è un potenziale incremento del business grazie ad una più efficente organizzazione e gestione dei processi aziendali.
NOTE
- Mi preme segnalare la seguente opera del Professore per completezza ed esaustività: L’autotutela del professionista tecnico nei contratti d’appalto privati di Massimo Cartone Editore: Maggioli Editore, 2018. ↑