GDPR aziende: cosa fare oggi, cosa si può migliorare e, soprattutto, dove siamo arrivati dopo un anno e mezzo di pandemia.
Sono in treno e sto andando a Milano per incontrare un cliente che ci ha chiesto un assessment GDPR. Quando mi hanno telefonato ho pensato: “che strano, il GDPR per le aziende è in vigore da più di tre anni e ci chiamano oggi, ottobre 2021?”, questo mi ha portato a riflettere su quello che stavo per fare e su ciò che vado a scrivere: parliamo del GDPR aziende, cosa fare oggi e cosa, invece, si può migliorare.
GDPR PRIVACY AZIENDE: CHI HA LA COLPA TRA DATI RUBATI E DATI PERSI?
Parlare oggi di GDPR in azienda è un po’ come fare un tuffo nel passato, anche se per noi il Servizio di Consulenza sull’adeguamento al GDPR per le imprese è sempre stato prioritario e quanto mai indispensabile per garantire una sicurezza costante. Ma, in fondo dopo un anno e mezzo superato di pandemia, ci sono stati altri problemi nelle aziende e molti si sono dimenticati del GDPR e, purtroppo, della sicurezza dei dati. Non manca lunedì, infatti, che non ci siano chiamate di clienti che hanno subito attacchi nel weekend.
Ma esattamente cosa fa il GDPR in questo caso? È un’altra cosa? Difficilmente sentiamo parlare di multe inflitte dal garante, difficilmente sentiamo qualcuno nelle aziende che abbia avuto conseguenze particolari dalle notifiche fatte a seguito di un attacco subito. E quindi viene naturale pensare che il problema GDPR in azienda si sia allontanato. Però questo approccio è, a mio parere, un’occasione persa. Il GDPR è, infatti, una buona “scusa” per affrontare in modo serio la questione della gestione dei dati e della relativa sicurezza.
GDPR, OBBLIGHI, AZIENDE: LA PAROLA VA AL CISO
Secondo l’approccio olistico di cui parlo da anni e che ho cercato di condensare nel mio piccolo libro “Informatica per imprenditori”, le problematiche legate allo smart working, gli attacchi informatici sempre più frequenti dovrebbero aiutare a comprendere che, quello che il legislatore europeo ha disegnato per le aziende, è un aiuto a imprenditori ed enti pubblici per valorizzare i dati, ovvero il patrimonio delle nostre organizzazioni. Da buon ragioniere sono arrivato a teorizzare, nel mio libro, che sarebbe ora di iscrivere una posta nell’attivo dei nostri bilanci dove valorizziamo i dati, e non solo i macchinari, perché senza dati i macchinari non funzionano. E allora dobbiamo proseguire con i nostri assessment GDPR, calendarizzandoli e renderli periodici.
Dobbiamo però sottolineare due aspetti in merito al GDPR, agli obblighi e alle aziende: il legislatore ha previsto la figura del DPO – Data Protection Office – ma il mercato ha innestato nelle aziende il ruolo del CISO – Chief Information Security Officer. Cosa voglio dire? Secondo il mio parere fino ad oggi i DPO hanno svolto un ruolo sostanzialmente formale, senza agire come stimolatore dal punto di vista tecnico, si sono occupati del “legalese” e non del “tecnichese” e questo è stato un grosso limite alla possibilità per il GDPR di aiutare le organizzazioni nella cura e nella difesa dei dati.
Ecco allora che diverse organizzazioni, ma ancora troppo poche, hanno inserito nei propri organici la figura del CISO: un ruolo tecnico che suggerisce all’imprenditore o al direttore generale quali azioni pratiche perpetrare per meglio difendere i dati, per far valere il GDPR in azienda. I limiti di questo approccio sono due. Il primo è che il CISO è un ministro senza portafoglio, che deve andare a chiedere, se non supplicare, un budget per la sicurezza informatica. Il secondo è che il CISO, a differenza del DPO, non ha potere di veto e quindi non può “obbligare” la direzione a seguire le sue indicazioni. Non è un problema da poco, però è almeno un passo avanti.
ADEGUAMENTO GDPR: OGGI ALZIAMO L’ASTICELLA DELLA SICUREZZA INFORMATICA
Alla luce di quanto detto, quindi, credo che la strada giusta sia quella di comprendere finalmente che i dati sono il nostro patrimonio e che, con un mantra antipatico che ripeto da tempo, non ci dobbiamo chiedere se verremo attaccati, ma quando verremo attaccati. Se quindi abbiamo sistemato in questi tre anni la parte formale del GDPR nelle aziende, ovvero nomine ed informative, utilizziamo i prossimi tre per alzare l’asticella della sicurezza informatica – security.
Credo profondamente che la reputation sarà il punto chiave del business nei prossimi anni. E la reputation si costruisce anche dalla sicurezza dei dati che trattiamo.
Amministratore Unico di 3CiME Technology