“Lo spirito del regolamento, nel suo approccio metodologicamente elevato, ha lasciato spazi d’interpretazione“. Così esordisce Simona Bosi, Corporate Legal Counsel di Canon Italia, iniziando la conversazione intorno a GDPR e a quanto le aziende siano preparate alla sua entrata in vigore.
“In questo panorama si sono fatte strada svariate modalità di adozione della normativa. Oltre agli aspetti di natura più formale, sicuramente gli elementi che possono avere messo in difficoltà le imprese sono quelli riconducibili all’analisi strutturata del rischio a cui sono esposte le informazioni gestite e all’implementazione di adeguati livelli di protezione logica. L’individuazione di questi livelli può costituire una vera e propria sfida per le aziende che si trovano di fronte alla necessità di ricercare supporto esterno e sviluppare competenze interne adeguate alla costruzione dei giusti processi di protezione. E’ infatti essenziale riuscire a definire un flusso di gestione del dato che tenga conto delle criticità specifiche del dato stesso. Bisogna riuscire a costruire giuste modalità per la messa in sicurezza dell’informazione, considerando le peculiarità di ogni tipo di contenuto”.
Il GDPR introduce anche nuove figure professionali. A suo avviso quali sono quelle che avranno un ruolo chiave e quali competenze dovranno possedere?
Sicuramente le figure del risk manager e del data protection officer (DPO) sono centrali per consentire alle aziende di rispondere alle rinnovate esigenze in tema di security del dato. Sono infatti proprio queste nuove entità a essere maggiormente coinvolte nell’implementazione del regolamento. Se ormai da anni le aziende hanno dimestichezza con il concetto del BIS (rischio d’impresa), la figura del DPO dovrà coniugare una profonda conoscenza del panorama normativo, capacità di analisi di processo, ma anche competenze IT con focus sulla protezione delle informazioni. Non bisogna inoltre sottovalutare l’esigenza di una costante attenzione alla formazione e all’aggiornamento di queste figure, che devono sempre essere informate riguardo alle innovazioni tecnologiche in ambito IT e TLC.
Infine anche la figura dell’Information Security Officer sarà sempre più coinvolta sul piano operativo nel merito della sicurezza, sia a livello logico che fisico, delle informazioni che ormai sono parte integrante del processo di business.
Ci sono aspetti poco chiari del Regolamento? Come potranno essere interpretati?
Alcuni aspetti del regolamento potrebbero essere oggetto di ulteriori approfondimenti da parte degli organismi di controllo nazionali. Altri potrebbero mutuare alcuni standard acquisiti in ambito di sicurezza delle informazioni. Sicuramente questi ultimi rappresenterebbero un buono spunto di partenza per le aziende che gestiscono una gran quantità di informazioni come parte integrante del loro core business.
Quali le ricadute che il GDPR avrà sulle imprese non sufficientemente informate? Quali invece le opportunità?
Credo che il rischio sia quello di sposare un approccio all’implementazione del regolamento troppo formale e poco pratico. Lo spirito del GDPR è quello di lasciare la possibilità alle imprese d’ingegnerizzare il proprio processo di gestione delle informazioni secondo valutazioni del rischio strutturate per poi adeguare le proprie infrastrutture operative e informatiche, con un approccio sempre adeguato. E’ in quest’ottica che la giusta competenza, legata a un’approfondita conoscenza del mercato in cui si opera, diventeranno essenziali.
La mancanza di un adeguato approfondimento potrebbe comportare il rischio, oltreché di implementare sistemi poco efficienti, di non poter gestire le attività ordinarie richieste dal regolamento oppure poterle gestire a discapito dell’efficienza dei propri processi o raggiungendo la saturazione delle proprie risorse.
Le aziende che sapranno utilizzare il regolamento nel modo appropriato approfitteranno dell’ottima occasione per fare una valutazione critica dei propri processi, individuando le informazioni ridondanti, superflue, mal protette; tutto ciò al fin di efficientare il flusso d’informazioni e individuare all’occorrenza supporti informatici HW, SW o procedurali adeguati e strutturati al fine di assicurare la protezione sia dei dati coperti da GDPR ma anche dei dati strategici per l’azienda stessa.
Facebook Comments