LA DATA PROTECTION TRA REGOLAMENTAZIONE E FLESSIBILITÀ


Con quella che è diventata una citazione ormai famosissima “Data is the new oil”, (i dati sono il nuovo petrolio) Ann Winblad, una delle venture capitalist più quotate della Silicon Valley, era stata tra i primi a prevedere che i “dati” sarebbero stati la commodity del futuro e non si sbagliava. Il caso Cambridge Analytica è solo l’ennesima conferma della necessità di acquisire una maggiore consapevolezza nella gestione dei dati e sviluppare misure in grado di tutelare in modo più sicuro la riservatezza delle persone fisiche in un contesto attuale in cui ogni nostra transazione può essere tracciata dalla tecnologia.

Dagli acquisti che facciamo online, ai luoghi che cerchiamo su google maps, fino alle canzoni che scegliamo su Spotify, viviamo in uno scenario orwelliano in cui ogni nostro movimento può effettivamente essere identificato e trasformato in una preziosissima moneta di scambio.

Come ha sottolineato Dino Pedreschi, professore dell’Università di Pisa ed esperto di Big Data e privacy, «I dati sono di fatto la materia prima su cui è basata l’ultima rivoluzione industriale», una rivoluzione che si sta rivelando sempre più pervasiva e che è destinata a coinvolgere anche i mercati più tradizionali, riuscendo ad attribuire al termine disruptive, troppo spesso abusato, il suo vero significato, perché la data revolution è davvero dirompente. Si stima infatti che il 90% dei dati a livello globale siano stati raccolti negli ultimi due anni e si prevede che, entro il 2020, per ogni essere umano saranno creati 1,7 megabyte di nuove informazioni al secondo. Sono cifre enormi.

È in questo contesto che si pone la General Data Protection Regulation (GDPR), la nuova normativa europea sulla protezione dei dati entrata in vigore dal 25 maggio. Come sottolineato dalla Commissione Europea, il GDPR ha proprio «l’obiettivo di garantire la certezza giuridica per le imprese e lo stesso livello di protezione dei dati in tutta l’UE per i cittadini, rafforzando la protezione contro le violazioni e assicurando norme più rigorose e multe più severe».

Se da un lato quindi la nuova normativa punta a proteggere la nostra privacy e quella dei nostri clienti, dall’altra comporta cambiamenti di processo e, in alcuni casi, di struttura profondissimi per le aziende e per la loro governance, rendendo necessaria la definizione di un nuovo equilibrio in grado di adempiere alle richieste del legislatore, mantenendo però la possibilità di rispondere alle esigenze di flessibilità imprescindibili per qualsiasi azienda contemporanea.


La nuova governance verso il GDPR

Una rivoluzione pervasiva quella della “data economy” che impone dunque anche alle aziende più tradizionali di adeguarsi alla nuova normativa. Ogni dato riconducibile a una persona fisica sarà infatti oggetto di tutela e quindi ogni impresa che tratta dati personali, appartengano questi a dipendenti, clienti o fornitori, dovrà adempiere agli obblighi imposti dal regolamento. Che si tratti di un’agenzia di social media marketing, di una multinazionale o di una PMI attiva nel settore metalmeccanico tutte le aziende dovranno rivedere i propri processi per rispettare il Regolamento, indipendentemente dalla tipologia dell’impresa, dal fatturato e dal numero dei dipendenti.

In Italia nell’ultimo anno si è assistito a un’accelerazione notevole per fare fronte ai requisiti della nuova normativa. Secondo l’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, infatti, il 51% delle imprese italiane hanno avviato un progetto strutturato di adeguamento alla nuova regolamentazione UE, mentre fino allo scorso anno erano circa il 9%. Sono inoltre il 58% le aziende italiane che vi hanno dedicato un budget mentre il 68% delle imprese manifesta l’intenzione di aumentare gli investimenti in data protection (Figura 1).

Figura 1.

A essere soggette ai cambiamenti maggiori, secondo gli esperti, saranno però soprattutto le aziende extraeuropee che, a differenza di quanto avvenuto fino ad oggi, dovranno adottare tutte le misure necessarie per rispettare le norme in materia di data protection e privacy, qualora trattino dati di soggetti europei. Un cambiamento previsto da tempo che ha già visto mobilitare risorse consistenti, come ha dimostrato una ricerca svolta dallo studio legale Paul Hastings LLP e pubblicata a ottobre 2017, da cui risultava che il 47% delle aziende americane lo scorso autunno avevano istituito una “GDPR taskforce”, per recepire la nuova normativa in modo efficace (Figura 2).

Figura 2.


La stessa ricerca stimava che la spesa IT necessaria per adeguarsi al Regolamento per le società FTSE 350 sarebbe stata equivalente a 430mila sterline, mentre per le società Fortune 500 avrebbe raggiunto il milione di dollari (Figura 3). Cifre, come ha sottolineato Larry Downes sull’Harvard Business Review, a cui bisogna poi aggiungere l’ulteriore costo del Data Protection Officer (DPO), la figura di riferimento aziendale in materia di privacy.

Figura 3.


Un adeguamento dunque che spinge le aziende a compiere investimenti importanti e che prospetta sanzioni severe in caso di violazioni: fino a 20 milioni di euro o pari al 4% del fatturato.

Diversi esperti hanno però sottolineato come in realtà gli adempimenti richiesti dal regolamento non siano completamente nuovi per le aziende che erano già soggette alla normativa precedente, per cui il passaggio al GDPR risulterebbe più fluido per chi aveva già sviluppato un processo di gestione consapevole dei dati.

Sul piano operativo, a essere considerati prioritari per l’adeguamento sono in particolare tre aspetti della normativa: la revisione della modulistica sia per il trattamento dati dei clienti che dei dipendenti, l’analisi dei rischi e della valutazione di adeguatezza sui trattamenti e la scelta di un Data Protection Officer (DPO). A rappresentare invece dei veri e propri cambiamenti epocali, destinati a modificare profondamente la governance aziendale sono due principi che caratterizzano il nuovo regolamento: l’accountability e il cosiddetto “privacy by design”.

Come ha scritto su Il Sole 24 Ore Giusella Finocchiaro, presidente della Commissione incaricata di adeguare la normativa italiana in materia di dati personali al Regolamento UE, il GDPR segna il passaggio da un modello di trattamento di tipo “autorizzatorio”, rappresentato dalla normativa previgente, a un modello basato sull’ “accountability”, ovvero sulla responsabilizzazione.

Il principio di “accountability” è quindi la chiave per comprendere la normativa, un concetto estremamente contemporaneo che vede al centro la responsabilizzazione dell’individuo, perfettamente in linea, almeno dal punto di vista teorico, con l’esigenza di flessibilità della smart-economy che prevede una maggiore responsabilizzazione di tutti i soggetti interni a una struttura. Come scrive Finocchiaro, infatti: «Il titolare di trattamento diventa primario centro di responsabilità e deve dimostrare di avere adottato misure giuridiche, organizzative, tecniche, adeguate per la protezione dei dati personali». Un elemento dunque importantissimo questo, destinato a riflettersi in modo significativo sulla governance aziendale.

La nuova normativa arriva infatti a definire una figura responsabile dei dati, il Digital Protection Officer (DPO), un ruolo che Carlo Alberto Carnevale Maffè professore di Strategy and Entrepreneurship all’Università Bocconi, descrive come “una sorta di Chief Financial Officer degli intangibles”.

Se da un lato la figura del DPO sancisce l’importanza di primo piano acquisita dalle tematiche relative alla protezione digitale in azienda, con la nomina di un soggetto preposto proprio a una funzione di garante e controllo in quest’ambito, dall’altro lato non bisogna però pensare che la nomina di questa figura possa deresponsabilizzare il vero titolare dei dati, ovvero l’azienda stessa.

È infatti necessario ricordare che il GDPR attribuisce all’impresa una responsabilità sull’uso dei dati molto simile a quella prevista dalla normativa 231 sulla sicurezza e, come ha sottolineato Maffè, aggiunge dunque una liability potenziale significativa sul consiglio di amministrazione.

La nomina del Digital Protection Officer potrebbe essere quindi interpretata solo come la punta dell’iceberg, ovvero l’aspetto più evidente di un profondo mutamento interno al sistema azienda, destinato a coinvolgere l’intera governance e, in maniera sistematica e totalitaria, gli uffici IT e Compliance.


IT e processi aziendali

È in questo contesto che deve essere letto l’altro cambiamento paradigmatico portato dalla nuova normativa e legato al concetto di “privacy by design” che con il GDPR viene di fatto trasformato in legge. L’impostazione del “privacy by design” prevede infatti la necessità di porre al centro dello sviluppo di qualsiasi processo la privacy dell’utente a partire dalla fase di progettazione. Si tratta di un approccio user centric, secondo cui qualsiasi progetto, sia esso strutturale o concettuale, deve essere realizzato considerando come aspetti prioritari la riservatezza e la protezione dei dati personali.

Per questo motivo è necessario prevedere una riorganizzazione dei processi e valutare le possibili conseguenze che questi cambiamenti potrebbero comportare per le diverse aree della stessa organizzazione e per le relazioni tra queste. In particolare l’area di Controllo e compliance vedrà una trasformazione emblematica della propria funzione all’interno del processo aziendale che, in un’ottica di privacy by design dovrà porre la sicurezza dei dati al centro, sin dalla fase di progettazione. Se dunque fino ad oggi quest’area era stata collocata nella parte finale del processo aziendale, la nuova normativa rende invece il coinvolgimento delle professionalità interne a questo dipartimento imprescindibili dalla genesi del processo stesso.

Nel quadro delineato dal GDPR, infatti, la risoluzione di un problema non può più essere considerata un valore aggiunto. Il vero valore risiederà invece nella capacità di prevenzione. Per questo motivo sarà necessario adottare sistemi di controllo che siano proattivi nell’individuazione di potenziali problemi futuri. Pilastro per l’adeguamento dei processi alla nuova normativa sarà poi la creazione di una consapevolezza aziendale in grado di riconoscere l’importanza e la sensibilità dei dati e di comprendere così i cambiamenti che deriveranno dalla nuova normativa.

L’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano ha realizzato un sondaggio sulla percezione della data protection nelle imprese italiane da cui è emerso che la sfida principale per il 67% dei soggetti intervistati, è proprio la sensibilizzazione del personale. Il 51% del campione preso in esame ha sottolineato che le aziende dovrebbero concentrarsi maggiormente sulla formazione del personale mentre il 44% ha espresso la necessità di definire ruoli e responsabilità specifiche.

Dal sondaggio è infatti emerso che il 74% dei professionisti considera la data protection un tema rilevante o fondamentale per l’organizzazione in cui lavorano. Nonostante questa consapevolezza diffusa però, la ricerca ha rivelato che rimane ancora alto il numero di aziende che non ha ancora in organico risorse dedicate: sono circa il 39%.


Le competenze del futuro

La crescente importanza delle tematiche relative alla data protection rende dunque necessario lo sviluppo di percorsi di formazione in grado di offrire a tutto il personale strumenti per cogliere i cambiamenti portati dal nuovo regolamento e comprendere il ruolo di primo piano ricoperto dai dati. Oltre allo sviluppo di un’awareness sul tema, la nuova normativa, come già anticipato, comporterà diversi cambiamenti in termini di Human Resources: dalle diverse competenze richieste, all’introduzione di nuovi profili.

Secondo l’Osservatorio del Politecnico, ad esempio, il Chief Information Security Officer vedrà aumentare le proprie responsabilità, mentre sempre più aziende introdurranno figure come il Security Administrator, il Security Architect, il Security Engineer e il Security Analyst. La sicurezza sarà dunque un aspetto sempre più centrale nei processi aziendali e anche a livello di governance sarà fondamentale fare i conti con la necessità di acquisire una maggiore sensibilità relativamente alla protezione dei dati.

Dalla ricerca del Politecnico risulta che il 28% delle imprese ha già in organico o collabora con un Data Protection Officer con il compito di facilitare il rispetto del GDPR. È proprio questa figura a rappresentare l’elemento più innovativo nella governance aziendale. Il DPO rappresenta l’interfaccia tra l’azienda e la gestione dei dati, delineandosi dunque come una figura chiave nell’impresa del futuro.

Nonostante questo, al momento non esiste né una espressa indicazione nel GDPR, né una prassi consolidata in merito al background accademico e professionale che il DPO deve possedere. In questo periodo di fase attuativa è però possibile identificare alcune caratteristiche fondamentali di questa figura. La scelta deve infatti ricadere su un profilo che abbia solide basi di diritto – meglio se a livello accademico – e una profonda conoscenza dell’IT Security, fondamentale per una traduzione efficace del linguaggio giuridico nei processi aziendali.

Anche se è ancora difficili valutare gli esatti requisiti del DPO, si ritiene che, almeno nel primo anno dall’entrata in vigore del GDPR siano tre le tipologie di background più adeguate per ricoprire questo ruolo: una figura che provenga dall’ufficio IT, un profilo appartenente all’ufficio legale, oppure una figura che provenga dal Risk & Compliance (Figura 3).

Una discriminante importante nelle competenze richieste è data dalla struttura in cui il responsabile sarà inserito. Nel caso la nomina avvenga all’interno di un headquarter si ritiene importante prediligere un profilo con forti competenze legali, poiché rappresenterà l’interfaccia con il garante. Diverse potrebbero essere invece le skills ricercate per la nomina all’interno di un branch, dove più probabilmente si tratterà di implementare processi già predisposti. In questo caso nella scelta del candidato si potrebbe prediligere una figura connotata da un solido background IT e di IT security.

Un’ulteriore decisione da prendere a livello di governance sarà relativa alla provenienza del Digital Protection Officer. Secondo la normativa infatti, il DPO può essere nominato internamente o esternamente all’azienda, come consulente. Diversi esperti sostengono che il DPO ideale sia qualcuno interno alla struttura, ritenendo un valore aggiunto una vasta e dettagliata conoscenza dell’azienda, dei suoi processi e delle sue dinamiche.

La tendenza più diffusa sembra però la scelta di un Digital Protection Officer esterno alla società: una decisione riconducibile a due motivi, di ordine economico e di governance. Prima di tutto vi è una questione relativa al budget, per cui se in una branch il DPO può essere inserito con il livello di quadro, in un headquarter dovrà necessariamente rispondere direttamente all’amministratore delegato. Si calcola dunque che se la RAL di un Digital Protection Officer in una branch possa variare tra i 60mila e gli 80mila euro, bisognerà invece mettere a budget una somma tra gli 80mila e i 120mila euro per la stessa posizione in headquarter (Figura 4).

Figura 4.


In secondo luogo, bisogna tenere in considerazione il possibile conflitto di interessi che potrebbe configurarsi con la nomina di un Digital Protection Officer interno alla struttura, con il rischio che il controllato diventi anche controllore. Il ruolo del DPO rimane infatti quello di garanzia e controllo, per questo nella decisione di nominare una figura interna all’azienda bisognerà evitare di affidare l’incarico a persone che ricoprono posizione di conflitto potenziale, come ruoli di alta direzione e figure che determinano le finalità e le modalità del trattamento.


Smart-working e crescente responsabilizzazione

La nuova normativa pone al centro il tema della crescente responsabilizzazione di ogni individuo interno ai processi aziendali. Non più solo chi si occupa di IT security deve avere cura della protezione dei dati, ma tutti i soggetti che lavorano all’interno dell’organizzazione devono sviluppare una consapevolezza su questo tema.

Dal GDPR emerge dunque una necessità di accountability che rispecchia la crescente tendenza di rispondere alle esigenze della smart-economy ma anche ai cambiamenti sociologici molto rapidi che si stanno verificando. La responsabilizzazione di ogni individuo dell’organizzazione, indipendentemente dal ruolo che ricopre è infatti uno dei tratti che hanno rivoluzionato l’organizzazione aziendale negli ultimi anni. Una responsabilizzazione che vede nello smart-working la sua espressione più completa e che è strettamente correlata a un nuovo modo di vivere l’approccio lavorativo. In uno scenario reso possibile dal digitale, in cui la definizione degli spazi di lavoro non può più essere rigidamente definita, infatti, lo smart-working consente lo sviluppo di un modello organizzativo che rivoluziona i normali rapporti all’interno dell’azienda, rispondendo al bisogno di una maggiore flessibilità e agendo sulla stessa necessità di responsabilizzazione degli individui che viene richiesta dalla nuova normativa.

È stato provato che offrire la possibilità di scegliere il proprio luogo di lavoro e organizzare i propri tempi aumenti la produttività aziendale. Se infatti da un lato la flessibilità permette un’organizzazione più bilanciata tra vita privata e vita lavorativa, dall’altra la responsabilizzazione incoraggia una maggiore incisività ed efficienza. Perché lo smart-working funzioni è però necessario sviluppare una cultura aziendale fondata sulla fiducia e destinata a modificare il modello di leadership della struttura stessa che, a sua volta, deve rispondere al bisogno di flessibilità. Si tratta dunque di una trasformazione organizzativa in cui è necessaria una transizione da una struttura gerarchica basata sul controllo a una struttura flessibile in cui la delega diviene l’elemento predominante.

La chiave vincente in questo scenario non può che essere la chiarezza degli obiettivi e dei KPI, così da permettere agli individui di assumersi le proprie responsabilità, ma anche di valutare l’efficacia del lavoro di ognuno. Elementi fondamentali diventano dunque la comunicazione trasparente e lo sviluppo di strumenti di monitoraggio in grado di verificare che i risultati vengano raggiunti.

Il GDPR e le altre normative volte a regolare in modo puntuale i processi aziendali possono quindi essere letti come strumenti per governare strutture organizzative sempre più complesse, in cui ogni individuo acquisisce una possibilità di azione maggiore.


Tra stretta normativa e flessibilità

Con parole d’ordine come “privacy by design” e “accountability”, il nuovo Regolamento sembra dunque cogliere, almeno nell’approccio, due aspetti fondamentali della smart-economy: la necessità di porre al centro l’utente e la responsabilizzazione di tutti i soggetti della filiera. Nonostante questo, sul piano pratico il GDPR è stato visto anche con preoccupazione da chi teme che una stretta normativa rischi di imbrigliare processi aziendali che hanno un bisogno crescente di flessibilità. In questo senso il GDPR rappresenta solo l’ultimo esempio di una tendenza alla regolamentazione sempre più dettagliata dei processi e delle risorse aziendali, che sembra risultare però opposta alla necessità di un’organizzazione della struttura che sia flessibile. È dunque necessario stabilire un distinguo per riflettere sull’equilibrio che la governance del futuro e i processi aziendali dovranno raggiungere. In realtà, in un mondo sempre più complesso, dove non esistono più confini prestabiliti degli spazi e dei tempi di lavoro e si lavora in modo crescente con risorse intangibili, una regolazione diventa necessaria per garantire l’efficienza.

Il nuovo regolamento impone infatti una formalizzazione dei processi e ciò non significa burocratizzarli.

Secondo diversi esperti questa formalizzazione consentirà di gestire in modo più sicuro ed efficace le risorse e identificare in modo chiaro i responsabili di ogni azione. Quando le responsabilità sono chiare e riconducibili aiutano il business.

È interessante in questo senso la lettura della normativa data da Gabriele Faggioli, Responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano: «Nonostante le minacce aumentino, l’evoluzione del mercato restituisce un quadro tutto sommato ottimistico: nelle aziende italiane cresce la consapevolezza dell’importanza della gestione della sicurezza e della privacy, mentre aumentano i budget stanziati. La figura del Chief Information Security Officer sta acquisendo maggior rilevanza rispetto al passato e si assiste a una progressiva strutturazione delle funzioni preposte alla gestione della sicurezza. Il tema della sicurezza e della data protection è diventato ormai prioritario, anche grazie all’attenzione mediatica, e la gestione del rischio cyber inizia ad entrare nelle strategie aziendali. Aumentano le sfide, ma sta mutando anche l’approccio delle organizzazioni con soluzioni sempre più sofisticate».

Secondo le previsioni degli esperti l’attenzione crescente ai diritti degli utenti incoraggerà lo scambio dei dati, ponendo l’Europa in vantaggio competitivo rispetto al resto del mondo. Moltissimi hanno salutato la nuova normativa come il momento inaugurale di quello che si prospetta come il più grande mercato regolamentato dei dati digitali al mondo.

Una nuova normativa dunque che, oltre alle incognite e alle difficoltà, offre opportunità preziose in grado di risultare inaspettatamente coerente con la necessità di flessibilità, se non addirittura di accelerare la corsa al futuro dell’innovazione della governance aziendale.