La nuova normativa Europea sulla Privacy (GDPR) e la pericolosità dell’adeguamento apparente

Molti di voi saranno già ampiamente al corrente dell’attuazione, dall’ormai prossimo 25 Maggio, della nuova normativa europea (EU 679/2016) comunemente detta GDPR, di cui si discute molto nei social media professionali e su riviste specializzate.

Da tempo svolgo audits e progetti di adeguamento a GDPR, sia in contesti sia nazionali, sia internazionali, con clienti di varie dimensioni e complessità, ed in questo periodo ho potuto confrontare presso i miei clienti diverse proposte, anche molto diverse tra loro, per realizzare gli adeguamenti normativi.

Molte, infatti, sono le alternative disponibili sul mercato per aiutare le aziende a valutare e migliorare il proprio livello di compliance a GDPR, offerte da parte di Vendor di Sicurezza Informatica tradizionale, di vari Studi legali e di Società di Consulenza specializzate.

Avendo partecipato in prima persona a numerosi di questi progetti, in molti casi ne potuto verificare sul campo la reale effettività.

Purtroppo devo rilevare che le competenze su GDPR dei vari fornitori che si propongono, non sono sempre all’altezza, ma anzi, spesso risultano inadeguate, dato l’elevato numero di richieste, e lo scarso numero di risorse competenti disponibili sul mercato.

Le aziende quindi, corrono il rischio di non trovare sul mercato consulenti particolarmente qualificati, che le aiutino efficacemente nel loro percorso di adeguamento, anche rivolgendosi ad aziende di nome.

Inoltre, le aziende tendono a sottovalutare il problema della fornitura di servizi GDPR, non preoccupandosi di dotare gli uffici acquisti ed i vari “Decision maker” di competenze sufficienti per le valutazioni dei fornitori di servizi GDPR.

Senza forti competenze GDPR all’interno dell’Ufficio Acquisti, non è per nulla semplice, tra i vari requisiti di fornitura per l’affidamento di servizi GDPR all’esterno, capire se si sta dando la giusta priorità a quelli veramente importanti rispetto a quelli solo marginalmente utili.

Ciò ostacola pesantemente le aziende nella scelta del percorso di adeguamento più adatto alle reali necessità della propria organizzazione, con forti rischi di sovrastimare o sottostimare il budget necessario.

Inoltre, bandi di gara per attività GDPR inefficienti o inefficaci, o male dimensionati, portano ad una riduzione della qualità dei risultati attesi che si traduce in un maggiore rischio per l’azienda di non Compliance a GDPR.

Rischio che spesso non viene neppure percepito semplicemente perché non viene neppure misurato.

In effetti, come osservatore esterno, trovo assolutamente logico che manchi, in generale, la percezione sul livello di qualità della compliance nelle organizzazioni, perché alle aziende mancano quasi totalmente strumenti adeguati, report e KPI misurabili per misurarla.

Di norma, infatti, procedono nelle scelte sulla base di valutazioni estemporanee del manager o del consulente esterno di turno, più che secondo una definita strategia di protezione dei dati e di adeguamento alle normative.

Ad ogni modo, a parziale discolpa delle aziende, il mix di competenze richiesto per comprendere ed applicare i requisiti GDPR con efficacia, è veramente elevato ed è difficile trovare skills ed expertise per capire gli effetti della normativa su aspetti diversi tra di loro, come quelli legali, quelli IT, quelli di sicurezza, quelli organizzativi, quelli di processo, quelli di gestione dei fornitori, e a numerosi altri.

Quale sia la soluzione migliore per l’adeguamento alla normativa, dipende ovviamente dalla tipologia di organizzazione e dal livello di complessità della stessa e del contesto in cui opera.

Una volta scelto il proprio fornitore di servizi GDPR, nonostante la qualità del risultato finale sia molto legato alla qualità ed agli skills dello stesso, le aziende poi si ritrovano a seguire dei meccanismi di adeguamento che sono comunque molto simili tra di loro e che si possono sintetizzare nei seguenti passi principali.

GDPR Implementation steps

  1. Un GDPR Assessment che mappi la attuale situazione dell’Azienda rispetto al livello di compliance “target”, generando la classica GAP Analysis. La Gap Analysis genera una lista di attività, di modifiche ai processo ed ai sistemi, all’organizzazione ed ai contratti, che deve essere implementata per arrivare a raggiungere il livello di compliance “target”.
  2. Una fase di preparazione e pianificazione, che generalmente consiste nella predisposizione di più progetti separati e da eseguire in parallelo attraverso tutti i dipartimenti dell’organizzazione, nessuno escluso, e nelle varie sedi.
  3. Una fase di adeguamento, che prevede la realizzazione dei progetti precedentemente predisposti
  4. Una fase finale di verifica (per la verità non sempre realizzata, o realizzata in maniera molto approssimativa).

Quello che tipicamente succede è che una volta che la fase di GAP Analysis abbia identificato una serie di punti su cui intervenire all’interno dei vari dipartimenti aziendali, l’azienda si predispone per le attività di adeguamento.

Successivamente partono i diversi progetti per adeguare tutte le varie aree aziendali, dal Marketing, all’Ufficio Personale, ai sistemi IT, alla sicurezza di infrastruttura e dei sistemi informativi, al Customer Care, e così via.

Da quel momento in poi, data la complessità dell’attività e l’elevato numero di progetti e personale coinvolto, appartenente a strutture diverse, che agiscono in maniera autonoma, l’attività più critica, diventa non già l’esecuzione dei progetti stessi, ma il loro coordinamento e controllo.

Di solito, si ha più l’impressione che per tutta la durata dei vari progetti di adeguamento, ognuno di essi prenda una strada propria, avendo, ogni singolo manager, come finalità principale solo quella di implementare solo i propri obiettivi di adeguamento, e non ritenendo critico sincronizzare la propria attività con quella degli altri.

Cosa che non risponde, per la verità, ai principi della normativa, che prevede la verifica di compliance GDPR venga verificata End to End.

La cosa che sorprende, è che raramente si vedono attività di coordinamento e controllo dei vari progetti in sincronizzazione con il target atteso, che è quello della compliance, mentre invece i programmi di adeguamento sono gestiti in maniera totalmente tradizionale, monitorando semplicemente le attività, i tempi e la conclusione dei progetti.

L’obiettivo della attività di Adeguamento a GDPR, tende quindi a trasformarsi, passando quindi, dal raggiungimento del livello di compliance GDPR “target”, alla verifica pura e semplice dell’esecuzione del progetto.

Dando in effetti per scontato, non si capisce bene sulla base di quali presupposti, che i progetti debbano terminare tutti positivamente e debbano essere semplicemente completati, e che questo sia sufficiente per ottenere così il risultato atteso.

Ritengo questo atteggiamento un po’ superficiale ed anche potenzialmente pericoloso, dato che chi conosce bene la realtà di sistemi ed organizzazione complesse, sa che le cose non vanno sempre esattamente come pianificate.

Durante i vari percorsi di adeguamento, vi sono sempre numerosi ostacoli, come le risorse, il budget, gli imprevisti, o anche situazioni che sulla carta apparivano in un modo che poi nella realtà si rivelano essere diverse da quello che ci si attendeva in fase di pianificazione, e così via.

Vi sono poi, difficoltà aggiuntive dovute magari alla possibile differente interpretazione della normativa in alcuni contesti di utilizzo per cui, la strada scelta potrebbe dover essere rivista in corso d’opera.

Il Management non ha quindi, agli effetti pratici, visibilità su quello che è, o dovrebbe essere, il vero obiettivo delle attività, che non è quello di portare a termine le attività di adeguamento, ma sostanzialmente di migliorare il livello di compliance GDPR dell’intera organizzazione.

Per questo motivo le aziende dovrebbero fare maggiore attenzione alla fase progettuale e di preparazione delle attività di adeguamento, definendo e realizzando metriche e report per misurare KPI specifici sulla compliance GDPR in maniera più puntuale di quanto fanno sinora.

Magari definendo delle Dashboard apposite per visualizzare l’effetto delle attività di adeguamento dati in maniera più immediata, come nell’esempio proposto qui di seguito.

Inoltre, anche le società che avessero già corso progetti di adeguamento già avviati, trarrebbero benefici avendo strumenti di Monitoraggio e KPI utili per verificarne la qualità del lavoro fatto.

Meglio se sviluppati da una terza parte indipendente, che garantisse l’imparzialità delle verifiche.

In mancanza di ciò, non solo si rischia, di non raggiungere il livello di compliance GDPR desiderato, ma anche di dare vita a quello che io chiamo “adeguamento apparente”, che porta anche un miglioramento relativo a evidenze formale, senza che questo debba necessariamente corrispondere ad una vera compliance GDPR.

In altre parole, le aziende potrebbero ritrovarsi ad avere investito larga parte del proprio budget implementando misure che non sono affatto “effettive”, e neppure “end to end”, come invece la normativa prevede.

Alla fine del percorso di adeguamento, il Management delle aziende potrebbe quindi ritrovarsi, nonostante il budget speso e l’impiego massiccio di risorse aziendali, ad affrontare comunque molte delle situazioni di rischio che pensava di avere risolto.

A cura di: Francesco Falcone

Profilo Autore

Senior IT Management Professional Consultant
Cybersecurity, GDPR Compliance, Data Protection, Business Consulting

Condividi sui Social Network:

Articoli simili