In questa specifica pagina approfonditiva, riteniamo importante fornire alcune indicazioni sul nostro modus operandi, che adottiamo – ormai da oltre 28 anni – quando svolgiamo le nostra attività professionali presso una delle varie organizzazioni che ci hanno concesso fiducia, incaricandoci di specifiche attività o assegnandoci ruoli da responsabile della protezione dei dati personali.
In primis, sappiamo bene che le aziende e le organizzazioni italiane operano in panorami sempre più complessi e competitivi, e che la compliance alle innumerevoli normative determinano ulteriori difficolta nella programmazione ed operatività quotidiane; inoltre, il RGPD è stato a suo tempo predisposto – dal legislatore europeo – pensando prevalentemente alle grandi multinazionali, ma che ancora oggi – in mancanza delle auspicate semplificazioni, si applica -tale e quale – anche alle piccole realtà.
Sappiamo però che la protezione dei dati in una organizzazione è imprescindibile; e non paventiamo – come altri fanno – le eventuali sanzioni o i potenziali effetti di un data breach per convincere gli organi decisionali, ma sottolineamo l’importanza strategica della infrastruttura informativa, per ogni organizzazione.
Ogni ora nella quale essa non funziona, è un’ora di blocco totale dell’azienda. In tali momenti, si comprende brutalmente la rilevanza dell’informatica nelle organizzazioni moderne.
Oltre a questo, riteniamo determinante rendere consapevole ogni board aziendale sulla realtà della protezione dei dati: si tratta di un processo dinamico, non statico. Non è attività “una tantum”, ma una costante che pervade gran parte delle procedure aziendali. Per questo consigliamo sempre, specialmente alle organizzazioni complesse, di adottare un adeguato modello organizzativo privacy, che non chiamiamo “data-protection model”.
Spesso abbiamo riscontrato come nostri competitor, in special modo le realtà consulenziali che si occupano di ogni aspetto consulenziale aziendale, oppure coloro che hanno basi giuridiche ma mancano delle competenze tecnologiche ed organizzative, predispongano quella che noi definiamo privacy sulla carta.
Quindi montagne di fogli, a coprire ogni aspetto formale della normativa privacy; talvolta abbiamo anche osservato come tali documenti siano stati resi pubblici in una apposita pagina del sito web aziendale, a rappresentazione del compitino svolto. Non riusciamo a comprendere come si possa ritenere che pubblicando il Registro dei Trattamenti, effettuati dalla azienda nel sito web – e quindi accessibile a tutti – si rispetti un obbligo (da quale norma sarebbe richiesto?).
Noi crediamo invece che si renderanno note informazioni strategiche che dovrebbero rimanere riservate, e che faranno certamente felici gli eventuali attaccanti o soggetti malevoli.
Riteniamo anche che aver pubblicato – sempre nella stessa pagina riservata alla privacy – la procedurina di gestione di un data breach, copiata da una delle innumerevoli ed inutili simil-procedurine esposte nei vari siti web, sia assolutamente controproducente. Una adeguata procedura di gestione della violazione di dati personali (data breach), per le sue enormi complessità di determinazione e vastità di ambiti impattati, non può certamente esaurirsi in poche – e pertanto inutili e fuorvianti – pagine. Anzi, tale procedura getta ombre sulla reale compliance aziendale verso la protezione dei dati personali.
Da ultimo, pur ritenendo necessario disporre di una adeguata procedura di gestione dei Data Breach, riteniamo che occorra – in primis – definire adeguate strategie per evitarli, i data breach. Sappiamo bene che il rischio zero non esiste, ma sappiamo altrettanto bene che adottando misure consolidate ed adeguate, detto rischio si riduce enormemente, rispetto ad aver solo predisposto pile di carta che nessuno conosce.
Questo è il nostro fondamento filosofico: nessuno potrà mai proteggere i dati senza la formazione di una adeguata “mentalità data-protection” e la necessaria “sensibilizzazione privacy” di ogni funzione aziendale.
Il nostro modus operandi è pertanto quello di affiancare le organizzazioni, onde aiutarle a migliorare la loro postura privacy, aumentare il livello di protezione dei dati, ridurre l’esposizione ai rischi cyber ed elevare la resilienza agli attacchi. Tutto questo, tenendo sempre in grande considerazione costi e relativi benefici, e attenzionando sulla sindrome da acquisto di scatole e servizi di protezione; essi sono spesso necessari, ma occorre sempre ricordare come – nel 70% degli incidenti privacy – è stato rilevante il fattore umano.
Un device o un servizio non potranno mai sostituirsi alla protezione offerta da una reale consapevolezza di tutti i ruoli in organigramma data-protection. Certamente gli strumenti sono importanti, ma non sufficienti. Per questo consigliamo sempre di “non fare troppo affidamento sulle scatole” o sui servizi miracolosi forniti da terzi.
CONTATTATECI PER CONOSCERCI DI PERSONA: siamo convinti di poter fare la differenza!