Il percorso di adempimento privacy per un imprenditore o un libero professionista può essere alquanto tortuoso. Si passa da uno stato di totale inconsapevolezza e/o rifiuto alla presa di coscienza di quello che effettivamente richiede e richiederà il GDPR a chiunque gestisca un business di qualunque dimensione.
Qualche giorno fa, durante la mia routine mattiniera dedita alla lettura specialistica, mi sono imbattuta in un grafico che ben rappresenta e sintetizza il mio pensiero e quanto ripeto a clienti e prospect.
Cinque sono le tappe del percorso che conduce alla piena conformità al GDPR.
Fonte: British Telecommunications
Fermi ai blocchi di partenza sono gli imprenditori o i liberi professionisti che ignorano totalmente che è entrata in vigore da più di un anno la nuova normativa che ha stravolto e ridisegnato la visione e la gestione della privacy. Di questo gruppo fanno parte coloro che hanno comunque appreso la notizia ma, sulla base dei loro preconcetti, ritengono di non dover compiere alcuna azione poiché probabilmente non è cambiato molto; la privacy per loro è solo una noia burocratica che si limita a pile di scartoffie a fronte di un ingente esborso economico.
Anche volendo fare considerazioni più serie, ritengono, in ogni caso, che la loro attività sia immune da controlli, sanzioni nonché da emergenze sicurezza, motivando di essere una realtà piccola, di sicuro scarso interesse per potenziali criminali, che potrebbero trovare più fruttuoso ed interessante colpire grandi società.
I criminali, in realtà, operano in modo massiccio, senza distinzioni e, anzi, sono maggiormente propensi a penetrare il sistema di una piccola azienda, proprio per la maggior vulnerabilità dovuta a scarsa protezione.
Le grandi imprese possono contare su una struttura, il personale e le risorse anche economiche tali da essere probabilmente più sicure e più difficili da violare.
Il principio del “a me non può succedere” non offre garanzie di protezione, seppur di quell’unico computer utilizzato, dal momento che ogni strumento di comunicazione può essere violato.
Ogni business è a rischio ed un percorso serio di adeguamento alla normativa sulla privacy passa attraverso la responsabilizzazione (accountability) e la formazione di dirigenza e staff, aggiornamenti continui, sistemi accurati di backup ed una corretta considerazione e gestione delle password.
Nel momento in cui il titolare dell’impresa percepisce un attuale e concreto pericolo, sia di incorrere in una sanzione e degli effetti devastanti sul proprio bilancio, sia di subire attacchi informatici, cade in uno stato di giustificata e crescente preoccupazione. Se a questo si aggiunge l’ansia di dover agire in fretta, l’imprenditore entra in una spirale di protezione compulsiva e rischia di cadere nella trappola di qualche zelante venditore. Finisce per fidarsi e acquistare l’equivalente tecnologico di un’auto sportiva, quando invece avrebbe potuto accontentarsi di una berlina o di una utilitaria.
Ad ingenti investimenti, però, non necessariamente corrispondono soluzioni efficaci, specialmente per chi non possiede le competenze necessarie a gestire sistemi complessi.
Non esistono soluzioni universali per tutti. L’adempimento privacy è un percorso, o meglio un viaggio. Le soluzioni vanno ponderate e scelte in relazione alle esigenze, alle risorse, alle modalità operative di una specifica azienda. Serve una strategia studiata su misura. Solo così si può raggiungere la conformità al GDPR.
Automatizzare il processo non ha senso. Un click su un sito o su una app non possono bastare. Non esistono soluzioni semplici, rapide, affidabili e a basso costo. I tecnici concordano nel ritenere che neppure l’intelligenza artificiale potrà mai gestire in totale autonomia l’intero processo.
L’imprenditore che ha sostenuto ingenti investimenti senza una strategia si adagia nella convinzione di essersi blindato e che d’ora in avanti la sicurezza non sarà più un problema.
Si è fidato ciecamente di chi gli ha venduto una soluzione ed il caro prezzo pagato, con tanti sacrifici, avvalora la percezione di avere in mano LA soluzione perfetta.
Ignora che lo strumento che ha per le mani possa non essere adatto alla sua impresa e, pertanto, del tutto inefficace. Anche ove lo fosse, sarebbe comunque una situazione temporanea che lui deve monitorare, aggiornare ed adattare per mantenere la conformità.
Questa fase di totale immobilità si rivela molto delicata e pericolosa. L’azienda è ora potenzialmente oggetto di attacchi esponenziali mirati: se un criminale trova una breccia, sarà propenso a ripetere gli attacchi, perché conosce le vulnerabilità del sistema e può desumere i tempi di reazione.
Il titolare dell’azienda potrebbe impiegare molto tempo prima di accorgersene o potrebbe non scoprirlo mai.
E’ un disastro che porta come gravi conseguenze una sanzione esemplare e severa, danni tangibili quali la perdita di dati e l’accesso a documenti aziendali riservati. In ultimo ma non meno importante, il rischio di conseguenze pesanti per la reputazione, tema che preoccupa maggiormente le aziende.
Di fronte ad una catastrofe di tali proporzioni non si può fare altro che imparare la lezione ed aprire gli occhi. Si deve comprendere la gravità della situazione e l’importanza della sicurezza aziendale.
Un buon punto di partenza è prendere atto che nessun sistema è inviolabile, neppure quello di una grande azienda. La rassegnazione, però, non è accettabile.
Bisogna rimboccarsi le maniche, stabilire le priorità, stendere un crono-programma ed impegnarsi seriamente per capire che tipo di sistema abbiamo, in che modo siamo soliti lavorare, quali sono i nostri punti deboli.
Ecco perché la privacy aziendale deve essere personalizzata, per prevedere i possibili rischi possibili attacchi, anche i casi più estremi e definire un piano di intervento per affrontare l’emergenza.
Stabilire procedure è importante in un serio progetto di privacy aziendale perché permette di agire rapidamente.
Nel momento esatto in cui si raggiunge la conformità effettiva, l’impresa od il professionista domina la materia della privacy. Questo, però, non è un punto di arrivo, bensì una partenza.
La tecnologia si evolve rapidamente ed il cyber crimine non dorme mai. La privacy, così come concepita dal GDPR, richiede, pertanto, riflessioni continue, integrazioni, miglioramenti. Solo così si potrà dimostrare di essere responsabili (principio dell’accountability) e superare le severe verifiche dei Garanti.
A questo punto, però, la maturità e le competenze acquisite lungo il percorso di adempimento privacy saranno tali da rendere più agevole l’aggiornamento garantendo sicurezza, efficienza, brand reputation e competitività.