Aumentare la sicurezza dei dati personali

Daniel Jarman, David Sneyd - 18/02/2019 14:31:46 (updated 13/09/2019 17:33:03)

Oggi la tecnologia ha un ruolo cardine nelle nostre vite, ci consente di fare acquisti, monitorare la nostra salute o contattare i nostri cari, offrendoci quindi la possibilità di essere più connessi, più produttivi e più informati che mai.

Tutto ciò però ha generato un’elevata dipendenza dall’acquisizione di quantità idi dati personali, una componente talmente importante da esser diventata essa stessa un bene prezioso.

Il progresso tecnologico e il relativo utilizzo dei dati personali ha avuto un’evoluzione molto più rapida rispetto alle normative che ne dovrebbero disciplinare l’utilizzo, ciò implica che le persone non possano essere certe di chi possieda effettivamente i loro dati personali, per cosa vengano utilizzati o in che modo vengano protetti. Come prevedibile alcune aziende hanno adottato dei comportamenti scorretti tanto che solo lo scorso anno sono stati numerosissimi i casi di violazioni della privacy che hanno dato vita a diversi scandali e suscitato clamore contribuendo allo sviluppo dell’attuale criticismo in merito alla gestione sconsiderata dei dati personali. Sia i regolatori che gli utenti finali sono infatti allarmati dal potere a disposizione dei giganti della tecnologia.

A questo proposito le autorità di controllo hanno lavorato per tenere il passo con l’evoluzione tecnologica, lo sviluppo normativo più significativo è stato in questo senso l’introduzione di una legislazione europea con il rilascio del regolamento generale sulla protezione dei dati personali (GDPR) entrato in vigore nel maggio 2018, il regolamento ha come obiettivo quello di restituire ai cittadini dell’UE un maggiore controllo sui propri dati personali. A differenza della maggior parte delle altre normative, il GDPR ha esplicitamente una valenza extraterritoriale, quindi qualsiasi azienda che voglia intraprendere dei rapporti commerciali con i cittadini europei deve essere conforme al regolamento. Molti altri paesi, tra cui: Canada, Argentina e Brasile, nonché lo Stato della California, hanno recentemente introdotto nuove legislazioni o hanno incrementato gli sforzi nell’attuazione di quelle vigenti, riprendendo alcuni degli elementi del modello GDPR.

Nel corso dello scorso anno l’introduzione del GDPR ha spinto le aziende a migliorare la gestione dei dati personali garantendone il corretto utilizzo. Il cambiamento, per quelle aziende che hanno ottemperato alle vaste richieste del regolamento, non ha coinvolto soltanto il reparto IT; i consigli di amministrazione hanno infatti dovuto affrontare tutte le problematiche relative al caso come l’introduzione di un responsabile della protezione dei dati (DPO) che monitori la conformità alla regolamentazione vigente e la formazione dei dipendenti ponendo il focus sulla privacy e la gestione delle relazioni con la fonte dei dati personali. Restano ancora dei dubbi su come tutto questo venga implementato nella pratica, le diverse strutture di governance presentano infatti differenti criticità e vantaggi.

Campionamento sull’adozione del regolamento

Con lo scopo di comprendere al meglio la sfida che introduce l’adozione del GDPR in relazione alla privacy e alla sicurezza dei dati personali, abbiamo campionato un gruppo di 28 aziende che gestiscono una quantità significativa di dati personali dei cittadini dell’UE, in particolare le aziende in oggetto operano nei settori: tecnologici, farmaceutici, finanziari e nell’industria dei beni consumo.
Per svolgere la nostra indagine, abbiamo chiesto di parlare direttamente con i DPO delle società, o con i supervisori dell’area operativa, cercando di comprendere quali siano state le misure adottate per l’introduzione del GDPR, l’impatto sul loro modello di business, gli accordi di governance attuati per la gestione dei rischi e le innovazioni apportate in quest’ambito.

Risposte e risultati sul campione osservato

Data la criticità di questo argomento, il livello di accesso che ci è stato concesso dalle aziende ha superato le nostre aspettative, nella maggior parte dei casi abbiamo parlato direttamente con le persone responsabili della privacy dei dati personali. Gran parte dell’interazione con le aziende è stata aperta e sincera, ci sono stati indicati in modo onesto i progressi compiuti e le loro carenze, di seguito vi elenchiamo il nostro resoconto:

Idoneità

Circa la metà delle società che abbiamo visionato ha adottato i requisiti del GDPR come standard per la riservatezza dei dati in tutti i paesi in cui operano, in linea generale le altre hanno optato per far rispettare lo spirito del regolamento anche al di fuori dell’ambito europeo senza implementarne i vincoli più stringenti, come la procedura di notifica della violazione dei dati entro le 72 ore.

Data la portata dell’impegno e l’arco di tempo relativamente breve per adeguarsi al regolamento, non ci sorprende il fatto che solo una società abbia affermato di essere “pienamente conforme” al momento dell’entrata in vigore del GDPR. Quasi tutte le società ci hanno riferito di aver adottato un approccio basato sul rischio per ottenere la conformità, avendo però completato le parti essenziali che rappresentavano le criticità maggiori. Le aree che necessitano di un ulteriore lavoro riguardano i contratti con fornitori di terze parti e l’adattamento dei sistemi legacy, quest’ultime devono consentire nuove funzionalità mai implementate prima, come la cancellazione dei dati.

Implicazioni per prodotti e servizi

In generale, le aziende hanno affermato che gli aspetti più restrittivi del GDPR, come la richiesta del consenso esplicito e la minimizzazione dei dati personali, non hanno avuto influenze sull’offerta dei loro principali prodotti o sui servizi preesistenti ma hanno comportato solo il costo dell’attuazione. Un’unica società riteneva che l’adozione del regolamento fosse uno svantaggio rispetto alla controparte americana, in quanto vi sono restrizioni sulla monetizzazione dei dati personali dei clienti perché non possono essere utilizzati al di fuori gli scopi concordati.

La figura del responsabile della protezione dei dati (DPO)

Il GDPR stabilisce che le aziende debbano designare uno o più responsabili della protezione dei dati (DPO). Si prevede che i DPO operino su base indipendente e siano l’interfaccia principale per le autorità di regolamentazione e per gli utenti che desiderano avere informazioni su come vengono conservati o utilizzati i propri dati.

Quasi tutte le società con le quali abbiamo dialogato hanno nominato una figura di alto profilo come responsabile della protezione dei dati e della conformità alla privacy. Una scelta altrettanto popolare di modello operativo consiste nell’approccio “hub and spoke”, in base al quale viene nominato un Global Privacy Officer nella sede centrale, a cui fanno riferimento gli agenti della protezione dei dati di livello regionale.

I requisiti del DPO richiedono che tale figura operi in modo indipendente e che sia in contatto con i vertici dell’organizzazione, quindi la maggior parte di loro e dei responsabili della privacy sono scelti tra il personale che si occupa di conformità legale o della gestione dei rischi aziendali, le designazioni più comuni ricadono sul General Counsel, il Chief Compliance Officer o il Chief Risk Officer, nelle aziende più piccole spesso si fa riferimento direttamente al CEO.

Supervisione della Governance

Nelle aziende il ruolo di supervisore della conformità al GDPR viene generalmente assegnato al comitato di controllo del consiglio di amministrazione, data la sua funzione di monitoraggio del processo di gestione dei rischi della società. Tuttavia, solo poche aziende sembrano aver fornito una formazione specifica per aiutare i componenti del consiglio di amministrazione a monitorare ed individuare le problematiche tecniche, mentre sono ancor meno le aziende che abbiano identificato distintamente chi dispone delle competenze adeguate e possa fornire una supervisione efficace tra i componenti del consiglio di amministrazione.

Formazione aziendale

Al momento dell’attuazione del GDPR, quasi tutte le società del nostro campione hanno istituito una formazione per i propri dipendenti, generalmente su base obbligatoria e attraverso dei corsi online, ed alcune di loro hanno fornito una formazione approfondita per quelle figure specifiche che trattano la gestione dei dati sensibili.

Il GDPR richiede alle aziende di garantire che la privacy dei dati non avvenga in un secondo momento o che non raccolgano più dati di quanto sia realmente necessario. Ciò che è emerso dal dialogo con le aziende dei diversi settori, non è solo una questione di conformità, ma è una sfida culturale più profonda, in particolare nell’industrie scientifiche come nel campo farmaceutico in cui la raccolta di massa dei dati è stata una pratica standard.

Solo un piccolo numero di aziende è stato in grado di fornire degli esempi su come abbiano sensibilizzato i propri dipendenti sulla tematica della privacy attraverso campagne interne. Un approccio più comune è stato l’utilizzo di rappresentanti della privacy dei dati o di ambasciatori, i quali sono stati selezionati tra i dipendenti con diverse funzioni all’interno dell’azienda e deputati a sensibilizzare il personale sulla privacy dei dati diventando il punto di riferimento quotidiano per le richieste correlate. In generale, le aziende non sono state chiare su come avrebbero affrontato il compito di sviluppare una cultura aziendale per soddisfare le aspettative dei loro clienti e delle autorità di regolamentazione.

Collaborazioni

Un’altra pratica diffusa è la collaborazione ad alto livello tra le aziende con il fine di trovare il sistema migliore per osservare il GDPR, ciò avviene attraverso i gruppi operativi e le reti industriali. In alcuni casi, abbiamo sentito parlare di società che mettono da parte i propri interessi con i DPO di aziende concorrenti che mantengono un dialogo aperto e condividono idee reciprocamente con l’obbiettivo di sviluppare il metodo migliore per il raggiungimento della conformità al regolamento.

Ulteriori misure

Prevalentemente la divulgazione sugli standard di riservatezza dei dati è stata limitata e difforme, ciò contrasta con il livello relativamente alto di consapevolezza interna sulla privacy dei dati presso le società campionate, laddove è stata fornita una formazione, è stata spesso di natura aneddotica, rendendo difficile il confronto tra le società.

Al fine di superare ciò, abbiamo formulato un quadro di conoscenze ad alto livello, che pensiamo riguardino gli aspetti più importanti, e le abbiamo indicate alle aziende all’interno del nostro campione incoraggiandole a prenderle in considerazione. Le principali aree che necessitano maggiore sensibilizzazione dovrebbero includere:
Riconoscere l’importanza della riservatezza dei dati, in particolare partendo dal senior management definendo un’impostazione dall’alto, nonché dettagliare eventuali implicazioni sulla strategia aziendale e sul riconoscimento formale all’interno del registro dei rischi;
Disposizioni di governance per la riservatezza dei dati, compresi i casi in cui la funzione del DPO si trovi all’interno dell’organizzazione, i riferimenti e l’interazione all’interno dell’organizzazione;
Supervisione formale della riservatezza dei dati, comprese le eventuali responsabilità delegate a livello di direzione esecutiva e di consiglio non esecutivo, nonché il modo in cui le attività sono monitorate;
Esperienza recente e pertinente del comitato di supervisione designato, inclusa l’identificazione del direttore che si ritiene disponga ti tale esperienza;
Conoscenza aziendale sulla privacy dei dati, compresa la formazione del personale, l’aggiornamento del codice di condotta e altre iniziative come l’istituzione di referenti per la riservatezza dei dati ad ogni livello aziendale.

Conclusioni

L’impressione generale che abbiamo tratto dai nostri colloqui con le aziende è che la privacy dei dati venga presa sul serio.
L’introduzione del GDPR è stato un fattore chiave, ha incentivato investimenti significativi per l’aggiornamento dei processi e migliorato la supervisione della gestione dei dati personali. Allo stesso tempo, data la portata del compito per rispettare appieno il GDPR, la trasformazione non può dirsi completa e solo poche aziende possono vantare un’idoneità del 100%, ci aspettiamo che questo cambi nel corso di quest’anno, dato che il lavoro di conformità a basso rischio è stato completato.

La varietà di risposte che abbiamo ricevuto ci conferma che non esiste un approccio unico per ottenere la conformità al GDPR, le risposte sono state elaborate secondo i modelli di business aziendali e secondo le strutture di governance esistenti. Il fattore comune resta la conoscenza limitata e difforme sull’argomento, ciò rende più difficile il monitoraggio della formazione e dei progressi in atto, per i quali continueremo a promuovere lo sviluppo per il prossimo anno.

La pressione esercitata da parte dei regolatori e dagli stessi clienti, fa si che la riservatezza dei dati sia un problema che né le aziende né i loro investitori possano permettersi di ignorare, una divulgazione più conforme sarà fondamentale per trasmettere l’adozione delle migliori pratiche e per consentire agli investitori di distinguere i leader da chi è rimasto più indietro.

Daniel Jarman – Responsible Investment Team – BMO
David Sneyd – Responsible Investment Team – BMO

Aumentare la sicurezza dei dati personali

Cristina MelchiorriMente e denaro

Naviga le onde del pregiudizio: le donne consulenti finanziarie sono autorevoli?

I Due Lupi nell’anima della finanza

L’impazienza della mente che getta benzina sul fuoco in tempo di crisi

Allena la tua Money Mind con Warren Buffet

8 nemici invisibili delle nostre decisioni finanziarie

LMF Crypto Agorà

L’ascesa dei token BRC-20

L’introduzione dei Bitcoin Ordinals ha acceso un ecosistema fiorente

Gli Ordinal su Bitcoin hanno introdotto un nuovo modo per identificare e contrassegnare in via univoca i dati sui singoli Satoshi

Inscriptions, Satoshi, Ordinals

La svizzera Hashgraph ha annunciato il lancio del “Deeptech Venture Studio”

Sala Stampa

Clinic Medical Beauty lancia i Clinic Bar. Dagli Stati Uniti la nuova tendenza della medicina estetica

Mirabaud Asset Management lancia una strategia obbligazionaria a scadenza a cinque anni

Lombard Odier sigla una partnership con Robeco per l’offerta di un nuovo fondo PrivilEdge

Comunicati stampa

Strategie di ADATTAMENTO, COMUNICAZIONE e MITIGAZIONE per diminuire gli impatti dei CAMBIAMENTI CLIMATICI al centro di CLIMATE TECH e AQUALITY FORUM

La sfida di Skift: far crescere le imprese rispettando l’ambiente. A Bologna i partner del progetto europeo per l’economia sociale

WEBBOH – GEN Z e mobilità del futuro: green e sicurezza al primo posto