GDPR: una minaccia o una opportunità?

Il nuovo ordinamento europeo noto come GDPR (Regolamento Generale sulla Protezione dei dati) stabilisce regole e suggerisce modalità organizzative più stringenti rispetto alla precedente normativa sulla Privacy.

Siamo di fronte ad un ulteriore aggravio di costi inutili per le aziende pubbliche e private? Noi riteniamo che il GDPR (Regolamento Generale sulla Protezione dei dati) rappresenti si dei costi aggiuntivi, che però devono essere visti come un investimento che in tempi più brevi di quanto si immagini porti ad un incremento di valore dell’azienda.

Vediamo perché.

Il GDPR (Regolamento Generale sulla Protezione dei dati) da un lato individua quali sono i dati personali da trattare e dall’altro quali sono le modalità di utilizzo, archiviazione, cancellazione, salvataggio. Il mancato rispetto di queste regole verrà penalizzato con sanzioni pesantissime per il trasgressore.

Perché noi siamo convinti che il GDPR (Regolamento Generale sulla Protezione dei dati) rappresenti una importante opportunità per le aziende.

Prima premessa: Il miglioramento della produttività e la necessità di ridurre i costi al massimo porta le organizzazioni (indipendentemente che siano private o pubbliche) ad uno stadio di “ paper less”, quindi di totale eliminazione del supporto cartaceo a vantaggio del supporto informatico dei dati.

Seconda premessa: Il cyber crime sta crescendo a vista d’occhio. E recente il caso di un ospedale americano ,all’avanguardia nell’ottenimento del massimo livello di “paper less”, attaccato da un gruppo di pirati informatici che hanno bloccato il sistema (….non stiamo parlando di furto di dati personali, ma di blocco totale della operatività, a partire dalla banale emissione di una prescrizione medica), costringendo la direzione dell’ospedale a spostare i pazienti più gravi presso altre strutture ospedaliere in attesa che i legali negoziassero l’ammontare e le modalità di pagamento del riscatto.

Terza premessa: Una multa di € 20 milioni (a tanto si può arrivare in caso di mancato rispetto della normativa del GDPR) vale di più (e quindi vincola la direzione ad attivarsi opportunamente) o di meno rispetto al furto di informazioni da parte di un concorrente in una fase cruciale di predisposizione di una gara internazionale di fornitura, persa la quale l’azienda può rischiare il fallimento o un consistente ridimensionamento con consistente riduzione del personale?

E’ facile comprendere che la corretta identificazione dei dati, di chi li può solo consultare o anche modificare, la loro criptazione per impedire siano utilizzabili dai non addetti, una archiviazione a prova di intrusione rappresentino  “policy” valide sia per i dati personali oggetto di “GDPR compliance” che per tutti gli altri dati di una organizzazione, pubblica o privata, che considera i medesimi un vero e proprio ASSET.

GDPR: il dato

Il GDPR (Regolamento Generale sulla Protezione dei dati) si prefigge di regolamentare il dato personale.

Nel 1995, quando si è iniziato a parlare di privacy, il dato personale era riconducibile al nome, cognome, indirizzo di residenza, indirizzo mail. Nel 2016, con il nuovo ordinamento GDPR (Regolamento Generale sulla Protezione dei dati), con termine dato personale  si intende molto di più: comprende infatti immagini, suoni, indirizzi IP del PC o dello smartphone, un qualsiasi altro numero digitale riconducibile alla persona fisica.

Il GDPR distingue i dati personali in 4 diverse tipologie. Comprendere bene queste 4 tipologie permette al titolare dei trattamenti dei dati di individuare le corrette attività da intraprendere in base alle specificità della propria organizzazione.

  • Dati provided: Si tratta di dati forniti consapevolmente dall’utente. Vedi l’esempio di chi vuole acquistare qualcosa su un portale e fornisce le proprie generalità. Possiamo generalizzare dicendo del portale non attua alcuna iniziativa e si limita a raccogliere dati.
  • Dati Observer: Tornando all’esempio precedente, il titolare del portale – utilizzando software dedicati tipo ad esempio Google Alalytics e altri simili – raccoglie dati dell’utente a sua insaputa: potrebbe essere l’indirizzo IP dello strumento che ha utilizzato per collegarsi al portale, quanti e soprattutto quali pagine del sito ha visitato, ed altre ancora. Si tratta quindi non più di una raccolta dati effettuata su “richiesta” e consapevolezza dell’utente, ma una raccolta su iniziativa del titolare e a totale insaputa dell’utente stesso.
  • Dati Derived: In questo fascia di dati rientrano quei dati che si desumono da una analisi dei precedenti citati. Sempre citando il nostro esempio, il titolare del portale potrebbe analizzare i dati raccolti, calcolare la tipologia di prodotti maggiormente acquistati – quelli con prezzo più elevato o meno elevato -, magari in quali fasce orarie queste tipologie di prodotti vengono acquistate giungendo così alla conclusione per esempio che il 30 % degli utenti ha un reddito medio alto ed è rappresentato da consumatori single.
  • Dati Inferred: Infine partendo dai dati di cui sopra, utilizzando dati statistici esterni che comunque possono determinare le abitudini di spesa di quella tipologia di utente, il nostro titolare potrebbe dedurre che per i clienti single sarebbe opportuno proporre particolari prodotti in alternativa o aggiunta di quelli già proposti.

Non è difficile comprendere che, al di là della banalità e scarsa esaustività dell’esempio, un dato “Derived” richiede molta meno attenzione dal punto di vista del rispetto della normativa del GDPR che non un dato “Derived” o “ Inferred”. Non solo, ma un utente che per scelta riporta su un portale un codice IBAN, con tutte le catastrofiche conseguenze che l’abuso di quel dato può comportare, in ogni caso rappresenta un dato che può essere facilmente eliminato o modificato dall’utente e quindi non essere più riutilizzabile da terzi. Quando invece sono diventate pubbliche determinate consuetudini, abitudini o informazioni riservate (vedi tendenze sessuali piuttosto che reato penale), queste non sono facilmente modificabili!

In questo contesto Data-Protect si occupa di accompagnare il titolare di una azienda o di una organizzazione, privata o pubblica che sia, ad individuare i mezzi e le procedure organizzative per garantire sia la tutela del singolo che ha fornito dati personali che la tutela dell’azienda/organizzazione che in caso di uso inappropriato dei propri dati – in questo caso tutti – ne subisce un danno patrimoniale significativo.