Digital Compliance, alla ricerca di un equilibrio tra processo di digitalizzazione e rispetto delle normative in tema di privacy e protezione dei dati
Un filo rosso lega la digital compliance al processo di digitalizzazione, passando attraverso la normativa vigente in tema di privacy e protezione dei dati. Un filo che traccia, per ogni azienda, la linea di una sfida dalla quale, oggi, è impossibile esimersi, pena la non completa realizzazione del percorso di digital transformation e la mancanza di un sistema di gestione integrato per tutti gli adempimenti normativi. Ma approfondiamo i concetti e vediamo perché, in alcuni casi, essi faticano a integrarsi e a dare vita a un giusto equilibrio.
Cos’è la digital compliance
Intraprendere il percorso di modernizzazione dei processi, dell’operatività e del business mediante l’adozione delle più recenti tecnologie digitali, conformandosi al corpo di regole e procedure in tema di sicurezza dei dati: è questo lo scenario al quale rimanda il concetto di digital compliance.
Pensiamo, in particolare, a quelle organizzazioni (tra cui banche e istituti finanziari, solo per citarne alcune) che si trovano a dover gestire una vasta mole di dati eterogenei, dalla cui protezione dipendono non solo la produttività e il business, ma anche la protezione della privacy dei clienti e la reputazione aziendale.
Questo è un esempio eloquente di come l’attenersi alla normativa che disciplina la riservatezza dei dati in azienda, non sia solo da intendersi quale modalità per “essere in regola” di fronte alle Autorità preposte ed evitare, così, sanzioni penali, ma sia da considerarsi un tassello del più ampio mosaico rappresentato dal processo di trasformazione digitale.
Va in questa direzione l’esempio della digital compliance in ambito sanitario, in cui la digitalizzazione dei processi e la migrazione al cloud – con consulti medici a distanza, cartelle cliniche elettroniche, referti online e l’utilizzo di sistemi di monitoraggio portatili – hanno posto sotto la lente una serie di criticità relative al trattamento dei dati e delle informazioni dei pazienti, alla loro corretta registrazione e conservazione, finalizzate alla messa in sicurezza da accessi illeciti, tentativi di manomissione e furto.
Attualmente è il GDPR – General Data Protection Regulation a disciplinare, nell’Unione Europea, il trattamento dei dati personali e la privacy, con l’obbligo – per imprese, organizzazioni e istituzioni pubbliche e private – del rispetto delle misure previste, tra cui il fato che ogni trattamento dei dati sia da intendersi nel rispetto dei principi di liceità, correttezza e trasparenza nei riguardi dei soggetti interessati e che la loro conservazione sia caratterizzata da tempistiche non superiori a quelle richieste dalle finalità del trattamento stesso.
Tra i punti sul quale il Regolamento europeo insiste, l’adozione di un sistema integrato di gestione dei dati, a sottolineare che la sicurezza è un “sistema” che abbraccia tutti gli attori coinvolti nel processo e che la digital compliance necessita di un approccio unico.
Digital compliance per la digital transformation
Se la sicurezza è un sistema e la digital compliance necessita di un approccio unico, accade, però, che quest’ultima sia talora vista, in azienda, come un ostacolo all’innovazione digitale, capace di rallentarla anziché integrarsi con essa.
Questo fenomeno interessa, in particolare, quelle realtà in cui la digital transformation non va nella direzione di rendere più snelle e più agili anche le operatività che riguardano la conformità alle normative (soprattutto alle loro modifiche e aggiornamenti) e la loro concreta applicazione. Il nodo sta proprio in questo passaggio.
E l’elemento risolutivo, in questo caso, è dato dall’estendere la portata del processo di digitalizzazione a tutti i registri dell’organizzazione e a tutti i livelli aziendali. Ciò che è basilare è creare un equilibrio, trovare il bilanciamento tra “compliance” e “digital”, ossia tra la piena osservazione della disciplina in materia di sicurezza e le tecnologie digitali più evolute: la completa riuscita del percorso che porta alla digital transformation possiede questa base.
Un altro punto fondamentale è riuscire a focalizzare l’attività di compliance sui comparti dell’azienda ritenuti a maggior rischio per la privacy e la sicurezza dei dati. Per farlo, occorrono una puntuale analisi dei rischi e il monitoraggio in tempo reale che, proprio laddove è in atto il processo di digitalizzazione, è possibile effettuare ricorrendo all’adozione di tecniche di intelligenza artificiale, tra cui il machine learning, in grado di automatizzare la raccolta, l’elaborazione e l’analisi di grandi quantità di dati, col fine di identificare (e di fare previsioni in merito) eventi ritenuti sospetti sotto il profilo della security, consentendo, allo stesso tempo, di ridimensionare le tempistiche e la spesa relativa ai controlli e di implementare precisione ed efficacia.
Con questo tipo di operazione siamo nel dominio della attività di GRC – Governance Risk and Compliance, che vedono l’integrazione tra gestione del rischio in azienda e conformità al corpo di regole in materia di protezione e sicurezza dei dati.
A che punto sono le aziende italiane con la privacy compliance?
L’Italia, nel quarto anno di applicazione del GDPR, presenta ancora diverse criticità nel “conformarsi” alle misure previste. In particolare, in un sondaggio a cura dello studio legale DLA Piper – realizzato in collaborazione con Italian Privacy Think Tank (Iptt) e che ha visto la partecipazione di settantacinque aziende provenienti da diversi settori, tra cui IT, banche, servizi finanziari, assicurazioni, media e telecomunicazioni, food & beverage, vendita al dettaglio – il nostro Paese emerge, nell’UE, come quello col numero complessivo più alto di sanzioni per il mancato rispetto del Regolamento.
Tra gli aspetti più contestati alle organizzazioni, dal Garante per la protezione dei dati, quello della mancanza del consenso da parte dei soggetti coinvolti nel trattamento dei dati. E questo in maniera maggiore nell’ambito delle attività di telemarketing, in cui lo studio evidenzia una mancanza di controllo interno da parte delle stesse aziende.
Un altro aspetto è quello relativo alla conservazione dei dati, in merito al quale il Garante è particolarmente attento e severo e sul quale le aziende italiane mostrano ancora incertezza nella concreta applicazione della disciplina.
Ma lo studio rileva anche un altro fenomeno tutto italiano, ovvero il basso numero di data beach notificati al Garante – operazione richiesta, in specifici casi, dalla normativa – nel periodo di tempo compreso tra l’entrata in vigore del GDPR e il 27 gennaio 2021 (3.460 in tutto, contro un numero di notifiche pari a 77.747 in Germania).
Questo quadro significa che – nel momento in cui si verifica un incidente informatico – manca, da parte delle aziende, un suo attento esame e la conseguente valutazione riguardo alla reale necessità di procedere con la notifica. Ipotesi confermata da un dato rilevato dal sondaggio: soltanto il 26% delle aziende italiane intervistate effettua un’analisi approfondita caso per caso, col rischio, dunque, di non conformità agli obblighi che ne derivano, ai sensi della normativa.
