Un tempo materia di pochi gruppi di persone all’interno delle aziende (legali e responsabili IT), la data privacy è ora una problematica che regolarmente i vertici di ogni organizzazione devono affrontare. Ci sono infatti obblighi normativi che impongono la nomina di un DPO (Data Protection Officer) e di fare tutto ciò che è ragionevolmente possibile fare per impedire violazioni e perdite di dati.
Nonostante il tema data privacy sia stato portato all’attenzione dell’opinione pubblica intorno al 2018, il concetto di “diritto alla privacy” è stato formalizzato come diritto umano internazionale nel 1948. Successivamente sono state emanate nei vari Paesi leggi per la protezione dei dati: la prima nazione a farlo è stata la Svezia nel 1973. La crescente preoccupazione dell’opinione pubblica relativamente all’elaborazione e alla conservazione di informazioni personali all’interno di database ha generato poi il primo sforzo tangibile per regolamentare la privacy dei dati.
L’attuale dibattito sulla data privacy nasce quindi da lontano, ma il 2018 è stato l’anno che ha segnato il punto di svolta. Il GDPR (General Data Protection Regulation) è stato uno dei più grandi cambiamenti degli ultimi decenni e il suo impatto è stato significativo. La regolamentazione è estremamente specifica e stringente e gli organismi europei preposti al controllo non hanno paura di applicare sanzioni esemplari. Alcune multe record, come ad esempio quella di 183 milioni di Sterline comminata lo scorso luglio a British Airways nel Regno Unito, sono un promemoria per tutte le aziende e ricordano che, se si trattano dati sensibili dei cittadini, gli errori si pagano a caro prezzo.
Dentro al data center
Al centro del dibatto sul “come” i dati vengono memorizzati e gestiti c’è quella che può essere definita la loro casa, ovvero il data center. Inoltre, molte delle tecnologie su cui le aziende stanno investendo per potenziare i processi di business intelligence, vengono gestite sempre nel data center. A livello globale, le aziende hanno in programma di investire, in media, 41 milioni di dollari nel Cloud Data Management, secondo l’ultimo report Cloud Data Management di Veeam. Questo dato evidenzia che il data center sta rapidamente diventando uno dei più importanti strumenti per le aziende digitali.
Dal punto di vista della sicurezza, il presupposto è che gli attacchi possono arrivare da qualunque parte nel mondo e i dati devono essere conservati in un luogo preciso. In questo senso, l’infrastruttura può essere un obiettivo allettante e, sempre in questo senso, il dover garantire conformità al GDPR ha fatto sì che i vertici aziendali siano oggi molto più consapevoli di come vengono utilizzate le infrastrutture fisiche per sostenere le attività di business.
Lavorando in collaborazione con i fornitori di storage in cloud e i partner che forniscono i servizi di hosting, le aziende effettuano oggi attività regolari di risk assessment e di auditing e sono attentissime a tutti i dettagli dei contratti che sottoscrivono, con particolare riguardo ad elementi come la conservazione dei dati.
La necessità di competenze
Il GDPR riguarda in egual misura persone e standard tecnici. Ha a che fare con diritti fondamentali dei cittadini e con le modalità con cui persone specifiche all’interno delle aziende permettono di rispettarli. Questo è chiaramente evidenziato nell’Articolo 37 del GDPR, che stabilisce che qualsiasi società che controlla e tratta i dati personali su larga scala deve nominare un DPO. I DPO sono diventati molto importanti perché, sebbene l’obbligo di nominarne uno non si applichi a qualsiasi tipo di azienda, spesso viene consigliato di averlo per dimostrare che si stanno mettendo in atto tutte le adeguate misure. Nel 2018, quando il GDPR è stato approvato, si è generata una richiesta di 28.000 figure professionali specifiche in Europa e Stati Uniti, e ancora oggi il DPO è una figura molto richiesta. Studi legali e di consulenza, ad esempio, hanno iniziato a offrire servizi di DPO virtuali per far fronte alla carenza di competenze specifiche.
Colmare questa mancanza di skill richiederà tempo, ma c’è un grande valore nell’iniziare a incoraggiare tutte le persone all’interno delle aziende a capire e applicare i principi fondamentali della privacy dei dati. La posta in gioco, sia da un punto di vista di reputazione aziendale che finanziario, è altissima e la data privacy è sì un tema tecnico, ma anche di business.
Come ogni problema di business, richiede una solida strategia e il giusto approccio IT può essere determinante per abilitare le pratiche di data privacy richieste sia dai consumatori finali che dai legislatori.
L’IT è un’industria di persone
La ricerca Veeam ha evidenziato che ben tre quarti dei decisori IT a livello globale vede nel Cloud Data Management uno strumento per supportare l’implementazione di processi di business più intelligenti. Il Cloud Data Management mette insieme backup, replication e disaster recovery di tutto il patrimonio IT di un’organizzazione e assicura che i dati siano sempre disponibili, ripristinabili e protetti.
Come abbiamo visto per i DPO, anche l’IT è fatto di persone. Le aziende operano in un mondo dove la protezione dei dati è più importante che mai e il management è alla ricerca di partner di fiducia che li aiutino a togliere i rischi dal data center. Questo può comportare la corretta configurazione dei sistemi di data management, l’erogazione di training tecnici per gli amministratori di sistema o la sensibilizzazione di tutti i dipendenti circa il ruolo positivo che possono avere nell’adottare buone pratiche di gestione dei dati.
All’inizio di un nuovo decennio, molte aziende stanno ancora affrontando un percorso di trasformazione nell’approccio strategico al Cloud Data Management. È il momento giusto per fare una riflessione su come utilizziamo e vediamo i dati. A mano a mano che le aziende si adattano ai requisiti GDPR, l’impatto legislativo continuerà a essere significativo. Chi guida le aziende dovrà investire in partner in grado di guidare le persone alla corretta applicazione delle norme, ma anche capaci di creare una vera cultura sulla sicurezza dei dati.