Intervistiamo José Alberto Rodríguez Ruiz, Data Protection Officer di Cornerstone OnDemand, che ci parla di security, privacy e compliance, il tutto in ottica GDPR.
– La privacy è uno degli elementi fondamentali per garantire l’operatività delle aziende moderne, la GDPR interviene certamente in questo senso. Quale tasso di comprensione del Regolamento avete registrato presso clienti e realtà professionali?
La consapevolezza delle nuove regole sta crescendo rapidamente e questa è una nota sicuramente positiva. È importante, però, sottolineare che le leggi sulla privacy non sono una novità per l’Europa. La prima legge è stata approvata in Germania (in particolare nello stato dell’Hessen) nel 1970. L’attuale direttiva europea è stata approvata nel 1995 e i suoi principi e requisiti sono molto simili. In questo periodo, molte organizzazioni stanno familiarizzando con la GDPR assimilandone la normativa e incorporandola nei processi aziendali mentre continuano, allo stesso tempo, ad applicare la precedente giurisprudenza.
D’altro canto, la GDPR è scaturita da legislazioni precedenti e non bisogna trascurarne nessun dettaglio. La direttiva UE del 1995 conta 72 motivi, 23 articoli e circa 12.000 parole. La GDPR ha, invece, 173 motivi e 99 articoli per un totale di circa 55.000 parole, il che equivale al quadruplo in termini di dimensioni. Per questo è difficile esprimere una valutazione precisa, ma direi che il livello di conoscenza generale è abbastanza alto, probabilmente intorno all’80%, mentre la conoscenza approfondita è certamente inferiore, intorno al 20%. Ci vorrà del tempo per analizzare, comprendere a fondo e implementare tutte le implicazioni della GDPR. Personalmente, sto lavorando a una tesi sulla compliance del machine learning con la GDPR e a volte ho la sensazione che più approfondisco più problematiche mi si presentano.
– Secondo la Vs. opinione, quali saranno gli aspetti più critici da interpretare e mettere in atto per le aziende?
In termini di interpretazione, sicuramente tutto ciò che è collegato ai processi decisionali automatizzati, al machine learning e ai big data. Ciò non significa necessariamente che la GDPR rappresenterà un ostacolo, ad esempio, alla ricerca sui big data. Semplicemente imporrà degli standard precisi e rigorosi sulle corrette modalità secondo cui le ricerche sui big data dovranno essere condotte d’ora in avanti.
In termini di implementazione, il rilascio del consenso per il trattamento dei dati sarà probabilmente l’aspetto più complesso da implementare. Le condizioni relative al rilascio del consenso previste dalla nuova normativa sono molto più rigorose e sarà necessario adottare una chiara separazione tra il trattamento dei dati basato sul consenso e il trattamento che non lo richiede affatto.
– GDPR, quali consigli vi sentireste di dare alle aziende per non farsi trovare impreparate?
Bisogna essere onesti su questo punto. Le organizzazioni che in questo momento non sono ancora pronte per conformarsi alla GDPR, difficilmente saranno pienamente pronte a integrare la nuova normativa tra soli due mesi. Tuttavia, per quanto non sia possibile costruire l’intero edificio partendo adesso, è possibile almeno gettare delle solide fondamenta. Le aziende che sono in ritardo devono innanzitutto allestire una cartografia dei dati, dei sistemi e dei processi e documentare il tutto nel registro dei trattamenti. Per questo, prima di ogni altra cosa, è necessario individuare un responsabile delle iniziative legate alla privacy, idealmente un Data Protection Officer. Quindi, si passerà a identificare i punti deboli e le lacune su cui è più urgente intervenire in modo da definire un piano d’azione per gli interventi futuri. A questo punto, occorrerà individuare un processo per la gestione delle richieste da parte sia degli utenti sia delle autorità. Dopo il 25 maggio, si proseguirà col piano d’azione il più velocemente possibile, dando la precedenza alle attività e ai processi più critici (ossia quelli a più alto rischio).
– La GDPR comporterà massicci cambiamenti nella gestione dei dati da parte delle aziende di mondo e potrà rappresenta una risposta positiva agli attacchi, oggi sempre più diffusi. Quale impatto avrà secondo la Vs. visione? Quali i benefici nel medio periodo?
Credo che ci saranno essenzialmente due importanti tipologie di impatto sulle aziende: da un lato, aumenterà la sicurezza e, dall’altro, diminuirà la quantità di dati processati. Avremo perciò meno dati, ma anche una minore quantità di informazioni non rilevanti e, di conseguenza, dati migliori da un punto di vista qualitativo. Questo si tradurrà in una diminuzione del numero degli attacchi e delle fughe di dati e in una più rapida ed efficiente gestione degli stessi. Del resto, ci stiamo muovendo verso un mondo destinato a essere sempre più governato dai dati e in cui la qualità del dato diverrà progressivamente più importante della quantità. Meno dati renderanno possibili processi decisionali più veloci e accurati, in virtù dei requisiti di trasparenza che la GDPR vuole garantire e dei timori verso la “scatola nera” degli algoritmi.
Inoltre, il pubblico acquisirà sempre più consapevolezza relativamente all’importanza dei dati e sarà più sensibile alle modalità di processazione e alle motivazioni per cui queste informazioni verranno utilizzate. Spero che tutto questo ci permetterà, come collettività, di trovare il giusto equilibrio tra le promesse e i rischi di un trattamento su larga scala dei dati.