Il potere della tecnologia affascina e seduce per la quantità di nuove funzionalità che mette nelle mani di tutti, basta pensare a come i telefoni con la cornetta sono diventati senza fili e evolvendo addirittura in strumenti più potenti di alcuni computer. Fino a 30 anni fa era una cosa difficile da immaginare, tuttavia nel tempo abbiamo assistito a una concreta evoluzione tecnologica che ha portato molte comodità nella vita delle persone.
Questa evoluzione ha però mantenuto a compartimenti stagni i settori di riferimento ovvero ci sono stati sviluppi verticali nella telefonia, nella televisione, nel gaming, negli elaboratori, e in molti altri. Da alcuni anni però sono entrati in gioco dei nuovi elementi nel panorama tecnologico a nostra disposizione: reti a banda larga, smart-device, social network, cloud, ecc. Tutti questi elementi hanno dato il via al nuovo processo di trasformazione digitale perché hanno permesso a quei settori compartimentati di comunicare tra di loro, complicando non poco le relazioni tra di essi e i nuovi flussi di dati. Questa trasformazione inoltre ha di fatto creato un vero e proprio ecosistema digitale caratterizzato soprattutto dalla dematerializzazione del dato, concetto che ha introdotto un significativo impatto in termini di gestione dei dati, sicurezza, e legislazione.
Consapevoli delle difficoltà e della confusione che questo ecosistema digitale ha portato con sé, una commissione composta dai migliori esperti giuristi e informatici d’Europa ha voluto aiutare i cittadini e le imprese europee nella tutela e nella gestione dei dati personali, introducendo nel 2016 il “Regolamento Generale sulla Protezione dei Dati Personali e la loro libera circolazione” meglio noto come GDPR. Purtroppo il Regolamento viene visto ancora oggi come un mero adempimento burocratico, ignorando quanto possa essere di aiuto per le aziende in questa era di trasformazione digitale. Una cosa molto utile invece è guardare al GDPR come una guida, perché traccia il percorso da seguire in maniera puntuale delineando i requisiti da rispettare, pur garantendo alle imprese un’ampia autonomia e libertà di manovra nel rispetto delle normative e nell’utilizzo degli strumenti tecnologici.
L’adozione di nuovi strumenti e nuove tecnologie in un’azienda ha indubbiamente un impatto sull’infrastruttura esistente, ecco perché è consigliabile valutare attentamente la corretta configurazione e la solidità delle infrastrutture prima di procedere. Ad esempio se un’azienda che poggia la sua infrastruttura in ambiente Windows e vuole migliorare le policy di business continuity o smart working potrebbe scegliere di sfruttare le funzionalità cloud di Microsoft, ma prima di procedere è indispensabile analizzare e valutare l’efficienza di Active Directory affinché eventuali errori di configurazione o problemi di sicurezza non vengano riportati anche nel cloud.
L’esempio appena descritto è da considerarsi un processo di valutazione e miglioramento in un progetto che implica un trattamento di dati personali, rispettando correttamente il principio di privacy by default/by design del GDPR. Altri progetti che invece includono il trattamento di dati personali in un contesto o con finalità differenti, tali da rappresentare un elevato rischio per i diritti e le libertà delle persone, sono soggetti a una valutazione di impatto (DPIA) prima di essere convalidati. Una situazione ricorrente che richiede una DPIA per esempio è l’adozione di sistemi di videosorveglianza.
Ovviamente in questa sede non si vuole imporre un’idea, ma porre una riflessione su un tema di estrema attualità. È sufficiente pensare alla foga con cui molte imprese hanno acquistato notebook e stampanti per consentire ai dipendenti di lavorare da casa durante la quarantena, dimostrando una certa fragilità organizzativa. Altre aziende più virtuose che da tempo avevano adottato politiche di continuità operativa e trasformazione tecnologica, hanno evitato molti ostacoli dovuti alle limitazioni imposte dalla pandemia, progetti prima pensati e poi implementati (Privacy by Design – GDPR). È giusto precisare che un progetto di rinnovamento sul fronte tecnologico non è così banale, non richiede soltanto un investimento economico ma una consapevolezza dell’importanza della sicurezza dei dati personali e delle informazioni, oltre che il coinvolgimento di personale qualificato che sappia sfruttare al meglio le tecnologie e conosca in maniera approfondita le normative in materia di sicurezza e protezione dei dati.
Non esiste vento favorevole per il marinaio che non sa dove andare. Seneca
Enrico Munaro
Polimatica Progetti S.r.l. – Progetto Priv@cy
Delegato Federprivacy Verona