Fai Ordine!
Non stiamo parlando di quello che più o meno tutti abbiamo invocato (o invocheremo), di solito invano, all'indirizzo di figli adolescenti, normalmente poco ricettivi su questi temi.
Come sappiamo, tra meno di un'anno saremo tutti chiamati a gestire i nostri dati presenti in azienda attraverso processi chiari e sotto controllo.
La nuova norma è infatti (stranamente!) molto pragmatica ed è incentrata sui risultati.
Un ottimo approccio, che lascia poco spazio per gli alibi e i "pezzi di carta". Quindi un'ottima occasione da non lasciarsi sfuggire per mettere un po' d'ordine dove di solito non se ne trova tanto.
Già, ma dove partire ?
Processi che funzionano
Un buon punto di partenza è senza dubbio l'elenco di tutti i processi in cui sono coinvolti dati personali dei nostri clienti. E' essenziale che nella descrizione di ogni processo sia chiaramente indicato:
- la provenienza dei dati utilizzati
- gli scopi
- se il processo è di natura completamente automatica (profilazione)
- tutti i responsabili che hanno accesso a tali dati
E già siamo, come si dice, un pezzo in là.
La provenienza, ovvero la raccolta dei dati, è ovviamente uno dei punti fondamentali, attorno a cui ruotano le regole con cui costruire una buona informativa (che, a differenza di come è di solito concepita adesso, dovrà essere: concisa, trasparente e intelleggibile). Ma di questo ne parleremo in un prossimo articolo, insieme con la necessità di indicare una data di scadenza oltre la quale il dato raccolto sarà inutilizzabile.
In questo caso, concentrandoci sul processo, dobbiamo focalizzare la nostra attenzione nel predisporre i meccanismi che ci permettono di fornire una giustificazione documentata sulla provenienza dei dati:
- quando e in che modo li abbiamo raccolti;
- cosa è stato comunicato al cliente nel momento della raccolta.
Tutto questo per poter garantire che gli scopi del processo siano coerenti con quelli associati alla provenienza dei dati.
La natura automatica di un processo va ad influire solamente sul modo con cui sono tenuto a raccogliere i dati che utilizzo e sulla loro naturale scadenza.
In ultimo l'importante novità dell'Accountability. Se si dovesse rilevare un problema in un punto del processo, devo poter indicare con precisione la persona responsabile di quello specifico punto. Dato che, semplificando un po', si può sempre dire che chiunque abbia fisicamente accesso ai dati, ne è in un certa misura corresponsabile, in questo caso la linea guida da seguire è quella del principio di necessità. Devono poter accedere ai dati solamente le persone che ne hanno effettiva necessità per poter svolgere il loro specifico compito.
Un'approccio che si sposa perfettamente con i principi più elementari della sicurezza informatica: "se non mi serve, non devo poterci accedere".
Questo metodo limita moltissimo l'entità di un potenziale danno dovuto ad un errore o ad una violazione dei sistemi di sicurezza che, lo ricordiamo, d'ora in avanti avrà un'immediato impatto di immagine, dato che c'è l'obbligo di notifica di un evento del genere, verso le autorità e, soprattutto, verso tutti i clienti potenzialmente coinvolti.