I Sistemi di sostegno alle decisioni (Decision Support Systems, DSS) assistono le organizzazioni nel campo dell’adeguatezza per la protezione dei dati come sistemi esperti su misura, e per centralizzare e documentare le attività di conformità. Tali applicazioni devono essere altamente sicure, e riflettere un approccio olistico e integrato, che preveda il controllo formale normativo ma anche l’aspetto tecnico, diversi livelli di difesa, e la capacità di identificare minacce già in atto e di reagire prontamente in caso di violazione dei dati. Al dato tecnico va affiancato di carattere umano ed organizzativo. Una visione chiara di tutte le implicazioni di carattere tecnico, legale, tattico e strategico è il presupposto per costruire una struttura robusta e resiliente non solo all’esterno, ma anche all’interno dell’organizzazione.
Le organizzazioni devono prendere continuamente decisioni che riguardano la loro conformità alla legislazione in materia di protezione dei dati, e rischiano di commettere errori che possono comportare responsabilità civili, penali e amministrative.
Il panorama formato dall’intersecarsi di norme e principi in campo domestico e internazionale è caratterizzato da una rilevante complessità, e al fine di facilitare il lavoro degli operatori è necessaria un’opera di consolidamento e semplificazione.
Le fonti normative e regolatorie, gli standard e le buone pratiche rispondono infatti a principi condivisi su cui può farsi leva per conseguire un approccio robusto e integrato.
Tale approccio può essere usato per la costruzione di applicazioni esperte che sostengano e documentino le decisioni, e semplifichino la dimostrazione della diligenza e responsabilità delle organizzazioni sul fronte della adeguatezza normativa, tecnica ed organizzativa.
Esploriamo le soluzioni in campo per ridurre i rischi legali e finanziari e per dimostrare adeguatezza e conformità, anche in presenza di trasferimenti di dati verso paesi esteri.
Fonti normative e principi
Il GDPR
Sono ormai tre anni che è entrato in vigore il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, GDPR).
Il GDPR è un quadro giuridico che stabilisce le regole per la raccolta e il trattamento delle informazioni personali delle persone fisiche all’interno dell’Unione Europea (UE), e stabilisce i principi per la gestione dei dati e i diritti dell’individuo, imponendo anche sanzioni che possono essere basate sulle entrate. Il GDPR è entrato in vigore in tutta l’UE il 25 maggio 2018.
Il GDPR si applica ai dati personali quali qualsiasi informazione relativa a una persona fisica identificata o identificabile. Le organizzazioni devono rendersi adeguate al GDPR, facendo quanto necessario per soddisfare i requisiti legali e contrattuali che pone, e seguendo da vicino come si evolverà l’interpretazione del GDPR per apportare le modifiche ritenute necessarie.
IL GDPR costituisce un caposaldo per la tutela delle persone, ma anche un buon punto di riferimento per la protezione di tutti i dati di valore all’interno di un’organizzazione; sicuramente il GDPR ha influenzato molte legislazioni nel mondo, contribuendo a superare un approccio frammentato ed inutilmente complicato ai problemi sollevati dalla tutela delle persone con riguardo al trattamento dei loro dati, ed affermando alcuni principi condivisi.
La Convenzione del Consiglio d’Europa n.108 del 1981
Il GDPR fornisce infatti il massimo livello di protezione del diritto alla protezione dei dati, che è uno dei diritti e delle libertà fondamentali di un individuo, ed è anche uno standard di riferimento per gli altri Stati del mondo in termini di legislazione sulla protezione dei dati; ma un altro testo internazionale che ha avuto un ruolo simile al GDPR per molto tempo in termini di armonizzazione dei diversi ordinamenti giuridici è la Convenzione del Consiglio d’Europa n. 108 del 1981 sulla protezione delle persone rispetto al trattamento automatico dei dati personali, con il suo protocollo aggiuntivo.
La Convenzione, che è stata modernizzata in linea con il GDPR, è stata aperta alla firma degli Stati dal 2018 con il nome 108+. Ad oggi, 55 paesi sono parte della Convenzione n. 108, mentre 38 paesi hanno già firmato la 108+.
Questi principi devono essere tenuti presenti dalle organizzazioni, che devono affrontare decisioni difficili sulla conformità e la protezione dei dati rispetto a molteplici parametri legali e normativi.
La creazione di un nuovo sistema di videosorveglianza, il rafforzamento della sicurezza dei sistemi informatici, la giusta preparazione in vista di una possibile violazione dei dati da parte di operatori interni o esterni all’organizzazione sono tutti esempi di decisioni di questo tipo.
Normative domestiche e internazionali
Sebbene internet sia globale e molte fonti normative, buone pratiche e standard abbiano una dimensione sovranazionale, occorre infine tener conto, con riferimento a molti trattamenti, e specialmente quelli che hanno a che fare con la salute e la tutela dei lavoratori, delle normative domestiche che possono contenere prescrizioni precise e puntuali in materia.
Tutto questo complesso di norme legali e di esperienza, comprese quelle relative all’adeguatezza tecnica ed organizzativa, attraverso il richiamo contenuto nell’art. 32 del GDPR e dell’art. 7 della 108+, contribuiscono a formare il contenuto concreto degli obblighi di ciascuna organizzazione in questa materia, sotto il profilo della diligenza richiesta per il trattamento dei dati personali, che può essere usata anche per gli altri dati riservati e di valore per l’organizzazione.
In definitiva dunque si possono trarre alcune indicazioni:
- Internet è transfrontaliera, quindi i requisiti legali e normativi delle leggi sulla privacy possono essere diversi e sorgono problemi di territorialità secondo le leggi applicabili. Alcuni strumenti giuridici, ad esempio il GDPR e la Convenzione 108+, possono essere utilizzati, anche su base volontaria, come un punto di riferimento affidabile su cui fare affidamento; ma le fonti legali meno note, come ad esempio la nLPD in Svizzera, possono essere considerate strumenti utili, in quanto sono ritenute adeguate dalle istituzioni dell’UE e forniscono un quadro nuovo e più agile.
- Gli standard relativi alle migliori pratiche di sicurezza sono emessi da una serie di fonti, quindi è opportuno allestire strumenti che consentano un approccio integrato.
Stato dell’arte e strumenti: i Sistemi di sostegno alle decisioni
Il lavoro che gli operatori del settore sono chiamati a svolgere è gravoso ed importante: essi, infatti, sono chiamati a semplificare un quadro normativo complesso, padroneggiando aspetti interdisciplinari che investono sia problemi tecnici che legali.
Considerato che il trattamento dei dati effettuato mediante strumenti digitali è generalizzato nelle organizzazioni, e che moltissime persone sono interessate dagli aspetti di sicurezza e adeguatezza delle azioni che sono chiamate a compiere ogni giorno, un aspetto fondamentale è di mediare culturalmente, e formare tutte queste persone, che non si occupano primariamente di questi temi ma rivestono funzioni diverse nel campo amministrativo e attuativo.
Gli strumenti di cui è possibile servirsi per assolvere a tali compiti sono diversi, e di diverso grado di complessità ed integrazione: possono essere usati documenti di testo e fogli di calcolo, ma anche applicazioni web nelle quali è possibile inserire i dati relativi a una data organizzazione.
Altre applicazioni comprendono i Sistemi di sostegno alle decisioni (Decision Support Systems, DSS), che sono sistemi esperti che aiutano gli operatori a ottenere un migliore processo decisionale.
Tali sistemi offrono funzionalità, interfacce, implementazioni che usano diversi metodi, compresi quelli della teoria della decisione, del lavoro cooperativo supportato dal computer, della gestione delle banche dati, della scienza della gestione, della modellazione matematica, della gestione delle operazioni, della scienza cognitiva, della gestione dell’interfaccia utente.
Le caratteristiche degli strumenti da mettere a disposizione degli operatori sono:
- la soluzione deve essere tecnicamente sicura, perché la dimostrazione e documentazione dell’adeguatezza dell’organizzazione richiedono l’inserimento e la conservazione di informazioni preziose sulla postura di sicurezza di un’organizzazione.
- la soluzione deve assicurare la trasparenza dei collegamenti logici, per minimizzare il rischio di errori e di mancato allineamento dei vari aspetti che interessano ciascun trattamento, sotto i molteplici profili che lo connotano (adeguatezza tecnica, organizzativa, responsabilità, trasferimenti di dati all’estero, etc.).
- la soluzione deve migliorare la fiducia e credibilità dell’organizzazione, consentendo di dimostrare la sua attività di perpetuo miglioramento rispetto ai più conosciuti standard tecnici e normativi.
Sistemi di sostegno alle decisioni: le applicazioni pratiche
Soluzioni progettate in modo da presentare le caratteristiche elencate nel paragrafo precedente possono essere usate per assistere la consulenza nel campo della protezione dei dati e della conformità. Gli obiettivi da raggiungere sono i seguenti:
- Le applicazioni di gestione della conformità forniscono una piattaforma centralizzata per tenere traccia dei cambiamenti e dei requisiti di sicurezza e legali, organizzare la documentazione e gestire i processi, con capacità di monitoraggio dello stato di conformità in tempo reale con riferimento ai parametri legali e normativi applicabili. Tali applicazioni possono far leva su un ampio database di conformità, con valutazione del rischio, procedure di monitoraggio e revisioni che includono le procedure di revisione normativa.
- La conformità agli standard può essere valutata in modo da documentare le tendenze di miglioramento nel tempo rispetto agli standard di sicurezza più diffusi.
- Anche gli aspetti tecnici sono minutamente valutati, come ad esempio i flussi di dati, i controlli di sicurezza contro i malware, i sistemi di crittografia applicati alla posta elettronica ed ai sistemi di condivisione dei file, l’analisi dei rischi delle reti, degli apparati fissi e mobili, i rischi legati ai terzi responsabili dei trattamenti ed ai dispositivi di sicurezza fisica, il monitoraggio della superficie di attacco.
- La salvaguardia dei diritti degli interessati, siano essi collaboratori, utenti o altri soggetti, è monitorata da apposite procedure che consentono di gestire processi particolari come quelli legati alle violazioni dei dati, compresa la notificazione dell’incidente e la sua eventuale comunicazione, e di generare le politiche e le informative necessarie.
- Le applicazioni permettono di visualizzare e documentare in maniera interattiva la situazione di adeguatezza rispetto al GDPR e ad altre fonti normative, con funzioni di inventario, anagrafica, registro dei trattamenti, check list di sicurezza, matrici di decisione e risposta a violazioni di dati, con un approccio omnicomprensivo ma non invasivo.
- Le applicazioni consentono di avere un quadro completo della situazione sul web, “illuminando” la superficie di attacco, esaminando in profondità risorse importanti o critiche, indagando la conformità normativa di siti web, policy e procedure, andando alla ricerca di segni, anche indiretti, di attacchi in corso o interesse da parte di malintenzionati.
L’approccio interdisciplinare dei Sistemi di sostegno alle decisioni consente loro di fare da interfaccia tra dimensione tecnica, normativa e manageriale, mettendo a disposizione i contenuti in una forma fruibile anche ai non tecnici e immediatamente azionabile; in questo modo i DSS possono fungere anche da prezioso sussidio per la formazione del personale.
La formazione può infatti essere integrata con la vita lavorativa e con la pratica, senza essere vissuta come un inutile adempimento formale. Per questo la formazione può essere erogata usando i DSS in maniera condivisa, favorendo una interazione diretta tra consulenti e personale (mentoring). Grazie ai DSS la formazione diviene una esperienza continua, fruibile anche in remoto.