Protezione dati personali e sicurezza delle informazioni: sistemi di gestione e compliance come leva di crescita aziendale

LexBlast – IP & It Attorneys

Salvatore Familiari

La disciplina dei dati personali, il noto GDPR 679/2016, ed in generali la sicurezza delle informazioni (ad esempio sistemi di gestione ISO 27001), vengono spesso considerati dalle imprese come un costo e non come un investimento, tuttavia a parere di chi scrive questo è un approccio sbagliato per i motivi che si evidenzieranno svolta un preliminare premessa sui concetti appena introdotti.

Premessa preliminare. Per chi non fosse avvezzo a questi concetti si può brevemente affermare senza dubbio alcuno che il Regolamento sulla protezione dei dati personali ha profondamente innovato la materia sotto diversi punti di vista, tra i quali è opportuno evidenziare che ha imposto la creazione di un sistema di gestione dei dati personali, cioè ad oggi la conformità alla norma impone l’adozione di politiche, procedure, registri, analisi risk based […], audit interni, misure di sicurezza organizzative e tecniche. Quanto invece al sistema ISO 27001 (International Standard Organization) si può dire che siamo in tema di norma volontaria che mette a disposizione uno degli standard di maggior successo in materia di sicurezza delle informazioni, anche questo come il GDPR, anzi dal punto di vista cronologico prima di questo, è un sistema di gestione dei dati aziendali (quindi a tutto tondo e non solo con riferimento a quelli personali), impone l’adozione di politiche, procedure, registri, analisi risk based […], audit interni, misure di sicurezza organizzative e tecniche.

Premesso quanto sopra e tralasciando un attimo l’obbligo di legge in sé, è importante evidenziare come detto che se da una parte è vero applicare la disciplina in materia di protezione dei dati personali e le best practice in materia di sicurezza richiede spese ed impegno da parte delle aziende, dall’altra parte chi si adegua e investe però acquisisce un vantaggio competitivo rispetto a chi non vi si adegua.

In maniera tangibile la crescita delle aziende che investono riguarda diversi aspetti, tra i vari l’arricchimento della cultura aziendale comporta una maggiore serenità del personale, difatti proviamo a porci la domanda dove è preferibile lavorare, in una azienda organizzata con regole chiare oppure in una azienda in cui le regole non ci sono oppure non sono chiare?  Adottare un sistema di gestione è un processo che seppur complesso indirizza l’organizzazione verso una metodologia, un approccio, una forma mentis. Il miglioramento continuo, l’analisi dei rischi non solo garantiscono i clienti ma consentono di mettere le basi per avere personale motivato, formato e invogliato a “rimanere in azienda”.  La presenza di politiche di comportamento, di procedure per la gestione, consente di avere un quadro chiaro di cosa l’azienda si aspetta dal dipendente e di cosa farà l’azienda per questo.

Altri benefici. Un maggior controllo degli amministratori nell’attività quotidiana dell’impresa, ossia un abbassamento o quantomeno un controllo del rischio d’impresa eseguito in maniera strutturata. Questo grazie alla logica della verifica interna, processo attraverso il quale ogni azienda verifica internamente il proprio funzionamento in relazione agli obbiettivi e verifica le eventuali “discordanze” da proprie regole o dalla corretta applicazione di una legge come ad esempio il GDPR, ciò consente, quindi, all’Amministratore di avere un quadro chiaro ed aggiornato di come l’azienda  “risponde” al contesto in cui si trova ad operare, ad un cambio della legge, oppure all’introduzione di un nuovo cliente con nuove esigenze o anche semplicemente verificare se le regole stabilite sono adeguate ai cambiamenti interni occorsi durante la normale vita aziendale, difatti ricordiamoci che l’azienda è una entità  dinamica, migliora se ben gestita ma può anche peggiorare se non correttamente monitorata.

Infine, un altro vantaggio cui si è fatto cenno è l’apertura di reti commerciali altrimenti precluse e/o l’attrazione di investitori.

Ma in che modo la compliance in materia di dati personali e sicurezza delle informazioni può aprire nuove porte? (Di seguito, quindi, ci si riferirà a questi due sistemi di gestione con diversi punti in comune).

La compliance è costosa, è inutile negarlo, infatti è sostenuta da aziende che stanno – o si sono – già evolute e pertanto riguarda realtà aziendali strutturate, complesse, che sono in grado di gestire molti processi, anche complicati, spesso a livello internazionale, e soprattutto, generare fatturati importanti.

Come detto sopra avere un sistema di compliance permette di accedere a reti commerciali interessanti, questo perché i sistemi di gestione una volta adottati dalle aziende impone a loro stesse di verificare e confrontarsi solo con aziende che a loro volta ne hanno uno, per questo spesso alcune risultano essere “inavvicinabili” da parte di molte aziende che ne sono sprovviste, la motivazione spesso non è compresa ma è questa, ossia non è una scarsa capacità commerciale ma la mancanza dei requisiti strutturali per contrattare con queste.

Ad esempio un’azienda che adotta un sistema di sicurezza delle informazioni ISO 27001 avrà adottato anche una politica fornitori che gli impone di verificare la presenza nei propri fornitori se non per forza della stessa certificazione ma di molti aspetti derivati da questa sicuramente sì.

Stesso discorso vale per aspetti prettamente di protezione dati personali, un’azienda, attenta a questi aspetti avrà una politica utile a rispettare il generale obbligo di accountability previsto dal GDPR (ossia un documento scritto che fissi scopi e requisiti di selezione) e pertanto l’incapacità del fornitore di presentare della documentazione – e non smetteremo mai di sottolineare documentazione – in grado di dimostrare la propria conformità alla norma ne limita fortemente la capacità competitiva ed espansiva nei confronti dei clienti di maggior livello, anche rispetto a competitor che invece hanno deciso di sostenere tali investimenti.

Altra ipotesi è quella dell’arrivo di investitori o partner, in questo contesto è evidente che avere un sistema di gestione attraverso il quale rendere evidente ed in modo strutturato, usando nei fatti un “linguaggio” comune, il funzionamento, pregi e aree di miglioramento dell’azienda sia un aspetto di potenziale crescita, anche per aggregazione, non indifferente e assolutamente non secondario.

Premesso quanto sopra, ora molti si porranno la domanda di come intraprendere questo processo di crescita, risposta non facile ma che si proverà a fornire a grandi linee.

In primo luogo bisogna verificare quali sono gli aspetti di conformità prioritari per far crescere la propria  azienda, in altre parole se si sviluppano e vendono software e/o relativa assistenza, oppure piattaforme SaaS, sicuramente investire in GDPR e sistemi di sicurezza delle informazioni (ad esempio ISO 27001) è un utilissimo volano di crescita, ad esempio se un’azienda si dedica al settore delle costruzioni e non ha ancora in piedi nessun modello organizzativo è consigliabile concentrarsi in primis su di un sistema di gestione per la prevenzione dei reati di cui al  D Lgs. 231/01 (che tra l’latro prevede la prevenzione da delitti informatici).

Certificazioni. Una volta identificato il sistema più utile da adottare bisogna verificare la presenza di una certificazione e l’opportunità di conseguirla o meno, difatti in alcuni casi può essere utile “solo” adottare un sistema senza farlo certificare da soggetti terzi (ad esempio in molti rapporti tra aziende private o perché non esiste una certificazione ancora riconosciuta dal mercato), mentre in altri è consigliabile ottenerla, magari delle gare a filiere integrate o nei confronti della PA (vedi il tema del cloud).

In ogni caso si può cominciare adottandolo determinati schemi e successivamente intraprendere l’iter di certificazione, questo accade ad esempio quando si riesce ad entrare all’interno delle reti commerciali che verificano queste procedure e la presenza di una certificazione ne velocizza i processi.

Quanto alle scelte dell’ente dipende dalla capacità di spesa e dall’ambiente in cui usarla, ovviamente ottenere certificazioni dagli enti internazionali maggiormente riconosciuti è sicuramente un’ottima idea, è pur vero che questi enti costano. Un’opzione anche qui può essere quello di cominciare con un ente più abbordabile e una volta verificata l’utilità della certificazione eseguire un upgrade da un ente meno conosciuto a uno più noto.

Ma quindi c’è differenza tra un ente di certificazione ed un altro? Si, il mercato recepisce in maniera differente i diversi enti.

Ufficio interno o esterno? Non è necessario mettere in piedi un ufficio di conformità interno ma è possibile affidarsi a consulenti che d’intesa con selezionate figure intere all’impresa adotteranno gli accorgimenti necessari per implementare il sistema.

Altre considerazioni. Altra considerazione da svolgere è quella che l’adozione del primo sistema di gestione è il primo passo, forse il più difficile, ma che permette più di tutto il salto di qualità nella mentalità aziendale, difatti non è infrequente, anzi è la normalità, una volta che una azienda ha ben gestito questo primo impatto poi prosegue nella crescita del proprio sistema, aggiungendone altri pezzi, ad esempio chi fornisce servizi cloud e ha certificato la sicurezza secondo la 27001 successivamente decide giustamente di aggiungere 21017-18 riferite proprio ai servizi cloud e così via.

Conclusioni e aspetti prettamente legali. L’adozione dei sistemi di gestione strutturati, infine, sono un ottimo strumento di prevenzione dei rischi legali e mitigazione di responsabilità degli enti e dei loro amministratori nei confronti delle autorità, dei partner commerciali, fornitori ed infine dei clienti non solo con la 231 ma anche con i sistemi privacy e sicurezza delle informazioni di cui si è brevemente parlato in questo articolo.*