Il processo del cambiamento è oramai quasi automatico e soprattutto negli ultimissimi anni, complici anche diversi fenomeni esterni, come ad esempio la pandemia, le crisi mondiali, la guerra, ma anche Il fenomeno della trasformazione digitale, il cambiamento ha subito un’accelerazione impressionante. Si tratta di un processo che coinvolge aspetti materiali, pratici ed organizzativi delle aziende: Ma oltre a questi aspetti aziendali, il cambiamento e l’evoluzione soprattutto dovuto alla tecnologia sta portando le persone ad utilizzare dei nuovi termini come: Machine Learning, Cloud Technology, Internet of Things, Artificial Intelligence, Big Data che portano anche nuovi modello di business e nuovi approcci al lavoro.
I profondi mutamenti della società dovuti all’evoluzione tecnologica e ai nuovi contesti sociali che si stanno creando negli ultimi anni si riflettono anche all’interno delle aziende e si vede nel profondo mutamento delle modalità di interazione tra le persone, che si dirige sempre di più verso lo smart system, un sistema in cui, nelle abitudini di vita e di consumo, i confini tra fisico e virtuale sono sempre meno evidenti e tutto diventa molto “fluido”.
Questo processo si sta sviluppando nelle aziende che (spesso) senza accorgersene stanno seguendo il percorso della Digital Transformation.
In tale contesto, la corretta applicazione della normativa di Privacy/Data Protection e Cybersecurity costituisce un pilastro fodamentale per la corretta impostazione e protezione del sistema nel suo complesso.
È noto a tutti che il mancato rispetto del Regolamento 679/2016 (“GDPR”) da parte delle aziende comporta elevati rischi non soltanto in termini di sanzioni da parte dell’Autorità Garante della Privacy (fino a 20milioni di euro o al 4% del fatturato), ma anche in termini di inutilizzabilità del database, di danno reputazionale, di calo dei profitti e di perdita di quote di mercato.
Inoltre la normativa in materia di cybersecurity ha avuto importanti sviluppi soprattutto nell’ultimo biennio, definendo precisi requisiti per determinate categorie di fornitori e di sistemi tecnologici, al fine di offrire alle aziende concrete garanzie di protezione dei dati sulla base dei principi fondamentali di riservatezza, integrità e disponibilità dei dati aziendali.
Ma si tratta di una corsa contro il tempo perché l’utilizzo degli strumenti tecnologicamente avanzati è uno stimolo costante e fornisce molto spesso forti impulsi al business, ma se questi strumenti non vengono inseriti in azienda seguendo i principi base, le linee guida e le metodologie per la gestione della sicurezza delle infrastrutture e dei dati, si rischia veramente di aprire porte e portoni a soggetti poco raccomandabili che non aspettano altro che il nostro pronto impiego dell’ultimo ritrovato della tecnologia.
Ecco perché è stato siglato di recente un accordo di collaborazione tra dell’Autorità Garante della Privacy e l’Agenzia per la Cyber sicurezza Nazionale, con lo scopo di avere un interscambio tra queste organizzazioni in termini di idee, esperienze, dati sulle problematiche legate al mondo della sicurezza delle informazioni da divulgare alle organizzazioni pubbliche e private che devono imparare a seguire i modelli suggeriti.
L’adozione di un corretto modello di protezione dei dati personali e di cybersecurity è di importanza fondamentale non soltanto per la compliance normativa ma per la continuità operativa delle Aziende e per consentire un processo di trasformazione digitale che non si traduca in un “Cavallo di Troia” ma in un vantaggio competitivo.
Questo comporta la valutazione dei processi aziendali e la progettazione delle politiche di trattamento dei dati secondo i principi di privacy by design e by default, la mappatura dei flussi informativi all’interno dell’azienda e all’esterno, la conseguente valutazione del livello di sicurezza dell’infrastruttura ICT, la verifica del livello di sicurezza dei fornitori, l’analisi del rischio dei trattamenti per definire l’impatto sui diritti degli interessati, la conseguente adozione di opportune misure di sicurezza secondo standard internazionali, la definizione di modelli organizzativi privacy, la costante e periodica attività di audit interna ed esterna per mantenere il livello di compliance e non ultimo la formazione degli utenti che devono sempre di più essere aggiornati sulle minacce che il mondo della rete comporta.
Insomma si deve procedere con un approccio organico e non solo andando a sostituire pezzi di tecnologia, altrimenti il risultato che si raggiunge sarà sicuramente molto più basso di quello atteso, se non addirittura negativo.