Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SOLUZIONI PRIVACY

L’accountability in azienda, responsabilizzare chi tratta i dati personali: consigli pratici

Oltre ad obbligare le aziende a dare prova che il trattamento dei dati personali sia avvenuto in modo conforme al GDPR, l’adozione del principio di accountability in azienda risponde anche all’esigenza di introdurre logiche e meccanismi di maggiore responsabilizzazione tra gli utenti aziendali in merito alla protezione dei dati stessi. Ecco alcuni consigli pratici per una efficace compliance normativa

23 Ott 2019
M
Giuliano Mandotti

GDPR Specialist & Software Engineer


Con il nuovo regolamento GDPR le aziende sono chiamate a dare prova che il trattamento dei dati personali sia avvenuto in modo conforme alla normativa e di aver adottato tutte quelle misure necessarie a ridurre i rischi legati all’utilizzo dei dati stessi, in ottemperanza al nuovissimo principio accolto dal legislatore: l’accountability.

Il termine accountability non è direttamente traducibile in italiano nel semplice termine di rendicontazione. Esso in realtà contiene almeno due componenti fondamentali: il primo è certamente quello di dar conto all’esterno in modo esaustivo e comprensibile del corretto utilizzo delle risorse e della produzione di risultati in linea con l’obiettivo di protezione dei dati.

Il secondo, altrettanto importante, è quello che risponde all’esigenza di introdurre logiche e meccanismi di maggiore responsabilizzazione interna alle aziende relativamente all’obiettivo di protezione dei dati.

Parliamo della seconda componente fondamentale: la responsabilizzazione.

Il primo e sempre valido punto di partenza è la consapevolezza del valore del dato. E per questo la strategia migliore rimane quella di fare formazione specifica e contestualizzata, e vedremo come con qualche proposta.

Il secondo punto è quello di coinvolgere attivamente le persone nei processi aziendali, per sentirsi parte attiva, questo li porta naturalmente a prendersi la responsabilità di quello che fanno con i dati.

L’accountability in azienda: dare consapevolezza del valore del dato

Nella maggior parte dei casi il dato viene considerato solo un pezzo di informazione che deve essere passato da un blocco ad un altro della macchina aziendale per produrre un risultato.

E questo pezzo di informazione è volatile, nel senso che non è fisico, né tangibile. Questa è la difficoltà che tutti noi incontriamo.

Immaginiamo di essere in un panificio. Se il dato fosse un sacco di farina lo vedremmo, sapremmo esattamente dove si trova, dove era stato immagazzinato, dove lo abbiamo usato, quanto ne abbiamo usato, perché lo abbiamo usato e soprattutto in cosa si è trasformato, dove andrà dopo.

Quindi la soluzione migliore è trasformare il dato in qualcosa di fisico e tangibile. È fattibile? Come?

In alcuni casi potrebbe essere fattibile, in altri magari meno. Lo so, richiede un piccolo sforzo, un processo mentale non semplice perché non basta una strizzatina d’occhio per trasformare magicamente un dato in un sacco di farina.

Una prima proposta dalla quale estrarre un modello di consapevolezza e formazione è quella di “mostrare” e far “toccare con mano” al proprio personale i propri server aziendali dove risiedono i dati.

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Mobility
Sicurezza

Sembra veramente banale, ma non lo è. La nostra mente, in modo pressoché immediato ed automatico, assocerà il dato, ovvero il contenuto non tangibile, all’oggetto fisico che lo contiene.

Vi è già capitato sicuramente in altre occasioni e contesti se ci pensate un attimo ed il marketing usa spesso questa funzione della nostra mente. Pensate ai prodotti “box” di esperienze in hotel, avventure ecc.: hanno creato un oggetto fisico che vi porta ad un’esperienza.

Dopo che si è creato un oggetto fisico del dato è altrettanto importante fare quello che si sta comunque già facendo negli ultimi anni, ovvero raccontare la storia del dato, i tempi necessari per raccoglierlo, i costi per acquisirlo e mantenerlo e i costi per recuperalo nel caso venga perso o rubato.

A questo racconto si potrebbe aggiungere anche il valore aggiunto del dato per completare la sua valorizzazione reale, ovvero far vedere anche cosa genera quel dato, in termini di fatturato aziendale, facile da comprendere, ma anche di tempi di produzione, di logistica, di marketing, e di ogni altro processo aziendale.

A cui si possono aggiungere altri elementi di valore, ovvero come impatta sul brand aziendale, ad esempio.

Combinando l’approccio tattile con quello di analisi e rielaborazione numerica si riesce ad ottenere un livello di consapevolezza sicuramente superiore rispetto allo standard attuale.

Un’altra proposta, già pensata da usarsi anche in un contesto tipico della formazione, è quella di partire da un dato raccolto ad inizio giornata, associargli un post-it di un certo colore, con scritto il nome del dato (non il contenuto) e seguirne i movimenti, modifiche, passaggi ed eventuali duplicazioni durante la giornata.

Alla fine dell’esperimento si scopriranno molte cose sul dato, come viene gestito, dove va, dove si ferma, ma soprattutto si è creato un legame fisico tra il dato ed il post-it che rimane impresso nella mente di chi lo ha visto e toccato con mano.

Il valore aggiunto di questo esercizio è anche quello di fare una mappatura reale dei processi aziendali data-centered, che offre molti spunti sia in ottica di GDPR che di cyber security e di ottimizzazione dei processi stessi.

A questo punto proposte come questa possono essere generate facilmente, usando solo un po’ di creatività.

Un altro tipo di approccio può essere quello dell’effetto mancanza: un concetto ben noto a tutti e ad alcuni anche molto più che noto. Stiamo parlando della perdita delle foto di famiglia o della vacanza che erano sul portatile o sulla chiavetta, andati persi, distrutti, rubati o irrecuperabili.

Ovviamente per combinazioni astrali non si aveva ancora fatto la copia, oppure non si pensava potesse succedere, oppure non ce ne siamo nemmeno accorti finché qualcuno ci ha chiesto di vedere quella foto del mare fatta insieme.

Nel contesto aziendale si pensi tranquillamente ai dati su cui si stava lavorando da giorni per un progetto, cliente o quant’altro.

A tutti coloro a cui è successo di perdere le foto rimane un segno indelebile, dovuto soprattutto al legame emotivo connesso alle foto. Questo segno indelebile si traduce nella realtà in un livello di consapevolezza del dato da guru. Non c’è niente di meglio-peggio che provare di persona la perdita dei propri dati emotivamente significativi per acquisire consapevolezza duratura e potente sul valore del dato.

Quindi dovremmo far perdere i dati e le foto ai nostri dipendenti e/o collaboratori per creare consapevolezza sul loro valore? Ovviamente no.

Quello che si può fare, facilmente implementabile in un ambiente protetto, tipo workshop, è di simulare che un dato, oppure un dato di cui il personale ha responsabilità, non sia più disponibile e far vivere tutte le conseguenze che questo comporta in azienda.

Se si vuole fare qualcosa di veramente concreto si può pensare di creare un caso reale con dati fittizi e vedere in azienda cosa succede. Questo richiede naturalmente una gestione più strutturata in termini anche di tempo rispetto al workshop, ma il risultato finale sarà praticamente la stessa consapevolezza della perdita delle foto personali.

Coinvolgimento pro-attivo nei processi aziendali

La responsabilizzazione verso il valore del dato tramite il coinvolgimento del personale può già essere incentivata con il modello di formazione della simulazione della perdita dei dati visto nel paragrafo precedente.

Ma non ci basta, serve un diverso approccio al dato in azienda. Ed il modo più efficace consiste inevitabilmente nel rendere partecipi tutti i dipendenti dei processi aziendali. È importante che ognuno sappia esattamente la storia del dato e che ruolo ha lui in questa storia.

Come è possibile farlo? Qui entra in gioco l’importante ruolo del management di costante allineamento comunicativo-informativo tra tutti i team di un’azienda sui processi, obiettivi, mission e vision.

Parlo inevitabilmente in ottica data-centered, ovvero a cosa serve il dato per raggiungere la mission, vision, come porta agli obiettivi e che dati producono gli obiettivi; quali dati ci si aspetta in ingresso in un processo e quali in uscita. In questo modo ognuno sa di quali dati è responsabile, cosa deve farne e come deve trattarli affinché tutto funzioni correttamente.

Conclusioni

Le modalità e gli approcci per gestire l’accountability richiesta dal GDPR sono tanti. Quelli che daranno i maggiori frutti in termini di efficacia, durata e sicurezza del dato saranno quelli che portano ad una elevata responsabilizzazione di chi li gestisce.

Sappiamo altrettanto bene che tale responsabilità non deve essere calata dall’alto altrimenti rimane vuota, crea inevitabili attriti e sul lungo termine verrà bypassata.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

I modi più efficaci di responsabilizzare comportano sempre un coinvolgimento diretto, attivo ed emotivo delle persone. Poi basta usare un po’ di creatività.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2