1. GDPR: principi generali
L’attenzione ai temi del trattamento dei dati personali e della loro sicurezza è oggi centrale. Lo sviluppo tecnologico ha infatti portato all’attenzione del mercato, e di conseguenza delle Autorità, la crescente pervasività dell’informatica nella vita quotidiana. Se da una parte Big Data, Internet of Things, Mobile, Geolocalizzazione, Social e Cloud comportano innumerevoli opportunità per il sistema economico, dall’altra generano diverse implicazioni in materia di Privacy e Data Protection.
Per questo è nato il General Data Protection Regulation (n. 2016/679), ovvero il Regolamento Generale Sulla Protezione Dei Dati Europeo (GDPR). Frutto di un lungo percorso legislativo, iniziato nel 2010 con la proposta di riforma della normativa in materia di protezione dei dati personali elaborata dalla Commissione europea, il Regolamento è diventato applicabile dal 25 maggio 2018 dopo un periodo di transizione di due anni, che ha permesso ai soggetti destinatari di implementare quanto necessario per mettersi in regola. Eppure, ancora oggi molte aziende e PA risultano impreparate.
Gli obiettivi principali del GDPR sono: adeguare la normativa alle nuove tecnologie e creare un quadro normativo comune a livello europeo. Il Regolamento introduce infatti:
• Il concetto di responsabilizzazione o accountability del titolare;
• Importi più elevati per le sanzioni amministrative pecuniarie che variano nel massimo a seconda delle disposizioni violate;
• Concetti di “privacy by design”, nonché di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
• Regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
• La previsione in alcuni casi tassativi di nomina obbligatoria di un Responsabile della protezione dei dati;
• Regole più chiare su informativa e consenso;
• L’ampliamento della categoria dei diritti che spettano all’interessato;
• Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue.
2. Data Governance: che cosa si intende
La Data Governance è un insieme di pratiche e processi che aiutano a garantire una efficace gestione dei dati all’interno di un’organizzazione. Questi diventano un asset di valore solo quando sono utilizzabili in maniera trasversale, andando oltre l’utilizzo limitato e parziale da parte di singole aree, funzioni, business unit.
Un obiettivo primario della data governance è quello di “rompere i silos” di dati che si formano comunemente quando le singole aree di business aziendali implementano e utilizzano sistemi e applicazioni che non comunicano con una architettura dati progettata per garantire integrazione, gestione centralizzata e distribuzione trasversale. Una giusta governance, invece, mira ad armonizzare il ciclo di vita dei dati attraverso processi definiti e condivisi che prevedono la partecipazione degli stakeholder delle varie unità aziendali.
Altro obiettivo fondamentale della Data Governance è garantire che i dati vengano trattati e utilizzati correttamente, sia per consentire di prendere decisioni basate su dati affidabili, sia per evitare un uso improprio dei dati personali e sensibili per l’organizzazione. Questo obiettivo viene raggiunto se si definiscono politiche di utilizzo dei dati e vengono implementati meccanismi di monitoraggio dei dati lungo il ciclo di vita: quando vengono generati o acquisiti, nei passaggi interni che il dato subisce, quando viene condiviso al di fuori dell’organizzazione, nei momenti in cui il dato viene archiviato o eliminato.
La Data Governance non riguarda solo l’adozione di strumenti tecnologici, procedure e aderenza a standard, ma è un ecosistema molto ampio che coniuga in sé attività e processi sotto le prospettive di organizzazione, metodologia, strumenti e change management.
3. Relazione tra protezione dei dati e gestione dei dati
In considerazione di numerosi fattori come la crescente complessità dei sistemi IT, la diffusione della tecnologia mobile, il ricorso a servizi di outsourcing e l’utilizzo di sistemi cloud che rendono più complesso identificare il luogo fisico di conservazione del dato, la protezione dei dati personali è oggi una priorità.
Per questo, per ogni azienda dotarsi di un sistema di gestione della protezione dei dati personali è assolutamente indispensabile. Ovviamente, tale sistema deve essere allineato agli obiettivi dell’impresa, adeguato al contesto specifico e in grado di coinvolgere tutte le funzioni aziendali: deve infatti tener conto delle dimensioni dell’organizzazione, del settore di mercato in cui opera e della quantità di dati personali trattati e consentire di governare ogni aspetto dei processi legati al trattamento di dati personali introducendo un processo di miglioramento continuo con benefici in termini di ritorno economico sull’investimento.
L’adozione di un sistema di gestione della protezione dei dati personali aiuta le imprese ad applicare correttamente le norme e ad agire virtuosamente, ma la conformità al Regolamento non deve essere percepita solo come un costo, ma come un vero vantaggio competitivo: consumatori, clienti e prospect tendono a premiare le organizzazioni che sono in grado di garantire trasparenza e un elevato livello di tutela dei dati personali, considerandoli interlocutori affidabili.
4. Assolvere la GDPR in un contesto di Data Governance
La Data Governance è un’ottima alleata per rispondere alle esigenze di regolamenti governativi, come le altre normative vigenti. Con le sue linee guida estremamente rigorose, il Regolamento ritiene le aziende responsabili dei propri dati, soprattutto se sono compromessi o violati.
Per questo, le organizzazioni che svolgono qualsiasi livello di attività con cittadini dell’UE o persone fisicamente presenti nell’Unione Europea, devono ne devono conoscere approfonditamente i mandati, che includono lo sviluppo di un solido programma di governance dei dati per assicurare conformità. Comprendere i vari tipi di informazioni che raccolgono sui clienti, dove archiviano tali informazioni, chi sono i proprietari dei dati e i livelli appropriati di accesso ad essi, come sono protetti e quali processi attivare per eliminarli quando necessario: sono solo alcuni dei fattori che aziende e imprese devono includere nel proprio programma di Data Governance.
Come osservato finora, infatti, la Data Governance si riferisce alle politiche e ai processi che definiscono l’uso appropriato dei dati mentre fluiscono dentro e fuori un’organizzazione: non un mero fattore tecnologico, ma una vera disciplina ad ampio raggio che comprende persone, processi, strategie, linee guida e strumenti. Ogni iniziativa di governance dei dati mira a garantire che le organizzazioni mantengano standard elevati durante tutto il ciclo di vita dei dati: dalla loro creazione all’archiviazione a lungo termine fino allo smaltimento, nel rispetto delle politiche aziendali interne e delle normative esterne.
Il Parlamento Europeo ha inoltre recentemente approvato il Data Governance Act (DGA), con l’obiettivo di creare nuove norme sulla neutralità dei mercati dei dati, favorire il riutilizzo di alcuni dati detenuti dal settore pubblico e creare spazi europei dei dati in settori strategici: Pubblica Amministrazione ed enti privati non saranno obbligati a condividere dati, ma potranno farlo per dare una spinta alla ricerca e alle iniziative delle startup. Allo stesso tempo gli enti pubblici non potranno creare diritti esclusivi di riutilizzo di alcuni dati, e il periodo di esclusività sarà limitato a 12 mesi per i nuovi contratti e a due anni e mezzo per quelli esistenti, così da rendere un maggior numero di dati accessibili a startup e piccole e medie imprese.
Come riportato da InfoData de Il Sole 24Ore, questa strategia verrà poi completata dal Data Act (Da) attualmente in corso di approvazione. Il suo campo di azione comprende i dati della Pubblica Amministrazione prodotti e acquisiti ai sensi del Data Governance Act, ma si estende anche ai Big Data del settore privato. In sintesi, stabilisce chi può usare i dati con quali modalità e per fare cosa. Se il DGA punta a creare uno spazio di condivisione di dati all’interno del mercato europeo, il Data Act si concentra sull’uso dei dati in chiave business da parte delle aziende e dei privati extra-Ue.
5. I vantaggi della Data Governance per le aziende
Le aziende con un buon livello di gestione, conoscenza, capacità di utilizzo dei propri dati hanno molte più probabilità di crescere rispetto alle aziende che continuano ad operare “a silos”, con dati non integrati e mancanza di coordinamento tra funzioni e persone. Questo perché la Data Governance favorisce e prevede:
• La mappatura e la gestione dei dati così da assicurarne una visibilità trasversale e conoscenza diffusa, abilitando la condivisione di insights che emergono dai dati.
• La creazione di una cultura basata sui dati e l’adozione di buone pratiche di trattamento e utilizzo degli stessi, che nel tempo portano a decisioni migliori e benefici che diventano sempre più tangibili.
• L’implementazione di meccanismi di controllo al fine di garantire la conformità ai regolamenti aziendali e alle normative imposte dagli enti legislativi a livello nazionale o sovranazionale.
