di tutti, basta pensare a come i telefoni con la cornetta sono diventati senza fili e evolvendo
addirittura in strumenti più potenti di alcuni computer. Fino a 30 anni fa era una cosa difficile da
immaginare, tuttavia nel tempo abbiamo assistito a una concreta evoluzione tecnologica che ha
portato molte comodità nella vita delle persone.
Questa evoluzione ha però mantenuto a compartimenti stagni i settori di riferimento ovvero ci sono
stati sviluppi verticali nella telefonia, nella televisione, nel gaming, negli elaboratori, e in molti altri.
Da alcuni anni però sono entrati in gioco dei nuovi elementi nel panorama tecnologico a nostra
disposizione: reti a banda larga, smart-device, social network, cloud, ecc. Tutti questi elementi hanno
dato il via al nuovo processo di trasformazione digitale perché hanno permesso a quei settori
compartimentati di comunicare tra di loro, complicando non poco le relazioni tra di essi e i nuovi
flussi di dati. Questa trasformazione inoltre ha di fatto creato un vero e proprio ecosistema digitale
caratterizzato soprattutto dalla dematerializzazione del dato, concetto che ha introdotto un
significativo impatto in termini di gestione dei dati, sicurezza, e legislazione.
Consapevoli delle difficoltà e della confusione che questo ecosistema digitale ha portato con sé, una
commissione composta dai migliori esperti giuristi e informatici d’Europa ha voluto aiutare i cittadini
e le imprese europee nella tutela e nella gestione dei dati personali, introducendo nel 2016 il
“Regolamento Generale sulla Protezione dei Dati Personali e la loro libera circolazione” meglio noto
come GDPR. Purtroppo il Regolamento viene visto ancora oggi come un mero adempimento
burocratico, ignorando quanto possa essere di aiuto per le aziende in questa era di trasformazione
digitale. Una cosa molto utile invece è guardare al GDPR come una guida, perché traccia il percorso
da seguire in maniera puntuale delineando i requisiti da rispettare, pur garantendo alle imprese
un’ampia autonomia e libertà di manovra nel rispetto delle normative e nell’utilizzo degli strumenti
tecnologici.
L’adozione di nuovi strumenti e nuove tecnologie in un’azienda ha indubbiamente un impatto
sull’infrastruttura esistente, ecco perché è consigliabile valutare attentamente la corretta
configurazione e la solidità delle infrastrutture prima di procedere. Ad esempio se un’azienda che
poggia la sua infrastruttura in ambiente Windows e vuole migliorare le policy di business
continuity o smart working potrebbe scegliere di sfruttare le funzionalità cloud di Microsoft, ma prima
di procedere è indispensabile analizzare e valutare l’efficienza di Active Directory affinché eventuali
errori di configurazione o problemi di sicurezza non vengano riportati anche nel cloud.
L’esempio appena descritto è da considerarsi un processo di valutazione e miglioramento in un
progetto che implica un trattamento di dati personali, rispettando correttamente il principio
di privacy by default/by design del GDPR. Altri progetti che invece includono il trattamento di
dati personali in un contesto o con finalità differenti, tali da rappresentare un elevato rischio per i
diritti e le libertà delle persone, sono soggetti a una valutazione di impatto (DPIA) prima di
essere convalidati. Una situazione ricorrente che richiede una DPIA per esempio è l’adozione di
sistemi di videosorveglianza.
Ovviamente in questa sede non si vuole imporre un’idea, ma porre una riflessione su un tema di
estrema attualità. È sufficiente pensare alla foga con cui molte imprese hanno acquistato notebook
e stampanti per consentire ai dipendenti di lavorare da casa durante la quarantena, dimostrando una
certa fragilità organizzativa. Altre aziende più virtuose che da tempo avevano adottato politiche di
continuità operativa e trasformazione tecnologica, hanno evitato molti ostacoli dovuti alle limitazioni
imposte dalla pandemia, progetti prima pensati e poi implementati (Privacy by Design – GDPR). È
giusto precisare che un progetto di rinnovamento sul fronte tecnologico non è così banale, non
richiede soltanto un investimento economico ma una consapevolezza dell’importanza della sicurezza
dei dati personali e delle informazioni, oltre che il coinvolgimento di personale qualificato che sappia
sfruttare al meglio le tecnologie e conosca in maniera approfondita le normative in materia di
sicurezza e protezione dei dati.
“Non esiste vento favorevole per il marinaio che non sa dove andare.” Seneca
Enrico Munaro
Information Security e Privacy Consultant