Ormai da oltre un anno seguo regolarmente dibattiti, conferenze e seminari sul “GDPR EU 679/2016”, sempre più frequenti, serrati e, assurdamente, “terroristici” (sarò più chiaro nel seguito sull’ultimo aggettivo forte usato). Ricordo che anche nel passato, già in prossimità dell’entrata in vigore della “Legge sulla Privacy”, il ben noto Dlgs 196/2003, fui spettatore della medesima ridda di eventi anche allora caratterizzabili dal medesimo aggettivo, apparentemente estremo e provocatorio.
L’analisi dell’evento tipo
Nella stragrande maggioranza dei casi delle ottime presentazioni del regolamento, fatte da competenti giuristi informatici, corredate da sintesi e infogrammi, utilissimi e di grande comunicazione nell’evidenziare i fondamenti regolamentari.
E poi, in un crescendo variamente incalzante, ecco l’apparire di indicazioni e di tabelle delle sanzioni per l’inadempienza, numerosi e variegati esempi e casi di contestazioni effettuate (al momento in cui scrivo riferite al Dlgs 196/2003), con detttagli analitici sullo scostamento degli effetti contestati da norme e regolamenti.
A seguire l’inevitabile “dibattito” sull’ineluttabilità del cambiamento “imposto” in contrapposizione alla sua articolazione di applicazione, giuridica, contrattuale, organizzativa e tecnologica, in un contesto di impresa che, in Italia, è essenzialmente di micro/piccola impresa.
E, ancora a seguire, la prevedibile sequenza di perplessità, lamenti e rabbiose considerazioni spesso riassumibili nel fatidico “non abbiamo mica tempo da perdere in ste cose, dobbiamo lavorare noi” e a cui, anche di fronte a quesiti ben articolati, le risposte finiscono sempre per essere un “dipende”.
In breve a me pare quasi sempre lo stesso ciclo:
informazione → effetti dell’inadempienza → lamento critico senza risposte ben delineate
che, dal punto di vista emozionale, corrisponde usualmente al ciclo:
curiosità e interesse, sinceri o preoccupati che siano → sconforto → paura rabbiosa
Quand’anche fossero presenti, al fianco dei giuristi, ottimi conoscitori di organizzazione e tecnologie, il tutto si trasforma in un’aggiunta copiosa di metodologie e strumenti tecnologici, il cui raccordo e applicazione appaiono e restano, almeno per i non addetti ai lavori negli specifici campi, come un preoccupante “vaso di Pandora” dal quale, una volta tolto il coperchio, non si sa bene, o si teme, quello che mai ne potrà uscire.
Il ciclo diventa quindi:
informazione → effetti dell’inadempienza → lamento critico senza risposte ben delineate → proposte non articolate in un disegno complessivo
ed emozionalmente:
curiosità e interesse, sinceri o preoccupati che siano → sconforto → paura rabbiosa → senso di inermità
Insomma non esce, quasi mai, il “filo conduttore” fondamentale che dovrebbe essere un insopprimibile bisogno primario di un’impresa proiettata, ormai, nella “quarta rivoluzione industriale”.
Ora si potrebbe certo dire: “ma come si potrà mai poter affrontare un argomento così articolato in poco tempo e pretendere di dare tutte le risposte ?”
In realtà quello che ravviso non è una limitazione derivante dal grado di approfondimento o meno possibile, ma da una impostazione che trova le sue radici in un atteggiamento culturale di molti di noi.
L’atteggiamento e la motivazione al fare
Ormai sappiamo bene tutti l’importanza e il valore dei nostri dati personali, del conservarli e trattarli in modo equilibrato, riservato, sicuro garantendo al legittimo proprietario un trattamento informato, misurabile e misurato. Sappiamo inoltre tutti che il modo di trattare queste informazioni è direttamente collegato all’organizzazione delle nostre attività e degli strumenti tecnologici che utilizziamo (ormai principalmente digitali). Ancora, tutti comprendiamo benissimo che queste informazioni, in misura diversa a seconda delle finalità, sono parte della “conoscenza” su cui è basata l’attività di impresa o professionale (pensiamo anche solo al processo di qualificazione dei nostri clienti e dei rispettivi contatti). Ma ogni attività ha, come si dice, un suo “core business” che ruota attorno a una “conoscenza” aziendale incentrata sul prodotto/servizio e sulla sua capacità di organizzarsi nel modo più efficiente ed efficace per ideare, creare, mantenere, evolvere, proteggere, vendere/erogare il suo prodotto/servizio con il minimo delle interruzioni e dei disservizi possibili.
E questa conoscenza, nella maggior parte dei casi (a parte esempi come Facebook, Google ecc), è ben più ampia di quel sottoinsieme di essa che deriva dalle informazioni personali dei nostri clienti, fornitori, dipendenti, collaboratori.
Ora, riflettendo semplicemente, non si può che concludere che la giusta attenzione oggi tanto sottolineata da norme, regolamenti, seminari, ecc. per i dati personali e il modo di affrontarne il trattamento, in realtà, altro non è che la stessa attenzione con cui affrontare tutta la “conoscenza aziendale”.
Nessuno di noi può certo immaginare di trattare i dati personali meglio di quanto si trattino progetti tecnici, brevetti, risultati di ricerche interne, informazioni di marketing, dati di produzione, di vendita, accordi, contratti ecc.
La rassicurante assunzione “… tanto noi non siamo mica la NASA …” non ha più alcun significato in un mondo globalmente interconnesso, dove ogni informazione trova nel “deep web” un vasto e lucroso mercato criminale fatto di luoghi di scambio con tanto di tariffari per ogni tipo di “conoscenza”. Oggi, una volta connessi al web, sappiamo di essere tutti potenzialmente aggredibili da meccanismi malevoli automatici che, come primo scopo, hanno quello di carpire conoscenze rivendibili o, in taluni casi, di rallentare l’attività o creare disservizi.
Ora si dirà: “ecco che alla fine anche lui fa del terrorismo”.
Beh, si, forse, ma in fondo questa è l’unica vera “paura” da combattere motivati, con l’azione, quella di non proteggere adeguatamente il vero valore di ogni impresa, la sua “base di conoscenza” su cui è incentrato il suo presente e il suo futuro, a prescindere da normative e regolamenti o meno.
Non a caso si parla di “quarta rivoluzione industriale” come di un processo nel quale prevarranno sempre più la capacità di ideare, creare, realizzare, evolvere, sulla base della comprensione di una parte della realtà, del mercato, di suoi modelli di rappresentazione, dell’organizzazione e della gestione migliore di essi.
E tutto questo che altro è se non organizzarsi per trattare la conoscenza aziendale con efficienza ed efficacia garantendo integrità, riservatezza, sicurezza, equilibrio, affidabilità, continuità e, quindi, non solo per i dati personali.
Come fare, che fare ?
Una volta arrivati a condividere che in realtà stiamo parlando di un processo di innovazione ben più ampio del soddisfare una norma/regolamento, dettato dai cambiamenti globali in atto e che, con naturalità, va governato per proiettare nel futuro la nostra impresa, ogni azione risulterà avere un diverso impatto, anche psicologico, forte di una motivazione che nasce da una visione strettamente legata al nostro essere imprenditori e professionisti, e alle iniziative da intraprendere con crescente efficienza, efficacia e sicurezza.
Una volta cambiato l’angolo visuale, e la motivazione con esso, allora potrà essere più facile convincersi che anche nella propria realtà, piccola o più grande che sia, occorre;
Conoscere se stessi
Proteggere la “conoscenza aziendale”
Mantenere sotto controllo la qualità della protezione
Stabilire come reagire e in che modo quando essa venga violata
Essere in grado di reagire anche a una remota possibilità di compromissione
Non vuole essere scopo di questo breve articolo approfondire nel dettaglio ma, in estrema sinstesi, basti aggiungere:
Conoscere se stessi
Identificare la “base di conoscenza” (documenti e dati personali, di progetto di vendita, marketing ecc) ed i loro utilizzi (trattamenti)
Identificare e rappresentare i processi organizzativi di gestione
Identificare le risorse e gli strumenti impiegati (sempre più digitali)
Analizzare e individuare i rischi connessi (perdite/furto di dati, interruzione/sospensione dell’attività, eventi critici, ecc)
Definire la strategia e le modalità di gestione dei rischi aziendali
Proteggere la “conoscenza aziendale”
Adottare i miglioramenti più idonei dei processi organizzativi
Adottare o utilizzare al meglio gli strumenti digitali e non
Informazione e Formazione delle proprie risorse umane
Adottare gli opportuni accorgimenti e forme contrattuali e di comunicazione
Mantenere sotto controllo la qualità della protezione
Organizzare e rendere attive le procedure e gli strumenti per rilevare eventi critici
Stabilire come reagire e in che modo quando essa venga violata
Definire, organizzare e rendere attive le procedure e gli strumenti per gestire e comunicare gli eventuali eventi critici (alle Autorità, a clienti, a fornitori, collaboratori, gestione della propria reputazione ecc)
Essere in grado di reagire anche a una remota possibilità di compromissione
Organizzare e rendere attive le procedure e gli strumenti per gestire il ripristino o almeno ridurre al minimo le condizioni di disagio nel caso di eventuali eventi critici (backup/ripristino dei dati, recupero/sostituzione di linee di comunicazione, ridondanze, ecc)
Nella breve lista precedente si potranno identificare molti di quegli elementi richiamati in eventi sul GDPR che, in realtà, sono alla base di un processo di cambiamento ben più ampio e funzionale al successo di un’impresa.
Naturalmente, a seconda delle dimensioni dell’impresa, il volume di attività da farsi cambia notevolmente in termini di tempi, ampiezza, priorità e gradualità nel tempo, ma non nello sviluppo logico e del metodo.
Allora ecco che espressioni, care al GDPR, come “privacy by design” e “privacy by default” diventano molto più vicine alla quotidiana realtà di ogni impresa e meglio identificabili come “security by design” e “ security by default” del proprio complessivo patrimonio di conoscenza aziendale.
In conclusione si potrà ora obbiettare che in uno scenario italiano, prevalentemente di micro e piccole imprese, la cosa possa risultare un impegno dirompente (il 95% delle imprese italiane, pur impiegando complessivamente 7,8 milioni di addetti, ha meno di 10 addetti: Fonte ISTAT 2015).
Tuttavia questa è una delle sfide del presente per restare ai vertici dell’economia mondiale, e che passa anche attraverso la capacità di sviluppare una cultura più orientata all’aggregazione, alla collaborazione e, come ormai è di moda dire da tempo, ma non pratica ancora molto diffusa, al “fare rete”. Fare rete tra piccole imprese per coordinarsi insieme su un mercato, ma anche per affrontare l’innovazione. Fare rete in forme più dirette e trasparenti tra aziende e partner professionali e di impresa sui progetti di innovazione, i quali richiedono un’ampia gamma di competenze ed esperienze, difficilmente esprimibili con completezza da singoli o piccoli soggetti.
Quello che appare oggi il costo del cambiamento, certo impegnativo, è un investimento nel futuro, il creare le opportunità e le condizioni di crescita, la differenza fra l’esserci e il non esserci.
E alla fine con consapevolezza, motivazione e, mi auspico, entusiasmo, molto di più si potrà fare e meglio del rivolgersi a qualcuno chiedendo: “cosa devo fare per essere a norma del GDPR, per non incorrere in inadempimenti e sanzioni”.
Questo portale, per consertirti una migliore esperienza d'uso, utilizza unicamente cookie tecnici, Non utilizza cookie analitici/statistici, anonimi e non. Non utilizza cookie di profilazione personale, propri o di terze parti, a fini pubblicitari e di vendita
Lascia un commento