Non solo scartoffie: per GDPRLab la tecnologia è essenziale per essere compliant
di Vittorio Manti pubblicata il 21 Luglio 2021, alle 10:01 nel canale InnovazioneEssere compliant al GDPR non è solo un obbligo, può diventare un’opportunità per migliorare la reputazione di un’azienda e per GDPRLab è essenziale la tecnologia. Ne paliamo con Alessandro Papini, manager e DPO certificato di GDPRLab
Su Edge9 abbiamo spesso parlato di GDPR, per il suo valore nel tutelare la privacy degli utenti ma anche di come questa normativa abbia spinto le aziende, insieme ad altre come la fattura elettronica, a iniziare un percorso di innovazione digitale. Un aspetto che non abbiamo preso in considerazione è quanto la tecnologia sia importante anche per chi del GDPR fa la sua professione, in particolare per GPDRLab, azienda toscana che da anni si occupa di dare supporto alle aziende per essere conformi al GDPR. Nell’immaginario collettivo associamo, erroneamente, alla compliance la compilazione di documenti cartacei e una serie di obblighi burocratici, che in effetti ci sono anche, ma GDPRLab ha costruito da zero una piattaforma informatica che permette di gestire tutti gli aspetti formali del GPDR, ma non solo. La piattaforma diventa uno strumento per offrire altri servizi ai clienti.
Abbiamo approfondito il tema con Alessandro Papini, manager e DPO certificato di GDPRLAB, a cui abbiamo chiesto come è nata l’idea di creare un’azienda dedicata al GPDR.
Alessandro Papini: L’idea viene da lontano, dalla prima legge sulla privacy (documento programmatico sulla sicurezza). Nel 2003 fui il primo in Italia a creare un portale per la realizzazione di questo documento, lanciando il sito DPSPrivacy.it. È sempre stato un mio pallino occuparmi di privacy, tant'è che quando nel 2016 venne presentato il Regolamento Europeo per la protezione dei dati (con i 2 anni di tempo per essere compliant) iniziai a studiare come creare con i miei programmatori un portale che in maniera dinamica e interattiva potesse aiutare il consulente a gestire la filiera del dato per conto di un'azienda. E così è nato GDPRLab.
Edge9: Siamo incuriositi dal vostro lavoro. Come si svolge e cosa comporta per un'azienda essere compliant?
Alessandro Papini: GDPRLab si basa sul concetto di accountability, sul dover e poter dimostrare di essere compliant a questo regolamento. Si parte con una valutazione di tutte le misure che l'azienda ha attuato per proteggere i dati. È importante ricordare che si tratta di dati che non sono di proprietà dell’azienda, che ci sono stati dati “in prestito” per svolgere le attività di business.
Le valutazioni sono di diverso tipo, partono da quelle classiche ambientali (stanze, ambienti protetti sia dalle possibili intrusioni che dalle calamità naturali) fino ad arrivare protezione vera e propria del dato digitale, (antivirus, firewall, personale formato sui diritti e doveri sul trattamento del dato). Si passa poi alla valutazione delle misure per la protezione dei dati cartacei (minimizzazione, pseudonimizzazione, riservatezza) per poi arrivare alla parte documentale, quindi filiera del dato, registro dei trattamenti, valutazione d'impatto del rischio, lettere d'incarico, policy informatiche e altro.
Questo regolamento va sfruttato come preziosa occasione per dimostrare la reputazione dell'azienda, la serietà di un'azienda. Per questo serve un'assistenza “continua” che non si esaurisce nella classica profusione di un faldone di documenti, ma che cammina e cresce insieme all'azienda. Tutti i consulenti privacy e i DPO del team GDPRLab sono certificati Accredia 11697 per quanto riguarda il “data protection officer”. Perché c'è bisogno di persone preparate che possano dare e fornire supporto. Per questo motivo negli ultimi tempi abbiamo stabilito un canone operativo (mensile) con le aziende con cui lavoriamo, per dare in ogni momento delle risposte all'azienda quando si trova ad affrontare problematiche di qualsiasi tipo. Ogni azienda con cui lavoriamo ha a disposizione un consulente di riferimento per viaggiare insieme verso la “reputability” aziendale. Questo percorso normalmente porta a una compliance massima nel giro di un paio d'anni, in base alla possibilità d'investimento dell'azienda.
Edge9: Come è strutturata e quali servizi offre la piattaforma di GDPRLab?
Alessandro Papini: È un contenitore interattivo complesso che valuta il rischio in base a quello che viene dichiarato. Facciamo un esempio, partendo da un dato. Un dato è racchiuso in un contenitore digitale e a sua volta si può trovare in un hard disk, all’interno di un computer che ha un determinato livello di protezione (password, firewall e altro). Il computer è collocato in un ufficio: chi può andare avanti e indietro da quell'ufficio? Come sono finestre? C'è un accesso regolamentato? Quest'ufficio fa parte di un'azienda e così via. Si va da un anello piccolo fino a censire la piantina di un'azienda e l'organigramma aziendale definendo tutte le possibili criticità e rischi. La piattaforma di GDPRLab non fa altro che organizzare queste informazioni e segnalare eventuali anomalie, con la possibilità di esportare i dati in qualsiasi formato. Facciamo un esempio: se risulta che in una stanza dove sono posizionati dei computer non è presente un estintore, il sistema segnalerà un indice di rischio molto alto in caso di incendio. L’azienda a quel punto sa di dover proteggere in modo diverso quel locale per essere compliant e in generale la piattaforma esegue una serie di analisi sulla compliance, sulla sicurezza e sul GDPR, indentificando su quali aspetti si può migliorare.
Edge9: Possiamo fare qualche esempio di aziende che partendo dal lavoro fatto con GDPRLab sulla compliance hanno poi accelerato il loro processo di digitalizzazione?
Alessandro Papini: Molte aziende di una certa entità con cui abbiamo lavorato l'hanno vissuta inizialmente come una tassa da pagare. Dicendosi favorevoli a pagarla, oggi stanno attente a tutto. Partendo dagli obblighi normativi abbiamo però fatto evolvere GDPRLab per offrire dei servizi accessori alle aziende. Un esempio sono le informative e le richieste di consenso di alcune aziende che vengono gestite in digitale senza stampare una singola pagina. Quando un’azienda deve inviare un’informativa, non deve fare altro che inserire la mail della persona, a quel punto si genera un token che viene inviato via mail. Nella mail è presente link che porta a una pagina web dove accettare e confermare il trattamento senza che venga stampata una singola pagina.
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".