A seguire l’intervista a Barry Cook, noto esperto privacy e DPO della società svizzera VFS GLOBAL: non solo una panoramica dell’attuale stato dell’arte del GDPR ma anche una previsione di come si presenterà la Data Protection nei prossimi anni, rafforzata dall’applicazione del Machine Learning e Artificial Intelligence.
1) Perché molte aziende europee non sono ancora preparate per GDPR?
Recenti indagini indicano che diversi mesi dopo l'applicazione del GDPR solo il 35% delle aziende afferma di essere conforme.
Per le aziende che hanno una cultura digitale consolidata il percorso verso la conformità è più semplice, in quanto queste realtà hanno già implementato misure tecniche e organizzative richieste dal GDPR.
Diversamente, quelle che operano in un ambiente più tradizionale trovano il percorso più difficile e ricco di ostacoli.
E’ una chiara indicazione di come in passato siano stati ignorati i principi della privacy e della protezione dei dati che per molte aziende non sono stati considerati importanti o addirittura visti come ostacolanti per il loro modello di business e pertanto non hanno ricevuto l'attenzione appropriata da parte dei livelli decisionali aziendali.
2) Quando vedremo la prima sanzione esemplare in base al GDPR?
Stiamo iniziando ora ad assistere alla comminazione delle prime multe. L'ICO, autorità di controllo del Regno Unito ha emesso un avviso di esecuzione con una multa di 17 milioni di sterline britanniche. Paradossalmente, il destinatario è una società che ha lavorato per conto di gruppi favorevoli all’uscita dall’Unione Europea.
Poi ci sono state anche multe minori emesse dalle autorità per la protezione dei dati in tutta Europa, ma ad essere onesti, la maggior parte di queste sono basate su azioni intraprese prima dell'entrata in vigore del GDPR.
Ci toccherà aspettare la metà del 2019, prima di vedere grosse multe e all’inizio saranno per i casi diciamo "immediati". Per i casi più complessi, non starei con il fiato sospeso perchè ci vorrà un pò di tempo prima di vedere grandi multe.
3) Come possono gli utenti proteggere la loro privacy quando utilizzano i social network che di fatto sono diventati parte insostituibile della vita di tutti?
Questo è un argomento complesso. Dovremmo prima definire ciò che è comunemente inteso con il termine privacy quando si tratta di dati personali.
Le indagini hanno mostrato che quando al pubblico veniva chiesto "Che cosa significa per voi privacy?", la risposta di solito conteneva la parola "controllo".
Ad esempio:
- Controllo del modo in cui vengono utilizzati i miei dati personali.
- Controllo di chi può vedere o accedere ai miei dati.
- Avere il controllo sui miei dati.
La percezione pubblica di cosa significhi la privacy è in qualche modo diversa dal comportamento di chi utilizza i social media. Nella maggior parte delle piattaforme social, "il controllo" è incorporato nelle pagine delle impostazioni, tuttavia in molti casi queste impostazioni non vengono mai utilizzate.
Pertanto, spetta al gestore del social network agire per conto dei propri utenti e inserire impostazioni predefinite tali da proteggere la privacy dell'utente fino dal primo utilizzo. Questo è più comunemente noto come "Privacy by design e by default". Qui è dove nascono i problemi.
L'obiettivo del gestore di social network però, è quello di “socializzare” le informazioni che vengono fornite dall'utente, in altre parole, di condividerle nel modo più ampio possibile.
Le informazioni pubblicate da un utente di un social network possono essere monetizzate. Sì, anche quei simpatici video di animali domestici! Maggiore è la diffusione di un video di un gatto birichino, maggiore è il suo valore monetario.
Se gli utenti vogliono davvero proteggere la loro privacy, allora dovrebbero usare tutti i controlli forniti dai social media sui loro dati personali, tuttavia questo potrebbe avere un serio impatto sul numero di "visualizzazioni" o "Mi piace" ricevuti!
4) Qual è il confine sottile tra la pubblicità online giustificata e il monitoraggio intrusivo delle attività degli utenti?
Ricevere pubblicità durante la navigazione può essere fastidioso e probabilmente invadente. Direi che il marketing di prodotti e servizi basati su acquisti precedenti è comunemente accettabile e può anche essere gradito da un individuo. Quando però si utilizza la combinazione di svariati set di dati l’attività inizia ad attraversare il confine nel regno del monitoraggio intrusivo.
Facciamo un esempio. Prendi una finta donna acquirente che ha 23 anni, vive in Florida e nel mese di marzo ha acquistato una lozione al burro di cacao senza profumo, una borsa grande abbastanza da contenere una busta per pannolini, dello zinco, del magnesio e un brillante tappeto blu.
C'è, diciamo, una probabilità dell'87% che sia incinta e che la sua data di parto sia a fine agosto. E forse potremo dire pure che sarà un maschio basandoci sul colore del tappeto. Questa tipologia di ricerche di mercato è in circolazione da molto tempo.
Le differenze iniziamo a vederle ora con l'intelligenza artificiale e la raccolta dei dati da diverse fonti.
Molti anni fa le aziende acquistavano dati sui consumatori e li combinavano con i propri database. Ora l'impronta di una persona in internet può essere "presa dal web".
Quando tutto questo viene poi combinato con strumenti di intelligenza artificiale, per creare previsioni individuali sul comportamento futuro e quindi indirizzare il marketing a un determinato individuo in base a tale predizione, allora credo che dobbiamo iniziare a stare un pò più attenti.
5) In che modo le PMI possono garantire la loro conformità alle norme in continua crescita, come il GDPR?
Le PMI dovrebbero considerare la protezione dei dati personali come un modo per migliorare il loro marchio sul mercato piuttosto che un requisito di conformità.
Questo significa che i team marketing devono interagire maggiormente con i team legali. Èd è qui che entrano in gioco le competenze dei professionisti della privacy.
In questo modo le PMI potranno costruire sistemi di privacy e protezione dei dati all'interno del loro modello di business e una volta raggiunto questo obiettivo, mantenere la conformità diventerà una strategia per influenzare il mercato in cui operano.
6) Vedi l'applicabilità pratica di sistemi di Machine Learning e Intelligenza Artificiale nelle soluzioni per la protezione dei dati?
Sì, intelligenza artificiale e apprendimento automatico possono essere di grande aiuto in questo campo. Un'area che mi viene in mente è quella della gestione dei fornitori.
Tutti i contratti con i fornitori che gestiscono i dati personali devono disporre di un addendum sulla protezione dei dati che definisca chiaramente i dati da elaborare e le responsabilità di ciascuna parte.
Il più delle volte gli elementi di riservatezza dei dati sono incorporati nel contratto di servizio principale piuttosto che richiamati esplicitamente. Ciò significa che spetta ai team commerciali identificare le clausole sulla protezione dei dati e valutare se sono sufficienti e, nel caso, modificarle se non lo sono. Poiché questa attività non rientra fra le loro competenze primarie, spesso i contratti vengono passati al team privacy che a sua volta sarà impegnato in questa attività.
L'intelligenza artificiale e l'apprendimento automatico sarebbero ideali per svolgere questo compito. Altre aree in cui l'intelligenza artificiale può rivelarsi utile per i professionisti privacy sono la valutazione d’impatto e la protezione dei dati per progettazione e impostazione predefinita, garantendo che le “best practices” in materia di protezione dei dati siano incorporate nel prodotto o nel servizio fin dall'inizio.
L'intelligenza artificiale è solo agli inizi e si evolverà presto.
7) Come dovrebbero le organizzazioni selezionare e valutare i loro Responsabili della protezione dei dati (DPO)?
L'Institute of Privacy Professionals ha creato un pacchetto di certificazione DPO che raccomanderei vivamente a qualsiasi DPO di prendere. Ciò permette all’organizzazione di sapere con chi si sta interfacciando. Stiamo anche visionando i documenti di orientamento delle agenzie per la protezione dei dati, come il CNIL francese, sui requisiti di competenze e formazione per i DPO.
Tuttavia, le certificazioni non sono l'unico fattore che le organizzazioni devono prendere in considerazione. Il professionista della privacy moderna deve avere una comprensione trasversale del modo in cui opera l'azienda e dovrà disporre di buone capacità di comunicazione e negoziazione.
Il ruolo di un professionista della privacy non è solo quello di comprendere la legislazione sulla protezione dei dati ma riguarda l'acquisizione e il mantenimento di rapporti commerciali per l'implementazione corretta di una strategia di successo in ambito privacy.
8) Quali leggi sulla protezione dei dati dovrebbero essere prese in considerazione da una società svizzera che opera a livello globale?
Wow! Da dove iniziamo? Il GDPR ha dato il via a tantissime iniziative nazionali sulla protezione dei dati. Nell'ultimo anno c’è ne sono state quasi 100 nuove sul tema e molte non erano mai esistite prima in alcuni paesi. Con circa 850 diverse leggi che incidono sull'uso dei dati, qualsiasi azienda che opera a livello globale deve considerare seriamente la propria strategia privacy quando opera al di fuori del paese in cui è basata.
La mia azienda VFS Global opera in 141 paesi. Sarebbe impossibile avere 141 diversi modelli operativi per la protezione dei dati. Pertanto, ciò che ho fatto è impostare uno standard aziendale per essere allineato con il GDPR poiché questo è attualmente una base per qualsiasi legislazione sulla protezione dei dati. Ciò significa che la società sarà de facto conforme nei paesi in cui opera, anche se ciò esula dallo scopo del GDPR.
Questo non significa che ignori la legislazione locale ma che il mio modello deve essere rivisto minimamente in base al dettaglio specifico per ogni paese, come ad esempio i requisiti sulla localizzazione dei dati. Avendo un solido quadro di governance della privacy senza dettagli specifici, mi consente di riutilizzarlo come base per le misure tecniche e organizzative da rendere operative.
9) Quali sono le maggiori insidie nell'implementazione della strategia sulla privacy dei dati aziendali?
Con una forza lavoro geograficamente e culturalmente diversificata, la sfida più grande è la sensibilizzazione ai concetti di privacy e protezione dei dati. Le organizzazioni possono implementare controlli tecnici per gestire la protezione dei dati e questo è spesso il modo, in molte organizzazioni, in cui team "privacy" si è evoluto verso il campo della sicurezza IT. Tuttavia questa è solo una piccola parte dell'implementazione.
L'elemento umano è la componente che avrà il maggiore impatto sul successo di una strategia aziendale di riservatezza dei dati personali. Una delle più grandi insidie che vedo nelle aziende che implementano una strategia privacy è che adottano un approccio basato esclusivamente sulla conformità dal punto di vista formale e non sostanziale.
Adottando questo approccio si rischia di trasformare la strategia privacy in un progetto "a crocette" che rischia di essere visto come un mero obbligo da soddisfare soprattutto da chi si occupa di ruoli operativi in azienda.
Anche se la necessità di conformità non deve essere ignorata, come possiamo notare infatti le sanzioni per la non conformità sono elevate, non dovrebbe essere l’unico driver per l'implementazione di una strategia privacy.
Come accennato prima, le aspettative del pubblico (ma anche dei dipendenti) sul modo in cui i loro dati personali vengono gestiti sono in aumento. Queste aspettative devono essere riconosciute dalle organizzazioni che dovranno essere in grado di soddisfarle e che diventeranno parte integrante delle loro strategie aziendali in futuro.
10) Consiglieresti ai figli di un tuo amico di perseguire una carriera nella data protection?
Assolutamente si! Ma sono di parte! Quello che stiamo vedendo ora è solo l'inizio di una professione in evoluzione e la protezione dei dati si si sta inserendo nel panorama del business.
Nei prossimi anni assisteremo al nascere e all’evolversi di nuove specializzazioni in tema privacy.
Settori come la progettazione della privacy e dell'etica negli algoritmi di Intelligenza Artificiale e Machine Learning, oppure come garantire l'anonimato nell'elaborazione dei big data o ruoli di pubbliche relazioni sulla privacy, saranno solo alcune delle aree che possiamo aspettarci di veder crescere in futuro.
Quest'intervista è stata originariamente pubblicata su www.htbridge.com, la redazione di UTOPIA si è limitata a tradurla per metterla a disposizione dei suoi lettori.
Per leggere la versione integrale clicca qui, Copyright © High-Tech Bridge.