(Lamborghini) Tutela e gestione dei dati, un valore strategico per l’azienda

In un mondo sempre più digitalizzato, la gestione dei dati e la sicurezza informatica rappresentano pilastri fondamentali per le aziende. Per ottenere risultati di successo in termini di gestione dei dati e della sicurezza informatica servono la consapevolezza e il supporto di tutti i membri dell’organizzazione.

Di conseguenza, la prevenzione e il rispetto delle normative devono essere considerati in un’ottica strategica. Rappresentano modi per tutelare il patrimonio informativo, preservare la reputazione aziendale e garantire il raggiungimento di obiettivi sostenibili. Per capire come una realtà come Automobili Lamborghini affronta queste sfide, compliancedesign.it ha incontrato Elisa Romano, Head of Data Protection & Information Security di Lamborghini.

La tutela e la gestione dei dati dei clienti non sono
solo un obbligo legale, ma rappresentano anche un valore strategico per l’azienda. I dati dei clienti sono fondamentali per lo sviluppo dei prodotti e servizi.

“Il mio compito principale è quello di gestire correttamente tutti i trattamenti delle informazioni classificate, compresi i dati personali, che sono di valore strategico per l’azienda. La mia responsabilità è garantire che l’intera organizzazione abbia gli strumenti necessari per trattare le informazioni in modo sicuro, proteggendo il patrimonio informativo e rispettando le normative vigenti a livello italiano, europeo e mondiale”, spiega Romano. “Dato che operiamo a livello globale, dobbiamo adattarci anche a normative specifiche di alcuni paesi, come ad esempio la normativa sulla sicurezza informatica in Cina”.

Lamborghini parte dalla consapevolezza come pilastro fondamentale, “poiché la maggior parte degli incidenti (80-90%) è causata da errori umani”. Oltre alle tecnologie di supporto, l’azienda investe quindi molto nella formazione e nella sensibilizzazione del personale sull’importanza della sicurezza informatica. “Anche se sappiamo che la sicurezza al 100% non è possibile, consideriamo questo aspetto come uno dei passaggi fondamentali per garantire una sicurezza informatica efficace”.

La tutela del patrimonio informativo serve inoltre per proteggere i nuovi prodotti, le strategie e le decisioni aziendali. Nel nostro settore, che coinvolge un pubblico particolarmente attento e esigente, la protezione del segreto industriale è vitale.

Come detto, la tutela e la gestione dei dati dei clienti non sono solo un obbligo legale, ma rappresentano anche un valore strategico per l’azienda. I dati dei clienti sono fondamentali per lo sviluppo dei prodotti e servizi. “La gestione dei dati avviene con grande attenzione e cura, poiché il legame tra il nostro brand e i nostri appassionati è molto speciale”. Dalla tutela dei dati alla qualità e all’etica nella gestione, l’azienda si impegna a garantire un’eccellenza operativa in tutti gli aspetti, compresa la reputazione, “poiché siamo consapevoli che il lusso non riguarda solo il prodotto finale, ma anche l’intera esperienza e il rapporto con i nostri stakeholder”.

La tutela del patrimonio informativo serve inoltre per proteggere i nuovi prodotti, le strategie e le decisioni aziendali. “Nel nostro settore, che coinvolge un pubblico particolarmente attento e esigente, la protezione del segreto industriale è vitale”. L’attenzione e l’interesse suscitati attorno a nuovi prodotti, come ad esempio il lancio della Revuelto nel 2023, sono parte del successo della casa automobilistica.

Elisa Romano

Le Terze Parti
Un tema fondamentale che attualmente si sta gestendo con grande attenzione, e che diventerà ancora più importante con l’introduzione della NIS2, è la corretta gestione delle terze parti con cui l’azienda collabora. “Questo è particolarmente critico quando si tratta di dati confidenziali o segreti relativi alle automobili Lamborghini, poiché è fondamentale che tali terze parti rispettino rigorose regole di sicurezza”.

Lamborghini conduce verifiche sin dalla fase di selezione e ingaggio dei fornitori, per assicurare che dispongano di una solida postura di sicurezza e un livello di maturità tale da potersi affidare nella trasmissione di informazioni sensibili, sia di natura tecnica che dati personali. Queste verifiche includono la valutazione dei requisiti di professionalità e competenza, che vengono successivamente tradotti in audit sulla consapevolezza, la competenza e l’infrastruttura di sicurezza.

Le Certificazionie
In tema di sicurezza informatica, Lamborghini ha completato con successo una prima certificazione secondo la norma ISO 27001, la quale regola l’Information Security Management System (ISMS). L’azienda ha quindi deciso di estendere la certificazione alla norma ISO 27701, che riguarda specificamente la gestione dei dati personali (Personal Information Management System – PIMS). “Questo ci ha permesso di avere una misurazione esterna delle nostre pratiche e procedure, e di garantire un elevato standard di eccellenza operativa che coinvolge l’intera azienda”, sottolinea Romano.

“Ottenere questa certificazione è stata una sfida, poiché non è diffusa a livello nazionale, ma abbiamo ritenuto importante avere un riconoscimento esterno del nostro impegno per garantire la protezione dei dati personali e la conformità alle normative internazionali”. Ottenere e mantenere le certificazioni ISO potrebbe essere un percorso sfidante ma che crea vantaggi specifici. “In primo luogo, una volta ottenuta la certificazione, è necessario mantenerla annualmente”.

Questo obbliga l’azienda a tenere aggiornata tutta la documentazione, a effettuare verifiche periodiche e a “non abbassare mai la guardia”. Inoltre, queste attività portano ad avere un calendario di scadenze che contribuisce a “ricontrollare e migliorare continuamente i processi”. Ciò consente di individuare eventuali punti deboli o aree non ancora ben coperte dalle normative, spingendo l’azienda a strutturare meglio i processi e le procedure.

L’azienda ha deciso di estenderela certificazione alla
norma ISO 27701, che riguarda specificamente la gestione dei dati personali (Personal Information Management System – PIMS). Questo ci ha permesso di avere una misurazione esterna delle nostre pratiche e procedure, e di garantire un elevato standard di eccellenza operativa che coinvolge l’intera azienda.

Un altro aspetto positivo riguarda il coinvolgimento di tutta l’organizzazione in questi percorsi. “Questo aumenta notevolmente la consapevolezza dei dipendenti riguardo alla protezione dei dati e alla sicurezza informatica”, il che è importante perché la gestione dei dati e la sicurezza informatica non riguardano solo il team responsabile della protezione dei dati, “ma coinvolgono l’azienda nel suo complesso”. Questo prepara l’azienda ad affrontare con successo audit e verifiche, coinvolgendo tutti i dipartimenti e garantendo un approccio olistico a questi importanti temi. Oltre al beneficio interno, la certificazione può essere utilizzata anche a livello di marketing, comunicando ai clienti e ai partner che l’azienda gestisce correttamente i dati e adotta le migliori pratiche nel campo della sicurezza informatica.

Tra Sostenibilità e Intellegenza Artificiale
Il tema della sostenibilità e dell’etica dei dati rappresentano una naturale estensione del percorso di corretta gestione dei dati. Raccogliere e conservare solo i dati necessari, un principio fondamentale della GDPR noto come “necessarietà”, è cruciale anche dal punto di vista della sostenibilità. Più dati si possiedono, maggiori sono i rischi associati, come la perdita di dati, l’accesso non autorizzato e i potenziali breach di sicurezza.

Questi rischi possono portare a danni all’immagine dell’azienda, sanzioni e costi aggiuntivi. “Pertanto, gestire un patrimonio informativo in modo mirato, conservando solo i dati effettivamente utili per raggiungere gli obiettivi aziendali e ambientali, è di fondamentale importanza”. Questo approccio si allinea anche al principio della “Net 1.0” in materia di Information Security, il quale richiede che i dati siano disponibili, integri e gestiti correttamente in base alla loro confidenzialità e classificazione. “Rispettare questi principi non solo riduce i rischi per l’azienda, ma contribuisce anche a garantire un uso etico dei dati, evitando attività che non siano in linea con lo scopo per cui i dati sono stati raccolti”.

L’intelligenza artificiale in tema di salvaguardia dei dati è un argomento di grande rilevanza e attualità, come dimostrato anche dall’intervento del Garante per la protezione dei dati personali. “L’adozione di questi strumenti comporta una serie di rischi che vanno gestiti con attenzione”. Uno dei rischi principali è che all’interno di un’organizzazione vengano trattati dati confidenziali o segreti in modo improprio, uscendo dal perimetro aziendale o violando la privacy di persone fisiche. “Ciò potrebbe portare a violazioni delle normative sulla protezione dei dati, violazioni della proprietà intellettuale e brevetti di terze parti, con tutte le conseguenze legali e reputazionali che ne derivano”. Questi rischi devono essere affrontati e gestiti adeguatamente, soprattutto considerando che l’utilizzo dell’intelligenza artificiale è sempre più diffuso sia nell’ambito aziendale che a livello personale. “È importante che le organizzazioni adottino politiche e procedure rigorose”.

Il futuro della data-driven economy è già realtà, ma è fondamentale che il progresso tecnologico avvenga nel rispetto dei principi etici e della sostenibilità. “È responsabilità dei legislatori, delle aziende e di tutti gli attori coinvolti indirizzare correttamente questo progresso, assicurando che sia compatibile con il rispetto dei diritti e della dignità delle persone e con la tutela dell’ambiente”[…] continua a leggere People in Compliance#34