(Telepass) Oltre il GDPR, la privacy si integra nei processi aziendali

Telepass, nata negli anni ‘90 come divisione commerciale di Autostrade per l’Italia per la gestione e riscossione dei sistemi di pagamento automatico del pedaggio autostradale e dal 2016 società indipendente, negli ultimi tempi ha vissuto una radicale trasformazione digitale, diventando un attore chiave nella mobilità integrata. Questo processo di evoluzione ha portato l’azienda a proporre un’ampia gamma di servizi ai clienti con un’unica APP, per offrire un ecosistema digitale della mobilità a 360 gradi a servizio della clientela.

“La sfida principale per chi si occupa di protezione dei dati è mantenere il passo con le esigenze di business in termini di velocità e innovazione, garantendo al contempo la sicurezza e la conformità dei dati”, spiega Davide Ajello, Data Protection Officer (DPO) di Telepass a compliancedesign.it.

La sfida principale per chi si occupa di protezione dei datiè mantenere il passo con le esigenze di business in termini di velocità e innovazione, garantendo al contempo la sicurezza e la conformità dei dati.

“Questo comporta l’esecuzione di processi di valutazione dei rischi e privacy impact assessment, nonché l’adozione di soluzioni innovative per tematiche non sempre evidenti.” Una velocità nel supporto del business che tuttavia non deve essere interpretata né come superficialità né come assunzione di rischi non necessari. “La velocità si riferisce in primo luogo a rapidità e flessibilità di pensiero nell’adattare i modelli di compliance tradizionali a nuovi business che potrebbero non essere ancora regolamentati o previsti dalle normative esistenti”.

Un fattore chiave per mantenere questa rapidità è l’aggiornamento continuo del DPO rispetto ai nuovi framework normativi, ai provvedimenti del Garante e alle opinioni dell’European Data Protection Board. “Essere preparati in anticipo accelera notevolmente il processo, poiché non è necessario studiare le tematiche da zero, ma siamo già informati e pronti a fornire risposte al mercato in modo molto più rapido.”

Il legislatore ha capito che il processo non può essere governato efficacemente senza un controllo sull’intera catena di gestione. Questo include la conformità al GDPR, ai requisiti di sicurezza informatica e ai piani di business continuity.

In tale contesto, infatti, il panorama normativo dei dati non può più prendere come riferimento esclusivamente il GDPR. “Dobbiamo considerare il tema dei dati e delle informazioni all’interno di un quadro normativo molto più ampio e complesso”, indica Ajello. “Ci sono le strategie europee per la sicurezza dei dati che pongono al centro la garanzia della sicurezza, la resilienza dei sistemi e delle organizzazioni, nonché la pianificazione degli obiettivi aziendali anche nell’ambito dei processi di analisi del rischio. Inoltre, ci si collega anche ai temi ESG. Tali normative richiedono un approccio centrato su valori e processi fondamentali”. Il riferimento va al Digital Services Act, al Digital Markets Act, all’AI Act, al regolamento sull’identità digitale europea (eIDAS), alla NIS 2, al Cyber Resilience Act (CRA) e al DORA.

Ad oggi anche il tema delle terze e quarte parti è diventato centrale. “Il legislatore ha capito che il processo non può essere governato efficacemente senza un controllo sull’intera catena di gestione. Questo include la conformità al GDPR, ai requisiti di sicurezza informatica e ai piani di business continuity. Se un fornitore critico garantisce la continuità operativa, è essenziale che anche i suoi sub-fornitori rispettino gli stessi standard, per evitare che la catena si spezzi”.

Valori e processi al centro della privacy
Per potersi orientare, un DPO deve mettere alcentro valori e processi ben definiti, comprendendo quali sono i valori da tutelare e i processi da mappare per garantire tale tutela. Il GDPR, ad esempio, è antropocentrico e pone al centro l’interesse dell’individuo. “Durante le attività di formazione, sottolineo che tutte le decisioni, comprese le valutazioni di impatto privacy, devono considerare non solo l’impatto sull’azienda, ma soprattutto l’impatto sull’interessato”. Questa scala di valori deve essere applicata anche quando si definiscono i piani di compliance per altri framework normativi. È fondamentale quindi comprendere la ratio legis, ciò che il legislatore intende realmente tutelare, e basare su questi principi la nostra struttura di compliance.

Davide Ajello

La compliance deve essere vista come un fattore abilitante per il miglioramento dei processi aziendali. Il lavoro del DPO non solo protegge l’azienda da sanzioni, ma migliora anche i processi attraverso l’adozione delle best practice. “Il nostro lavoro crea valore, anche se spesso è un valore indiretto non immediatamente percepito dal business come un aumento di fatturato.

Dobbiamo quindi essere in grado non solo di creare valore ma anche di trasmettere questo messaggio al management. Farci percepire dai “C-Level” come un effettivo fattore di crescita è importante tanto quanto il lavoro di sostanza fatto a monte. Stiamo quindi lavorando su come migliorare il nostro storytelling, nonché la coerenza e la semplicità dei messaggi per parlare la stessa lingua dei CEO”.

Nei prossimi anni, il ruolo del DPO diventerà quindi sempre più complesso.
“La collaborazione tra le diverse funzioni aziendali, come audit, compliance e cybersecurity, è fondamentale per farsi trovare pronti a vincere questa sfida”.
La collaborazione con le altre funzioni sarà quindi sempre più stretta, rendendo il DPO una figura sempre più integrata nelle dinamiche aziendali. “Un valore aggiunto significativo è l’integrazione del DPO all’interno dell’azienda. Questo non significa che un DPO esterno non possa essere efficace, ma dovrà avere frequenti momenti di confronto con l’azienda, anzi dovrà viverla”.

Il tema della formazione è centrale, perché oltre a essere un obbligo, diventa un driver necessario per creare quella cultura e sensibilità che ci aiutano a identificare eventuali minacce, gestire correttamente i processi dal punto di vista della privacy e adempiere alle indicazioni previste nelle nostre procedure.

Formazione e cultura della privacy
Il tema della formazione è centrale, perché oltre a essere un obbligo, diventa un driver necessario per creare quella cultura e sensibilità che ci aiutano a identificare eventuali minacce, gestire correttamente i processi dal punto di vista della privacy e adempiere alle indicazioni previste nelle nostre procedure.

“Il mio obiettivo nella formazione non è necessariamente creare degli esperti, ma accrescere la sensibilità affinché le lampadine si accendano.”
La formazione deve essere adattata al pubblico di riferimento e coinvolgere le funzioni aziendali pertinenti per rendere il messaggio più efficace. ”
“Una soluzione che ho trovato efficace per aumentare l’engagement è organizzare la formazione privacy a ‘quattro mani’, coinvolgendo un referente della funzione aziendale pertinente”. Questo approccio rende il messaggio molto più efficace, poiché il collega operativo parla la stessa lingua degli operatori e comprende le loro difficoltà quotidiane. Questo approccio è stato utilizzato, ad esempio, nella creazione di un manuale privacy per gli operatori del customer care, dove parte della formazione è stata dedicata alla gestione dei consensi […] continua a leggere People in Compliance#37