GDPR. I vantaggi di una “cartografia” dei dati e dei flussi di dati personali

  • Tempo di lettura: 5 minuti
cartografia dei flussi

Che cosa intendiamo per cartografia? 

Probabilmente dovremmo intendere quel ramo della scienza che ha per oggetto la rappresentazione della superficie terrestre, o di parte di essa, e quindi la preparazione delle carte geografiche. 

Perché l’uomo ha sviluppato questa scienza? 

La cartografia ebbe origine presumibilmente all'inizio della storia umana: con l'evolversi della civiltà l'uomo per le sue attività ha sentito il bisogno di rappresentare la terra, al fine di agevolare i suoi spostamenti per scopi sia economici che militari...

L’utilità di una mappa 

A cosa serve una mappa, una “cartografia” quando parliamo di data protection? 

Forse sarebbe utile porsi una domanda diversa; come possiamo pensare di proteggere e di fare buon uso dei dati personali che dobbiamo trattare all’interno della nostra organizzazione se non sappiamo: 

  • I punti di ingresso e di raccolta dei dati personali 
  • La quantità e la qualità dei dati che dobbiamo trattare 
  • Su che sistemi informativi risiedono questi dati 
  • Quale percorso fanno i dati all’interno dei nostri sistemi informativi 

Ecco, quindi, la necessità di una mappa, una “cartografia”. 

Abbiamo un bisogno mandatorio di avere un punto di riferimento, una mappa per orientarci per definire priorità e il corretto percorso che ci guiderà in un approccio ben posto rispetto alla normativa europea sul trattamento dei dati personali. 

Come fare? 

Innanzitutto, dividendo la complessità in due tipologie di intervento: 

  1. Cartografia AS-IS dei dati personali trattati, ossia quali dati sta trattando ad ora la mia organizzazione.
  2. Cartografia AS-IS dei flussi informativi, una IT blue print dei sistemi informativi che trattano dati personali 

Cartografia AS-IS dei dati personali trattati 

L’intervento deve mirare all’emersione delle seguenti evidenze: 

La consapevolezza dell’organizzazione rispetto ai dati in termini quantitativi  

In questa attività emergono spesso i primi campanelli d’allarme non solo in termini di esposizione al rischio, ma anche di efficienza. Alcuni esempi: 

  1. Sulla quantità se l’azienda X ha ad esempio 100 aziende clienti ma sul CRM aziendale sono presenti 10.000 contatti, è palese che qualcosa non torna. Come minimo stiamo trattando molti più dati di quelli che sono necessari al business, qualora questi dati fossero in disuso il disuso si configurerebbe come un trattamento (per la norma) che per l’azienda non ha alcun valore, poiché quei dati non generano evidentemente nuovo business ma solo confusione sulla base dati necessaria non solo a vendere, ma anche ad erogare tutti i servizi accessori, come le assistenze. 
  2. Sempre sulla quantità se l’azienda X opera mediamente 10 assunzioni all’anno perché l’ufficio HR ha archiviati oltre 1000 cv? Cosa ottiene da una mole di dati così imponente? 

La necessità da parte dell’organizzazione di trattare quei dati 

Partendo da una prima divisione tra dati personali e dati personali particolari, si creano delle classi di dati divise per reparto e/o tipologia andando ad interrogarsi sull’opportunità di trattare il dato da parte dell’azienda. Qui non si ricerca il dato atomico “Mario” ma ci si chiede se l’azienda tratta la tipologia di dato “NOME” e per quale motivo. Ancora un esempio per semplicità: 

  1. Se l’azienda X per la tipologia di attività svolta deve effettuare visite mediche che appalta alla società Y, perché deve archiviare i referti medici presso i propri sistemi configurandosi come Titolare del Trattamento di dati personali particolari, ed esponendosi quindi ad ulteriori obblighi burocratici e ad un rischio sanzionatorio e penale elevato? 

L’allocazione dei dati 

In ultima istanza l’attività serve per capire dove ma soprattutto da chi questi dati sono trattati, se sono trattati (ricordando che anche la sola archiviazione si configura come un trattamento) e se chi li tratta ha il diritto di farlo e soprattutto ha le competenze per farlo. Ancora un paio di esempi per chiarire:

1. Dai sistemi aziendali spesso e volentieri i collaboratori estraggono liste di dati (anche personali) che tendenzialmente vengono utilizzati su fogli di calcolo per scopi specifici. Il risultato è un accumulo di dati personali in archivi paralleli che non vengono gestisti. Alcuni esempi:

  • Estrazione di liste contatti per comunicazioni di servizio 
  • Estrazione di liste contatti per valutazioni di carattere commerciale
  • Estrazione di liste contatti per l’invio di regali 
  • Estrazione di liste contatti per comunicazioni di carattere commerciale 

Si potrebbe continuare all’infinito, il risultato è comunque una frammentazione dei dati disponibili, una moltiplicazione degli stessi dati, spesso errori causati dall’impossibilità di non aggiornare le basi dati soprattutto se si lavora in locale e su fogli di calcolo. Su quest’ultimo aspetto un esempio calzante è la comunicazione di servizio che arriva ad un ex-cliente perché la base dati utilizzata che risiede su un foglio di calcolo non è aggiornata, qui più che di normativa a rimetterci è l’immagine di efficienza che ogni azienda dovrebbe trasmettere. 

2. Sempre sull’HR il tema dei CV diventa fondamentale perché la circolazione di questi dati all’interno dell’infrastruttura aziendale avviene spesso con mezzi errati e diffonde dati a persone che non dovrebbero essere autorizzate al trattamento, non ultimo i CV che restano in locale generano archivi di dati uguali assolutamente inutili ma che pongono comunque l’azienda al di fuori del quadro normativo. 
Poniamo che sia in corso la selezione di un addetto al reparto produttivo, giustamente il recruiter aziendale condividerà il CV del candidato al caporeparto per una valutazione tecnica. 
È proprio necessario che in questa situazione il caporeparto tratti dati personali? 

  • Nome 
  • Cognome  
  • Genere 
  • Stato civile 
  • Indirizzo e-mail 
  • Indirizzo di residenza/domicilio 
  • Eventuale iscrizione a categorie protette 
  • Gusti e tendenze personali  

Mentre per una valutazione tecnica sarebbe necessario esclusivamente trasmettere la componente di carriera e di percorso formativo del candidato? 

Gli esiti dell’attività 

L’attività si deve concludere con la creazione di: 

  • una mappatura AS-IS dei dati trattati dall’azienda
  • una valutazione di esposizione al rischio con relativa quantificazione
  • un elenco di attività di rimedio e consigli 

Next steps dell’attività 

  • Attività di aggiornamento della cartografia (3/6/12 mesi a seconda delle esigenze specifiche), l’azienda e il business evolvono non è possibile non rivedere le mappature periodicamente. 

Attività correlate e consigliate 

  • Cartografia AS-IS dei flussi informativi 
  • Mappatura degli autorizzati al trattamento e moduli di formazione specifica 

Cartografia AS-IS dei flussi informativi 

L’intervento deve mirare all’emersione delle seguenti evidenze 

a. Consapevolezza dei punti di ingresso dei dati personali e loro monitoraggio 

È evidente che, se non so da dove la mia azienda raccoglie dati personali e chi è preposto al controllo difficilmente posso immaginare di implementare logiche di protezione dei dati personali. 

b. Consapevolezza nel percorso sui sistemi e dell’utilità degli stessi  

Qui l’obiettivo è disegnare un’IT Blueprint in senso data protection dove valutare il transito, l’eventuale archiviazione ma soprattutto i dati realmente trattai dalle diverse tecnologie e reparti. 

Nel mondo ideale tecnologie e reparti dovrebbero trattare esclusivamente il dato necessario ad evadere i propri processi, estraendo l’informazione da un luogo condiviso (ma opportunamente segregato) evitando duplicazioni ed archivi doppi spesso statici e quindi non aggiornabili automaticamente, che oltre ad esporre l’azienda a rischi sanzionatori, la portano a chiare inefficienze.  

Per concretezza se l’interessato ha dato all’azienda i dati A, B, C, D e l’azienda usa quei dati nei reparti 1,2,3 è necessario chiedersi se il reparto 1 deve per forza usare tutti i dati disponibili o per le sue funzioni è necessario esclusivamente il dato A. Si può quindi costruire uno schema tipo:

  1. ABCD
  2. AD
  3. nd

c. Consapevolezza sui dati personali in uscita dall’azienda o in distruzione

L’obiettivo qui evidenzia 2 aspetti della normativa ma anche dei processi aziendali: 

  1. L’azienda è un organismo che prende informazioni le trasforma e ne distribuisce altre verso l’esterno. Capiamo dove vanno queste informazioni 
  2. E se queste informazioni sono dati personali dove vanno? Chi le tratta? Ho il diritto come azienda di trasmetterle a terzi? Ma ancora prima a questi terzi servono queste informazioni? 

Senza entrare nel merito burocratico delle nomine, del Responsabile e dei sub-Responsabili questa attività ci indica l’esposizione a rischi ed inefficienze che possono determinare anche gravi violazioni si pensi all’errata trasmissione di dati personali a soggetti terzi non autorizzati al trattamento. Un esempio potrebbe essere quello delle buste paga che spesso vengono affidati a terzi, il documento in oggetto indica molti aspetti della posizione socioeconomica della persona. Come li tuteliamo? Al fine di evitare non solo sanzioni ma anche malumori tra i collaboratori? 

Esiti dell’attività 

L’attività si deve concludere con la consegna di: 

  • Cartografia AS-IS dei flussi informativi 
  • Una IT blueprint nelle logiche di data protection che evidenzia tecnologie/reparti e dati trattati 
  • Una valutazione di esposizione al rischio con relativa quantificazione 
  • Un elenco di attività di rimedio e consigli 

Next steps dell’attività 

  • Attività di aggiornamento della cartografia e del GDPR IT blueprint (3/6/12 mesi a seconda delle esigenze specifiche) 

Attività correlate e consigliate 

  • Mappatura degli autorizzati al trattamento e moduli di formazione specifica.
  •  Web MKT-GDPR, ossia uno dei punti di maggior raccolta di dati personali, per le aziende dotate di una moderna infrastruttura di digital marketing.