dati personali

Governance e digitalizzazione, alcuni concetti fondamentali per la gestione del rischio

di |

In questo articolo si ripercorrono quindi i concetti fondanti della valutazione dei rischi rispetto alla UNI ISO 31000:2018 soprattutto in relazione alla sicurezza e protezione dei dati personali.

La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.

Nella proposta di Linee Guida per la stesura del piano di cessazione del servizio di conservazione dei documenti digitali (Linee guida ex art. 71 del CAD) di AgID pubblicate su Docs Italia (previsto anche dall’art. 24 del Regolamento e-IDAS (UE) n. 910/2014, applicabile ai conservatori accreditati, e richiamato dal CAD all’articolo 29, comma 2, “Qualificazione e accreditamento”) si sottolinea l’importanza di gestire in modo adeguato la valutazione dei rischi connessi alla cessazione del servizio di conservazione, nel rispetto dei diritti degli interessanti, con riferimento anche alla  norma UNI ISO 31000:2018, nell’allegato A.

Recentemente sul tema è intervenuto anche il Garante della Protezione dei Dati Personali con parere dello scorso 16 aprile 2020.

La UNI ISO 31000:2018 costituisce un riferimento standard per la tematica di gestione del rischio. Si tratta di un elemento chiave per la conduzione di una governance della digitalizzazione, che abbraccia i concetti comuni di sistema di qualità, sicurezza delle informazioni, protezione dei dati personali. Adottare quindi in modo consapevole un modello standard di gestione della valutazione dei rischi diventa un passaggio necessario per la conduzione di progetti di digitalizzazione e ancora di più per i servizi fiduciari, come quello della conservatoria.

Un alleato per la protezione del valore aziendale

Del resto, il tema della gestione del rischio viene introdotto nella norma come uno strumento a protezione della creazione di valore di una azienda, quindi del suo business. La gestione del rischio migliora le prestazioni aziendali, incoraggia l’innovazione e sostiene il raggiungimento degli obiettivi.

Questa norma non è l’unica a parlare di gestione del rischio come strumento di governance di un servizio, infatti il medesimo concetto si ritrova come elemento cardine nell’ambito della sicurezza delle informazioni nella UNI CEI ISO/IEC 27001; nei diversi strumenti offerti da ENISA e dallo schema di certificazione ISDP 10003:2018, accreditato da Accredia  secondo la norma UNI EN ISO 17065, al fine di valutare la conformità al GDPR nell’ambito della protezione dei dati personali ed è uno degli approcci cardine nella attuazione della ISO 9001:2015 in ambito di certificazione di qualità.

In ultima considerazione, accentuata anche dalla gestione della ripartenza dopo gli effetti della crisi dovuta alla pandemia, la gestione dei rischi diventa strumento per la conduzione consapevole dell’incertezza causata anche dalla necessità spinta dalla digitalizzazione dei procedimenti, in riposta alla necessità di gestire il cambiamento organizzativo e dei processi aziendali.

Alcuni concetti fondamentali per la gestione del rischio

In questo articolo si ripercorrono quindi i concetti fondanti della valutazione dei rischi rispetto alla UNI ISO 31000:2018 soprattutto in relazione alla sicurezza e protezione dei dati personali.

I principi delineati nella figura seguente forniscono una guida sulle caratteristiche di efficacia ed efficienza gestione del rischio, comunicandone il valore e spiegandone l’intenzione e lo scopo. I principi sono la base per la gestione del rischio da considerare nel momento in cui si determina il livello dell’organizzazione quadro e processi di gestione. Questi principi dovrebbero consentire a un’organizzazione di gestire gli effetti dell’incertezza sui suoi obiettivi.

(fonte: INTERNATIONAL STANDARD ISO 31000 Second edition 2018-02)

I principi delineati nella figura forniscono una guida sulle caratteristiche di efficacia ed efficienza della gestione del rischio, comunicandone il valore e spiegandone l’intenzione e lo scopo. Questa è la base per la gestione del rischio, che dovrebbe consentire a un’organizzazione di gestire gli effetti dell’incertezza sui suoi obiettivi.

Lo scopo del framework è quello di aiutare l’organizzazione a integrare i rischi di incertezza nella gestione in attività e funzioni significative. L’efficacia dipenderà dalla sua integrazione nella governance dell’organizzazione, a partire dal processo decisionale e quindi dal ruolo del management.

L’integrazione della gestione dei rischi si basa sulla comprensione delle strutture organizzative e del contesto, che differiscono a seconda dello scopo, degli obiettivi e della complessità dell’organizzazione. Il rischio è presente e deve essere gestito in ogni parte della struttura dell’organizzazione, così come l’intera struttura aziendale persegue gli obiettivi ed è pervasa dalla incertezza del loro raggiungimento. Di conseguenza, a diversi livelli, tutti in un’organizzazione hanno la responsabilità della gestione del rischio.

La governance guida il corso dell’organizzazione, le sue relazioni esterne e interne e le regole,

processi e pratiche necessari per raggiungere il suo scopo. Le strutture di gestione traducono la governance direzione verso la strategia e gli obiettivi associati richiesti per raggiungere i livelli desiderati di sostenibilità prestazioni e redditività a lungo termine. La determinazione della responsabilità della gestione dei rischi e dei ruoli di supervisione all’interno di un’organizzazione è parte integrante della governance dell’organizzazione.

L’integrazione della gestione del rischio

L’integrazione della gestione dei rischi è un processo dinamico e iterativo, da personalizzare in base alle esigenze e alla cultura dell’organizzazione. La gestione dei rischi dovrebbe integrata e non separata dallo scopo organizzativo, dalla governance, dalla leadership e dall’impegno del management, dalla strategia, e quindi dagli obiettivi e operazioni.

Sicuramente vale la pena soffermarsi nella chiara definizione dei concetti che stanno alla base della valutazione dei rischi ad iniziare con le definizioni standard di rischio:

L’ effetto dell’incertezza sugli obiettivi

È spesso prassi diffusa definire i rischi come in termini di “fonti”, eventi potenziali, loro conseguenze e loro probabilità. Però porre al centro gli obiettivi è di sicuro stimolo per individuare in modo preventivo quali sono gli attori chiave coinvolti nel processo, le loro aspettative e gli obiettivi conseguenti che l’organizzazione persegue. Questa visione, in linea con gli aspetti trasversali di qualità, sicurezza e protezione dei dati, aiuta sicuramente l’individuazione dei rischi, e poi di conseguenza le fonti, eventi, conseguenze e probabilità e quindi le misure preventive e correttive da mettere in atto.

Parlando quindi di conservazione digitale e di piano di cessazione del servizio una corretta strada di analisi per la sua redazione dovrebbe partire, magari riprendendo quanto fatto per l’ottenimento della certificazione sulla sicurezza delle informazioni e qualità, dall’individuazione degli attori coinvolti e delle loro aspettative, ove il Garante raccomanda di includere gli interessati e quindi le esigenze di tutela e protezione dei propri dati. Va quindi analizzato il processo di cessazione, che può presentare anche aspetti molto diversi a seconda della tipologia e contesto in cui opera il conservatore. Quali sono gli obiettivi che vanno perseguiti, sia perché cogenti nella norma, sia perché fondamentali per il servizio offerto.

La possibilità che “succeda qualcosa”

L’altro termine presente nella norma che merita qualche riflessione e spunto è quello di “likelihood” che non trova un’esatta corrispondenza di concetto in italiano. Il termine è usato per indicare la possibilità che “succeda qualcosa”, che sia definito, misurato o determinato in modo obiettivo o soggettivo, qualitativo o quantitativamente, descritto usando termini generali o matematici (come una probabilità o una frequenza su un dato periodo di tempo). Molto spesso si tende a dare troppa importanza al rendere strettamente quantitativa la descrizione e la sua misura prediligendo un approccio sulla probabilità, frequenza e misura matematica; ma può condurre ad una visione parziale che sottostima o nasconde dei rischi non espressi e quindi non valutati.

In conclusione, in questa fase di ripartenza, il management coinvolto nella governance della digitalizzazione deve mettere tra le priorità una valutazione degli impatti dell’incertezza sui propri obiettivi, ovvero una corretta gestione dei rischi, trasversale alle tematiche di qualità, sicurezza e protezione dei dati personali; in cui la norma UNI ISO 31000:2018 fornisca validi strumenti di riflessione e attuazione.

Di Andrea Piccoli, ingegnere – Advisory Chief Digital Officer di Dgroove e componente del D&L Net.