Il Modello di Maturità Privacy: perché è così importante per imprese e DPO?

Articolo header

Il CNIL, l’Autorità francese per la protezione dei dati personali (“Commission nationale de l'informatique et des libertés”) ha pubblicato un “modello di maturità” per la gestione della protezione dei dati.


Il “maturity model” 

I “modelli di maturità” (“maturity models” in inglese) sono sistemi di valutazione che consentono alle organizzazioni di analizzare il proprio attuale stato di avanzamento in una particolare disciplina. Più alta è la maturità, più alte saranno le possibilità che ad incidenti o errori seguano miglioramenti, nella qualità o nell'uso delle risorse.

Questi modelli sono ben noti ed utilizzati in settori quali la gestione della qualità e dei processi aziendali. Col tempo, tuttavia, il loro ambito di applicazione si è diffuso, sino a ricoprire funzioni quali il marketing, le risorse umane e la sicurezza informatica. 

Uno dei modelli più conosciuti nell’ambito della gestione della sicurezza delle informazioni è l’O-ISM3, progetto che riunisce svariati standard (ISO 9000, COBIT, ITIL, ISO/IEC 27001:2013), cercando di ridurre il gap fra la teoria e l’applicazione pratica dei sistemi di gestione comunemente in uso. L’obiettivo finale che si pone il modello è il miglioramento continuo dell’organizzazione che lo applica, raggiungibile attraverso un approccio basato sui processi e la presenza di specifiche metriche di riferimento.

Il maturity model si sviluppa quindi sottoforma di una matrice, la quale fornisce, per una serie di criteri determinati (relativi a processi, prodotti o persone), una descrizione di come appaiono quando raggiungono livelli di maturità predefiniti. Capire il livello di maturità equivale a condurre un benchmark sul livello di sviluppo di un determinato settore dell’organizzazione.

Il modello di maturità nella privacy, applicazioni pratiche fino ad oggi

La protezione dei dati personali si basa su un complesso di attività realizzate da ogni organizzazione (direzione privacy, gestione del registro, controllo e supervisione legale, etc.). Tuttavia spesso accade che queste attività non vengano gestite sistematicamente in tutte le organizzazioni e/o in modo coerente.

Finora gli unici modelli di maturità presenti trovavano applicazione in contesti extra europei. Di particolare rilevanza il “Privacy Maturity Model AICPA/CICA” (PMM), svilluppato dall’“American Institute of Certified Public Accountants” e dal “Canadian Institute of Chartered Accountants” nel 2011, sulla base principi di privacy generalmente accettati (“Generally Accepted Privacy Principles” - GAPP), per aiutare le organizzazioni a rafforzare le loro politiche, procedure e pratiche sulla privacy.

L’assioma alla base del PMM (e dei modelli di maturità in generale), è che “diventare conformi è un viaggio, e i progressi lungo il percorso rafforzano l'organizzazione, indipendentemente dal fatto che l'organizzazione abbia o meno raggiunto tutti i requisiti”. Il vantaggio dell’utilizzo di modelli di maturità deriva proprio dal fatto che sono scalabili: non tutte le organizzazioni hanno bisogno di raggiungere il livello di maturità massimo, possono utilizzare il modello non solo come un meccanismo di valutazione, ma anche come una guida; come un modo per far luce su questioni specifiche; come riferimento per capire quante e quali risorse allocare alla privacy.

Nello sviluppo del PMM, è stato riconosciuto che le pratiche di protezione dei dati personali di ogni organizzazione possono essere a vari livelli, sia a causa di requisiti legislativi, sia a causa di determinate politiche di gruppo o di iniziative della singola organizzazione. Ciascuno dei 73 criteri, oggettivi e misurabili, sviluppati sulla base delle GAPP è suddiviso secondo cinque livelli di maturità. Questo permette alle entità di ottenere un quadro del loro adeguamento privacy, sia in termini di stato di fatto che, attraverso revisioni successive, dei loro progressi.

Un altro importante modello di maturità, il “Privacy Maturity Assessment Framework” (PMAF), è stato sviluppato più di recente, a marzo 2021, dal “Government Chief Privacy Officer” (GCPO) neozelandese. Il PMAF aiuta le organizzazioni a capire il loro attuale livello di maturità nella gestione delle informazioni personali e a identificare dove possono migliorare. 

L’approccio del PMAF neozelandese si differenzia dal PMM AICPA/CICA, in quanto meno concentrato sul business, sulle regole e sui rischi, e più sulle persone. Un approccio incentrato sulle persone (“people-centred approach”) è quello che si basa sulle prospettive e gli interessi dei singoli, che li rende partecipi attraverso la massima trasparenza. Il PMAF, infatti, si basa sulla “Data Protection and Use Policy” (DPUP), politica di protezione e utilizzo dei dati. Il modello di maturità neozelandese incoraggia le organizzazioni ad applicare l'ingegneria della privacy per rendere la protezione dei dati parte integrante del funzionamento dei sistemi aziendali.

La proposta del CNIL

Il progetto "Data Protection Management Maturity Model" del CNIL si pone i seguenti obiettivi:

  1. Trasporre il concetto di livelli di maturità, già definito per altri settori (per esempio nella ISO/IEC 21827), alla protezione dei dati;
  2. Individuare attività tipiche relative alla protezione dei dati;
  3. Illustrare per ogni attività tipica il livello di maturità, con esempi.

Il modello descrive otto attività tipiche relative alla protezione dei dati, per cinque diversi livelli di maturità. I livelli di maturità sono i seguenti (tradotti e sintetizzati): 

  • Livello 0: la protezione dei dati non è conosciuta o supportata all'interno dell'organizzazione e la necessità non è riconosciuta;
  • Livello 1: vengono realizzate alcune azioni isolate con pratiche di base. Le azioni sono attuate in modo informale e in risposta a richieste, senza un reale impegno da parte della leadership e senza un reale coordinamento tra coloro che attuano queste azioni;
  • Livello 2: le azioni sono eseguite da una persona con competenze in materia di protezione dei dati. Alcune pratiche sono formalizzate, permettendo la duplicazione e il riutilizzo (eventualmente da parte di un’altra persona). La protezione dei dati è controllata dalla direzione, ma l’intero business è lontano dall'essere coinvolto.
  • Livello 3: le azioni si svolgono secondo un processo definito (per esempio attraverso l'uso di metodi preimpostati), standardizzato (comune a tutta l’organizzazione) e formalizzato (con apposita documentazione). Le persone che eseguono le azioni hanno competenze adeguate e l'organizzazione sostiene il processo attraverso risorse, mezzi e formazione.
  • Livello 4: il processo è coordinato in tutto l'ambito scelto e per ogni esecuzione. Sono effettuate regolarmente misurazioni quantitative (per esempio in termini di valutazione della percentuale di progetti che considerano la protezione dei dati). Le misurazioni effettuate sono analizzate, ovvero viene individuato un soggetto responsabile dello studio degli indicatori, che si occupa dell’analisi degli stessi e della conseguente elaborazione di un piano d'azione. I miglioramenti vengono apportati al processo sulla base delle risultanze.
  • Livello 5: il processo si adatta dinamicamente alla situazione (ovvero miglioramenti e modifiche sono direttamente integrati). L'analisi delle misure prese è definita, standardizzata e formalizzata, così come il miglioramento dei processi.

Esempi di azioni o output illustrano i livelli di maturità per ogni attività tipica. 

Consideriamo l’azione di “Gestione delle violazioni di dati personali”: il livello 1 significa che l’organizzazione solo occasionalmente attua delle azioni correttive e talvolta decide anche di effettuare la notifica all’autorità Garante. Il livello di maturità massimo, invece, corrisponde ai casi in cui l’organizzazione ha integrato procedure di gestione automatica delle violazioni, che consentono di rilevare le stesse nel minor tempo possibile, di valutare l’accaduto al fine di identificare e implementare misure per migliorare la sicurezza dei dati. Inoltre, la gestione delle violazioni alimenta approfondimenti sul rischio (anche tramite specifiche valutazioni d’impatto). 

Un ausilio importante per i DPO

Il modello sviluppato dal CNIL è il primo realizzato da un’Autorità di controllo europea, dopo l’entrata in vigore del GDPR. Si tratta di un’iniziativa di valore, per sostenere le organizzazioni nel valutare il proprio livello di maturità e nel determinare come colmare le lacune tra la situazione effettiva ed il livello di adeguatezza a cui si punta (anche attraverso un piano d’azione dedicato). 

I soggetti che operano in qualità di DPO, in particolare, dovrebbero supportare l’azienda nel costruire la cultura della privacy e verificare che la stessa sia adeguatamente incorporata all’interno dell’organizzazione. Per fare ciò il modello di maturità è sicuramente un ausilio importante, che consente di misurare la compliance, fermo restando che “questa metodologia non è destinata a garantire una conformità di fatto. È uno strumento di aiuto nell'analisi che può contribuire a stabilire condizioni favorevoli per l'organizzazione delle azioni richieste e renderle durature, nella logica della responsabilità (accountability)”.  

In conclusione, l’auspicio è che la nostra Autorità garante segua le orme del CNIL e ci fornisca presto un modello di maturità da utilizzare. Iscriviti QUI alla newsletter ASSO DPO per restare aggiornato sul tema. 

Altre News