La digital forensics per la gestione integrata di dati, consensi e informative
Il servizio Websign a supporto del GDPR.
Anche se è passato un anno dall’avvento del GDPR non credo sia possibile tirare le somme. Parliamo di un regolamento, forse il primo, ad aver avuto un impatto a tutto tondo per le aziende, che ha reso obbligatorio il coinvolgimento di professionisti di diversa estrazione. E diciamo anche che le sanzioni comminate dai “garanti della privacy” nazionali sono tuttora irrisorie, tanto da non aver stimolato il risk management delle aziende a considerare seriamente tali potenziali sanzioni.
Seppur l’adeguamento iniziale sia stato prevalentemente appannaggio di avvocati ed esperti di business process reengineering, col passare del tempo ci si è resi conto della necessità di aumentare considerevolmente, da un lato, l’attenzione nei confronti di cyber e information security, dall’altro, l’esigenza per tutte quelle realtà che operano anche online, di rendere accessibili e quanto più usabili le loro interfacce utente, introducendo nuovi paradigmi nella progettazione di servizi, prodotti e soluzioni, come ad esempio il design thinking o il service design.
Inoltre, se torniamo un istante al tema cyber e ragioniamo in ottica incident response in ambiente digitale, non possiamo non pensare anche all’introduzione di competenze e procedure di digital forensics a dimostrazione dell’adeguatezza delle misure tecnologiche adottate dall’azienda per la gestione dei rischi specifici. Ad esempio, se pensiamo a un data breach, riuscire a dimostrare che non si era trattato di un errore dozzinale ma di un avvenimento isolato e pressoché incontrollabile, permetterà con molta probabilità di mitigare fortemente l’eventuale sanzione.
Proprio per questo motivo Intesa (Gruppo IBM) e Kopjra hanno unito le forze per progettare e sviluppare Websign, una soluzione (patent pending) con solide fondamenta di digital forensics che risponde a uno dei temi portanti sollevati dal GDPR e per il quale fino ad ora non vi era ancora una risposta tecnologica concreta. Mi sto riferendo alla certificazione dell’accettazione online delle informative privacy e cookie da parte di utenti, clienti e fornitori di un’azienda. Sostanzialmente una certificazione del ciclo di vita del consenso, a tutela sia dell’azienda sia dello stakeholder coinvolto nel processo da certificare.
Rispetto alla gestione dei consensi, infatti, il GDPR ha introdotto il requisito della verificabilità del consenso (art. 7) anche se l’interpretazione di tale requisito ricade nell’ambito del principio di accountability e quindi sarà onere del titolare del trattamento mettere in atto le misure tecnologiche ritenute idonee rispetto all’impatto negativo potenziale associato a questo rischio specifico.
Perché è importante una soluzione che disponga di solide fondamenta di digital forensics?
Sempre più frequentemente si sta rendendo necessaria, per questioni di conformità interna (regulatory compliance, risk management, internal auditing, ecc.) o esterna (accertamento da parte di autorità competenti, contenzioso, ecc.), una dimostrazione incontrovertibile di quanto accettato online dai propri utenti, clienti e fornitori.
Il servizio Websign è stato progettato per essere conforme a quanto prescritto dallo standard internazionale di digital forensics ISO/IEC 27037:2012 “Guidelines for identification, collection, acquisition and preservation of digital evidence”, già considerato best practice da parte di giudici della Corte di Cassazione e della Corte di Giustizia dell’Unione Europea per la produzione in giudizio di evidenze digitali.
Grazie a Websign sarà possibile garantire il rispetto dei requisiti di qualità, sicurezza, integrità e immodificabilità. Tali requisiti, infatti, secondo il Codice dell’Amministrazione Digitale, sono la base affinché si possa “misurare” il valore probatorio di un documento informatico. Quindi, anche se l’oggetto tracciato da Websign è un’interazione avvenuta online, presumibilmente tra un’azienda e un suo stakeholder, le garanzie offerte sono le medesime. Di conseguenza, questa trasparenza implicita nel trattamento non permetterà alle aziende di abusare dei dati raccolti ma nemmeno agli stakeholder di disconoscere le azioni compiute.
Il futuro dei dati, a mio avviso, prenderà forma nei prossimi anni con le prime piattaforme di data monetization alle quali utenti e aziende potranno accedere per vendere e acquistare l’equivalente digitale del DNA. Uno scenario verso una profilazione delle abitudini di acquisto dei consumatori, finalmente consapevoli e capaci di generare profitto a partire dai propri dati personali. Se tale scenario si dovesse avverare, emergeranno con forza le esigenze di rendere trasparente la raccolta di dati e consensi, dimostrare l’autenticità della provenienza dei dati e controllare in tempo reale chi e come utilizzerà tali dati a proprio vantaggio, non solo economico ma anche strategico. Utopia o distopia? Non resta che aspettare qualche anno prima che queste piattaforme diventino mainstream.
