GDPR: da una conformità statica a una conformità fuzzy

I rischi dei test di disaster recovery e business continuity

GDPR, criteri oggettivi e scelte soggette a interpretazione. Ma esiste uno strumento in grado di garantire al titolare o all’auditor di valutare la conformità delle scelte effettuate?

Chiunque stia implementando il GDPR si sarà trovato di fronte a più di un dubbio là dove, rispetto alle tradizionali misure minime di sicurezza, deve confrontarsi con la scelta di misure “adeguate” la cui valutazione è demandata al titolare. Questo è solo uno degli adempimenti previsti dal GDPR che richiedono una presa di posizione autonoma da parte del titolare che, molto più responsabilizzato, deve valutare attentamente le proprie scelte. Ma esiste uno strumento che consenta a un titolare o a un auditor di valutare la conformità delle scelte effettuate? Al riguardo, sarebbe utile disporre di strumenti che guidino sia nella scelta iniziale sia nella successiva valutazione di conformità tramite criteri oggettivi e ripetibili.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

[spacer color=”8BC234″ icon=”fa-info” style=”1″]

Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.

Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola

Clicca qui per scaricarlo gratuitamente

[spacer color=”8BC234″ icon=”fa-info” style=”1″]

Inoltre, una conformità autodefinita è di per sé sia dinamica (we go from static to dynamic compliance[1]) sia incerta o, se vogliamo “sfumata” (fuzzy). Entrambi questi aspetti sono gestibili dalla logica fuzzy, un’estensione della normale logica aristotelica che è basata sul principio del terzo escluso (chi è alto non è basso, chi è bianco non è nero…), nata per trattare tutte le sfumature di grigio che ci sono tra il bianco e il nero e che rappresentano l’incertezza.

Per capire la logica fuzzy useremo il celebre sillogismo di Socrate: Socrate è un uomo; l’uomo è mortale; Socrate è mortale e qui siamo nel tradizionale. Purtroppo, non tutti i problemi sono «in bianco e nero». Per esempio: L’uomo sano vive a lungo; Socrate ha il raffreddore; Socrate vivrà a lungo o no? Saremmo tutti portati a dire che Socrate vivrà a lungo in quanto il raffreddore è una malattia blanda che di solito non porta alla morte, ma questo può essere quantificato. Socrate comunque non è perfettamente sano, ma appartiene contemporaneamente all’insieme degli uomini sani (con un elevato grado di appartenenza) e all’insieme degli uomini malati (con un basso grado di appartenenza).

Leggi anche:  Passare dallo Zero Trust al “Tailored Trust” per migliorare il benessere dei dipendenti

Tradotto in termini fuzzy, ci si potrà quindi esprimere non più con un giudizio di conformità assoluta, ma sul singolo adempimento, su parti di esso, sull’intero GDPR con un insieme continuo di valori. Ma chi è in grado di determinarli? Alcuni aspetti di natura più formalizzata, come il contenuto di un’informativa, potranno essere valutati secondo logiche altrettanto formalizzate, ma altri aspetti quali appunto le misure di sicurezza richiedono una valutazione più articolata, complessa, soggetta a interpretazione. L’insieme di elementi da prendere in considerazione sono molto numerosi e appannaggio di pochi esperti. Anche in questo, la logica fuzzy può essere di aiuto. Grazie a essa è possibile creare con relativa facilità dei Sistemi Esperti (SE) – un programma che, adeguatamente addestrato, è in grado di rispondere a un problema come risponderebbe un esperto umano – neurofuzzy[2], nei quali “formalizzare” le conoscenze e le competenze di uno o più esperti in materia. Oggi, l’utilizzo di questo approccio (già noto da parecchi anni e non molto diffuso per la sua originale difficoltà di sviluppo) è enormemente facilitato: concretamente, si tratta di compilare dei semplici fogli Excel con i dati noti nei quali inserire una serie di parametri in ingresso e i risultati attesi; sarà un apposito software che permetterà al sistema di elaborare l’algoritmo che lega questi elementi, superando il limite dei SE tradizionali finora disponibili: l’incapacità dell’esperto umano di formalizzare le proprie conoscenze e delegarle all’elaboratore. Un altro esempio questo, di applicazione dell’intelligenza artificiale al mondo della conformità (RegTech).

Giancarlo Butti, auditor e docente di CLUSIT


[1] Isabelle Falque Pierrotin Chief of WP29, april 2016

[2] Un sistema esperto neurofuzzy combina la capacità di apprendimento di una rete neurale con le caratteristiche della logica fuzzy. Per maggiori dettagli: Intelligenza artificiale e soft computing. Applicazioni pratiche per aziende e professionistiL. Schiavina, G. Butti (2017) FrancoAngeli

Leggi anche:  Oltre al danno anche la beffa

 

[spacer color=”8BC234″ icon=”fa-info” style=”1″]

Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.

Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola

Clicca qui per scaricarlo gratuitamente

[spacer color=”8BC234″ icon=”fa-info” style=”1″]