«Dobbiamo gestire i dati come gestiamo i soldi»

1. Quali sono le difficoltà da affrontare nel lavoro quotidiano?

Nicolas Passadelis: Negli ultimi anni le complessità nel campo delle telecomunicazioni e dell’IT sono ulteriormente aumentate. Allo stesso tempo, i vincoli legali e normativi per il trattamento dei dati si fanno sempre più stringenti. In questo scenario, garantire un trattamento dei dati conforme ai requisiti è senz’altro impegnativo.

2. Quali sono i capisaldi della compliance di Swisscom?

Swisscom impiega un sistema gestionale che garantisce la protezione e la riservatezza dei dati – e naturalmente la loro sicurezza. Ci atteniamo a standard riconosciuti a livello internazionale, tra cui diverse norme ISO. Il sistema gestionale è parte integrante di un sistema di gestione della compliance esteso a tutto il Gruppo. Parallelamente abbiamo definito un framework per l’etica dei dati che ci aiuta a chiarire le questioni etiche legate al trattamento dei dati e all’uso delle nuove tecnologie.

3. Per Swisscom quali sono le difficoltà legate alla protezione dei dati? E come vengono affrontate?

I dati che Swisscom elabora quotidianamente sono soggetti a diversi vincoli legali. A ciò si aggiunge il fatto che il trattamento dei dati può comportare rischi molto diversi tra loro. La difficoltà sta nel gestire efficacemente tutte queste criticità senza compromettere i processi tecnico-operativi. Per questo abbiamo allestito un portafoglio completo di misure tecniche, operative e di gestione del personale che ci aiutano a scegliere volta per volta la soluzione più idonea.

4. Come incide sui requisiti di compliance e protezione dei dati il fatto che Swisscom debba gestire un’«infrastruttura critica» nel rispetto delle disposizioni di legge in materia di telecomunicazioni?

Per dati e infrastrutture bisogna sempre garantire il massimo livello di protezione possibile. Da questo punto di vista nessun compromesso è giustificabile agli occhi dei clienti. I clienti ci affidano i loro dati e si aspettano che vengano sempre protetti adeguatamente. Ma è chiaro che alcuni dati e alcune infrastrutture necessitano di una protezione ancora maggiore. Anche questa è naturalmente un’esigenza di cui tenere conto.

5. Cosa comportano i nostri requisiti di compliance per i nostri partner, ad es. fornitori o partner IT per le PMI?

I dati devono sempre essere adeguatamente protetti. Che vengano trattati da noi o da un partner, non fa differenza. Poiché però di solito siamo noi a interfacciarci con i clienti, siamo noi a dover garantire la protezione dei dati da parte dei nostri partner. Per collaborare con noi, i partner devono pertanto essere disposti ad adeguarsi ai nostri requisiti. 

6. Che ruolo gioca il fattore umano nella protezione dei dati?

Ad oggi gioca ancora un ruolo decisivo. Siccome praticamente noi tutti lavoriamo quotidianamente con i dati, dobbiamo imparare a gestirli sempre con cautela. Dobbiamo cioè avere dimestichezza con i dati tanto quanto abbiamo dimestichezza con gli strumenti che usiamo per il lavoro. E in più quando trattiamo certi dati dobbiamo saper riconoscere i possibili rischi dietro l’angolo. Non è sempre facile, ma non ci sono alternative. In sostanza dobbiamo gestire i dati come gestiamo i soldi. Così facendo possiamo ridurre al minimo il rischio di errori.

7. Il «New Work» prevede forme di lavoro alternative come l’home office. Questo come incide sulla compliance e sulla protezione dei dati?

In linea di principio non è rilevante il contesto in cui i dati vengono trattati. La protezione da garantire è sempre la stessa. Di fatto però le nuove forme di lavoro presentano nuovi rischi rispetto al classico lavoro in ufficio. E per affrontarli servono misure dedicate. Ad esempio, può essere necessario limitare o addirittura impedire il trattamento di determinati dati in paesi che non offrono garanzie sufficienti.

8. Che importanza avrà per Swisscom la nuova legge svizzera sulla protezione dei dati che entrerà in vigore il 1º settembre 2023?

Il 1º settembre 2023 saremo pronti: già due anni fa abbiamo messo a punto un programma completo per l’implementazione della nuova legge sulla protezione dei dati. In ogni caso il nostro sistema gestionale non richiede grossi cambiamenti – d’altronde anche prima c’era una legge efficace sulla protezione dei dati. In certi ambiti Swisscom deve inoltre osservare il regolamento generale UE sulla protezione dei dati (RGPD). Molti altri requisiti sono poi imposti per via contrattuale. La revisione è tuttavia una buona occasione per esaminare il nostro sistema gestionale e introdurre ottimizzazioni mirate.