Il GDPR tra visibilità, controllo e consenso al trattamento dei dati
Con l’avvicinarsi della sua entrata in vigore (maggio 2018), appare sempre più evidente che il GDPR, il nuovo regolamento europeo sul trattamento dei dati personali, pone sfide consistenti, perché si applicherà alle aziende di qualunque dimensione e comparto economico, e non solo a quelle residenti all’interno dell’Unione, ma anche a chi per qualsiasi ragione tratta o gestisce i dati riferiti ai cittadini europei.
Il fatto che i rischi di incorrere in multe possano raggiungere 20 milioni di euro o una cifra pari al 4% del fatturato globale dell’azienda rappresenta una spinta ulteriore verso la compliance. Purtroppo però rispettare il GDPR non sarà facile e le aziende confermano di avere molti dubbi soprattutto sugli aspetti che riguardano la governance dei dati.
Secondo l’osservatorio Security & Privacy promosso dal Politecnico di Milano quasi la metà delle organizzazioni in Italia non conosce o non ha ancora affrontato le implicazioni del GDPR. Anche la ricerca promossa da Compuware conferma la mancanza di una preparazione adeguata e, nonostante il rischio di non rispettare il regolamento, il 64% delle imprese in Italia non ha ancora adottato un piano globale che gli consenta di reagire all’impatto del GDPR.
Leggi anche: GDPR: cos’è e cosa devono fare le aziende
Molte aziende vedono la scadenza di maggio 2018 come un noioso adempimento burocratico che va ad aggiungersi ai tanti già esistenti; l’opinione comune è che il GDPR sia materia pressoché esclusiva di avvocati e responsabili degli uffici legali, ignorando però le ripercussioni importanti che il regolamento ha per l’area Sistemi Informativi e i rapporti con i fornitori di servizi di outsourcing delle tecnologie IT.
Se poi si pensa alle quantità di dati da registrare, all’evoluzione continua delle infrastrutture in ottica Agile e DevOps, all’impatto del mobile e delle nuove tecnologie digitali e all’utilizzo dell’outsourcing per accelerare la delivery, è logico che questo scenario assuma una complessità ancora maggiore. Su questo versante Compuware ha individuato tre aspetti fondamentali sui quali è necessario soffermarsi: visibilità, controllo e consenso.
Visibilità
Nove organizzazioni su dieci ritengono che i dati sui clienti siano fondamentali per il proprio business e che sarebbe controproducente interrompere la raccolta. Il vero problema è che questi dati spesso sono condivisi e spostati tra più sistemi durante il processo di analisi, elevando il rischio di compromissione.
In questo contesto la soluzione per molte grandi aziende è a portata di mano, perché la maggior parte dei loro dati sui clienti risiede su mainframe, una piattaforma altamente sicura, scalabile e affidabile, che consente di ovviare ai rischi di compromissione rispetto al trasferimento dei dati nel cloud di terze parti o in altri server interni.
Controllo
Una delle principali sfide del GDPR è il diritto all’oblio, che obbliga le organizzazioni a eliminare i dati di un cliente su richiesta. Il problema è che fare ciò bisogna prima identificarli e la cosa è più facile a dirsi che a farsi nel complesso labirinto di database che l’ecosistema digitale comporta. Un CIO su tre dichiara di non poter garantire di recuperare ogni copia dei dati di un cliente; per non parlare di eliminare il tutto.
Anche in questo caso il mainframe viene in aiuto perché per molte organizzazioni agisce come un repository centrale per i dati e quindi il controllo in teoria dovrebbe essere facilitato, dato che tutto resta nello stesso posto.
Consenso
Il terzo punto critico del nuovo regolamento europeo è la necessità di ottenere il consenso esplicito da parte dei clienti prima di utilizzare i loro dati per scopi differenti da quelli per cui sono stati raccolti. La maggior parte delle aziende però non rispetta questa parte della normativa e, aspetto ancora più preoccupante, molte di esse affidano lo sviluppo applicativo in outsourcing condividendo i dati dei clienti con terze parti, elemento ancora più in contrasto con la normativa.
Dover chiedere ai clienti il consenso esplicito per ogni caso d’uso dei dati può sembrare non realistico, complesso a livello gestionale e fastidioso per i clienti, che si vedono rivolgere più volte una domanda quasi identica, quando oggi basta chiedere loro un consenso ampio che copre una vasta gamma di attività possibili. Questa tipologia di consenso però non sarà più accettabile quando il GDPR entrerà in vigore.
Per rispettare la normativa, le aziende dovranno necessariamente migliorare la governance dei dati su tutte le piattaforme, compreso il mainframe, dove ancora oggi, per le aziende che lo utilizzano, risiede la maggior parte dei dati dei clienti.