A cura di Elizabeth Maxwell, EMEA Technical Director di Compuware
La nuova legislazione europea sulla protezione dei dati, attualmente in discussione in seno all’UE, sarà approvata entro fine anno. Dopo la sua emanazione, i paesi membri avranno meno di due anni per conformarsi alla nuova legge. Tra le disposizioni contenute, la legislazione vieta la pratica diffusa di utilizzare i dati reali quando si eseguono dei test sui sistemi e sulle applicazioni, creando così una sfida di grande portata per le aziende che raccolgono e memorizzano i dati personali.
Le aziende che non rispetteranno questa normativa dovranno affrontare sanzioni crescenti con penali che potranno raggiungere i 100 milioni di euro, o il 5 per cento del fatturato annuo della società.
Le nuove normative europee richiederanno alle banche, agli operatori di telecomunicazione e alle altre aziende in generale di ottenere il consenso dei propri clienti per utilizzare i loro dati negli ambienti di test. Attualmente, le organizzazioni testano le applicazioni utilizzando dati non mascherati con il pretesto di creare “livelli ottimali di servizio” per i clienti. Sebbene in apparenza le intenzioni siano buone, queste organizzazioni espongono, di fatto, i propri clienti a rischi estremamente elevati considerando quanto sia facile che i dati personali cadano nelle mani di malintenzionati, un rischio reso sempre più reale dalla crescente diffusione della pratica del test in outsourcing.
La situazione si fa ancora più preoccupante se analizziamo quello che le aziende dicono rispetto alla propria esperienza e conoscenza delle leggi sulla protezione dei dati.
Secondo un sondaggio condotto nelle organizzazioni aziendali rivolgendo le proprie domande ai CIO, il 20 per cento delle aziende non maschera né protegge i dati dei clienti prima di fornirli a società esterne per testare le applicazioni. Un altro 43 per cento, che condivide i dati, dichiara di non comprendere pienamente le leggi e i regolamenti attualmente in vigore nel campo della protezione dei dati. Inoltre, l’87 per cento delle aziende che non maschera i dati si affida integralmente a un accordo di non divulgazione (NDA) stipulato con il provider. La stessa percentuale di aziende, l’87 per cento, non è a conoscenza delle nuove normative a cui l’Unione Europea sta lavorando e di quale sarà il loro impatto in termini di spesa tecnologica necessaria ad adeguare i propri sistemi al nuovo quadro giuridico.
In realtà, non esiste una scusa valida per continuare a utilizzare i dati dei clienti non mascherati. Tuttavia, a causa della mancanza di comprensione delle nuove disposizioni in merito alla protezione dei dati e del potenziale impatto economico legato all’adeguamento, è facile presumere che molte aziende non rispetteranno le scadenze indicate.
Al momento c’è ancora tempo; creare una strategia coerente e valida per garantire la protezione dei dati sensibili dei clienti è un obiettivo che certamente si può raggiungere in meno di due anni, le aziende devono però avviare questo processo fin da subito.
Il primo passo che dovranno necessariamente compiere è comprendere le implicazioni della legislazione dal punto di vista delle operazioni che attualmente l’azienda conduce per poi stabilire quali modifiche dovranno essere apportate e quale costo comporteranno. Contemporaneamente, le aziende dovrebbero cominciare a individuare dove sono collocate tutte le informazioni sensibili in loro possesso e determinare chi ha il diritto di accedervi. Ulteriore aspetto interessante per le organizzazioni sarà iniziare a “desensibilizzare” i propri dati prima di incorporarli nei flussi di lavoro e nei processi.
Un ultimo passaggio da non sottovalutare prima di sviluppare una soluzione di protezione dei dati conforme alle normative, è determinarne i requisiti e promuovere una valutazione delle competenze e dell’esperienza dei propri team IT, per non rischiare di commettere errori che potrebbero comportare costi elevati.