A cura di Veronique Dufour-Thery, Vice President Sud Europa e Medio Oriente di Compuware
Con l’avvicinarsi della sua entrata in vigore, appare sempre più evidente che il nuovo regolamento europeo sul trattamento dei dati personali pone sfide consistenti, perché si applicherà alle aziende di qualunque dimensione e comparto economico, e non solo a quelle residenti all’interno dell’Unione, ma a chi per qualsiasi ragione tratta o gestisce i dati riferiti ai cittadini europei. Il fatto che i rischi di incorrere in multe possano raggiungere 20 milioni di euro o una cifra pari al 4% del fatturato globale dell’azienda rappresenta una spinta ulteriore verso la compliance.
Purtroppo però rispettare il GDPR non sarà facile e le aziende confermano di avere molti dubbi soprattutto sugli aspetti che riguardano la governance dei dati. Secondo l’osservatorio Security & Privacy promosso dal Politecnico di Milano quasi la metà delle organizzazioni in Italia non conosce o non ha ancora affrontato le implicazioni del GDPR. Anche una recente ricerca ricerca promossa da Compuware conferma la mancanza di una preparazione adeguata: nonostante il rischio di non rispettare il regolamento, il 64% delle imprese in Italia non ha ancora adottato un piano globale che gli consenta di reagire all’impatto del GDPR.
Molte aziende vedono la scadenza di maggio 2018 come un noioso adempimento burocratico che va ad aggiungersi ai tanti già esistenti; l’opinione comune è che il GDPR sia materia pressoché esclusiva di avvocati e responsabili degli uffici legali, ignorando però le ripercussioni importanti che il regolamento ha per l’area Sistemi Informativi e i rapporti con i fornitori di servizi di outsourcing delle tecnologie IT.
A loro favore bisogna ammettere che la realtà è veramente complessa; le aziende dovranno infatti tenere traccia di tutte le istanze dei dati dei clienti, ottenere il consenso degli interessati per utilizzare i loro dati e documentare le misure in atto per gestire tale processo ai fini degli audit.
Le criticità da questo punto di vista sono molte e legate a un quantità di dati da registrare, all’evoluzione continua delle infrastrutture in ottica Agile e DevOps, all’impatto del mobile e delle nuove tecnologie digitali e all’utilizzo dell’outsourcing per accelerare la delivery; aspetti che tutti insieme aggiungono una complessità ancora maggiore allo scenario, rendendo sempre più difficile tenere traccia dei dati del cliente, proprio in un momento in cui il controllo non è mai stato più importante. Da questo punto di vista credo siano tre gli aspetti sui quali è necessario soffermarsi: la visibilità, il controllo e il consenso.
LA VISIBILITA’ DEI DATI E L’UTILIZZO DELLE ANALITICHE
Le analitiche dei dati si stanno evolvendo rapidamente e mai come oggi svolgono un ruolo importante per le aziende. Negli ultimi anni, le aziende hanno raccolto un numero di informazioni sempre maggiore per ottenere una visibilità e comprensione migliore dei propri clienti. Nove organizzazioni su dieci ritengono, infatti, che i dati sui clienti siano fondamentali per il proprio business e che sarebbe controproducente interrompere la raccolta. Il vero problema è che questi dati spesso sono condivisi e spostati tra più sistemi durante il processo di analisi, elevando il rischio di compromissione.
In questo contesto, la soluzione per molte grandi aziende è a portata di mano, perché la maggior parte dei loro dati sui clienti risiede su mainframe, una piattaforma altamente sicura, scalabile e affidabile, che consente di ovviare ai rischi di compromissione rispetto al trasferimento dei dati nel cloud di terze parti o in altri server interni.
IL CONTROLLO SUI DATI
La complessità ha invaso i sistemi informatici a seguito della trasformazione digitale. Una delle principali sfide del GDPR è il diritto all’oblio, che obbliga le organizzazioni a eliminare i dati di un cliente su richiesta.
Il vero problema è che per eliminare i dati, bisogna prima identificarli, e la cosa è più facile a dirsi che a farsi nel complesso labirinto di database che l’ecosistema digitale comporta. Un CIO su tre dichiara di non poter garantire di recuperare ogni copia dei dati di un cliente; per non parlare di eliminare il tutto.
Anche in questo caso, il mainframe viene in aiuto, perché per molte organizzazioni agisce come un repository centrale per i dati, quindi il controllo in teoria dovrebbe essere facilitato, dato che tutto resta nello stesso posto. Purtroppo però in molti gruppi di lavoro IT manca l’esperienza mainframe e, di conseguenza, identificare ed estrarre le informazioni rimane comunque difficile. Inoltre, un’informazione del cliente può essere stata replicata su più database, e quindi trovare tutte le istanze diventa un’ulteriore sfida. L’unico modo per superarla è fornire ai team IT strumenti intuitivi per visualizzare le relazioni tra gli insiemi di dati sul mainframe, in modo che possano facilmente estrarre tutto quello che riguarda un cliente ed eliminarlo, anche senza competenze specifiche.
L’AUTORIZZAZIONE ALL’UTILIZZO DEI DATI
Terzo punto critico del nuovo regolamento europeo è la necessità di ottenere il consenso esplicito da parte dei clienti prima di utilizzare i loro dati per scopi differenti da quelli per cui sono stati raccolti. Molte organizzazioni, ad esempio, utilizzano i dati dei clienti per testare le applicazioni, ed essere sicuri che i servizi digitali lavoreranno correttamente una volta lanciati. Tuttavia, come dimostrano i dati Compuware, anche se il 96% delle aziende in Italia utilizza i dati reali dei clienti per i test delle applicazioni durante lo sviluppo del software, solo il 32% dei CIO chiede il consenso esplicito del cliente per questa tipologia di utilizzo. La maggior parte delle aziende quindi non rispetta questa parte della normativa e, aspetto ancora più preoccupante, molte di esse affidano lo sviluppo applicativo in outsourcing condividendo i dati dei clienti con terze parti, elemento ancora più in contrasto con la normativa.
Dover chiedere ai clienti il consenso esplicito per ogni caso d’uso dei dati può sembrare non realistico, complesso a livello gestionale e fastidioso per i clienti, che si vedono rivolgere più volte una domanda quasi identica, quando oggi basta chiedere loro un consenso ampio che copre una vasta gamma di attività possibili. Questa tipologia di consenso però non sarà più accettabile quando il GDPR entrerà in vigore.
Sul fronte IT, qualcosa sta accadendo: di poche settimane fa la notizia che i principali cloud provider europei hanno scelto di aderire al codice di condotta promosso dal CISPE (Cloud Infrastructure Services Provider in Europe) in preparazione al GDPR. I fornitori di cloud che aderiscono al Codice dovranno dare ai clienti la possibilità di memorizzare ed elaborare i loro dati interamente all’interno dello Spazio economico europeo e si impegnano a non accedere o utilizzare i dati dei clienti per i propri scopi.
Si tratta di piccoli passi nella direzione corretta ma, per i clienti, i processi che richiederanno un ripensamento sono molti. Per rispettare la normativa, le aziende dovranno necessariamente migliorare la governance dei dati su tutte le piattaforme, compreso il mainframe, dove ancora oggi, per le aziende che lo utilizzano, risiede la maggior parte dei dati dei clienti.