GDPR: IGNORARE I DATI NON STRUTTURATI O FARE UNA RICERCA PER SCOVARLI?
L’imminente scadenza del GDPR può indurre in molte aziende, specie tra quelle di dimensioni più contenute, comportamenti attendisti e scaramantici. La speranza in improbabili deroghe o rinvii dell’ultimo minuto si accompagna a considerazioni del tipo: “gli ispettori dell’Authority non verranno certo a controllare proprio noi!”; quando, invece, la semplice iniziativa anche di un solo cliente che richieda la portabilità dei suoi dati, o il diritto all’oblio, o la verifica dei consensi al trattamento delle informazioni personali, può condurre a rischi di non conformità dalle conseguenze anche molto amare.
La tendenza a “far finta di niente” è particolarmente insidiosa parlando di dati non strutturati. Infatti, mentre è plausibile che quasi tutte le aziende abbiano realizzato o stiano implementando processi di governance dei dati strutturati sensibili all’interno dei propri silos applicativi, non sempre la consapevolezza che, all’interno dell’intera infrastruttura aziendale, ci sia anche una grande quantità di dati non strutturati potenzialmente sensibili, costituisce, di per sé, un driver sufficiente ad attivare procedure di compliance specifiche.
I dati non strutturati vengono in genere archiviati in diverse tipologie di sistemi, come file server, NAS, object storage, archivi incloud, server di posta, ma anche in stazioni di lavoro individuali, sottoforma, per esempio, di mailing list di marketing o di documenti relativi a reclami di clienti.
La maggior parte delle organizzazioni ICT ha una visibilità limitata su molti di questi “contenitori”: non è sempre facile sapere cosa c’è dentro, quando sono stati creati e da chi, quando sono stati aperti l’ultima volta, o se siano stati copiati e dove. Inoltre, la capacità di ricerca dei tool normalmente disponibili è limitata e le ricerche devono essere eseguite su ogni silo di storage, un processo che richiede tempo e lavoro. Anche i metadati non sono sempre in grado di mostrare tutti i dati personali inclusi in un file documentale o in un’email, a meno che essi non vengano adeguatamente personalizzati per la ricerca di questo tipo di informazioni.
Quindi, quali sono le maggiori sfide che le aziende stanno attualmente cercando di risolvere?
Si possono probabilmente riassumere in queste quattro domande:
- Dove conservare tutti i dati personali e sensibili presenti in una infrastruttura IT complessa?
- Come catalogare dati personali e sensibili provenienti da fonti dati strutturate, semi-strutturate e non strutturate?
- Come creare una visione unica di queste informazioni per identificare facilmente tutti i dati appartenenti a un particolare soggetto?
- Come mantenere la conformità dopo il 25 Maggio per far fronte, in qualsiasi momento, ai nuovi diritti degli interessati?
Se queste sfide rimangono irrisolte, il percorso di compliance GDPR viene rapidamente impantanato da attività manuali di localizzazione e catalogazione dei dati e da una ripetizione infinita di sforzi su più sistemi di origine: questo comporta sia un dispendioso spreco di risorse, sia un metodo molto imperfetto per soddisfare il requisito ‘privacy by default / by design’ della nuova normativa. La soluzione efficace di questi problemi richiede l’adozione a livello aziendale di software intelligenti che riducano di molto l’inefficienza creata dal controllo manuale.
Le soluzioni di Data Discovery attualmente disponibili rappresentano la scelta migliore, grazie alla loro flessibilità e capacità nel trovare, catalogare e organizzare i dati.
In particolare, sono 4 le aree di attività in cui il contributo di questo tipo di tecnologia può risultare decisivo per migliorare la strategia aziendale di readiness GDPR:
- Scoprire dove si trovano i dati
Scoprire dove sono conservate le informazioni può essere facile in alcuni sistemi, ma trovare quanti “Mario Bianchi” ci siano sulle migliaia di directory private delle singole workstation richiede molto tempo, se si stanno usando un blocco per appunti e una penna a sfera. Un software di rilevamento dati è in grado cercare simultaneamente in tutto il patrimonio informativo, trovando in pochi istanti ogni menzione di Mario Bianchi in tutte le fonti di dati precedentemente archiviate.
- Catalogare i dati personali e sensibili contenuti in fonti strutturate, semi-strutturate e non strutturate
Anche se trovare le informazioni è probabilmente la principale sfida per le aziende, catalogare le informazioni trovate può essere altrettanto difficile.Il moderno software di rilevamento dei dati include una catalogazione completa dei metadati, per identificare quali dati sono tenuti, dove, perché, da chi e per quale motivo.
- Creare una “single view” centralizzata delle informazioni personali
Gli esperti affermano che l’89% delle organizzazioni incontra difficoltà nel raggiungere una visione unica del cliente a partire dai dati gestionali. L’aggiunta di dati semi strutturati e non strutturati complica l’obiettivo di una visione unificata, perché gli strumenti di gestione dei database relazionali e quelli per le fonti dati non strutturate non sono integrati. Questo problema è ulteriormente aggravato dal GDPR: è abbastanza intuitivo comprendere come un qualsiasi approccio che non crei una singola visione del cliente renderà molto complesso rispondere a richieste di accesso alle proprie informazioni personali da parte dei clienti, o a quelle di portabilità dei dati, o al diritto all’oblio, ecc…
Un’architettura che includa un moderno tool di discovery, in grado di memorizzare dati, combinando i dati rilevati, in diversi tipi di file e fonti dati non omogenee, con le informazioni presenti sul catalogo dei metadati con un formato “indice” unificato, aiuta a creare quella singola vista. Mettere tutto nello stesso posto, mostrarlo nello stesso formato fornendo anche una cronologia completa delle interazioni con i dati, fornisce una potente risorsa per mantenere la sicurezza delle informazioni sensibili.
- Mantenere la compliance a regime
Supponendo di poter raggiungere un punto di sufficiente readiness entro la scadenza del 25 Maggio senza utilizzare alcun software intelligente o una soluzione specifica per il GDPR, il problema successivo è quello di mantenere la conformità nel tempo.
La nuova normativa stabilisce molti nuovi diritti per le persone, come il diritto di essere informati, il diritto di accesso, il diritto alla rettifica, il diritto alla cancellazione, il diritto di limitare il trattamento, il diritto alla portabilità dei dati, il diritto di opporsi alla profilazione. Per questo, dopo l’attivazione del GDPR, è importante che, all’esercizio di ciascuno di questi diritti, corrisponda un processo aziendale chiaramente definito, dalla gestione della richiesta alla attuazione della risposta: se tutti i dati personali sono reperibili nello stesso posto e visualizzabili attraverso una singola interfaccia, questo risultato potrà essere raggiunto più facilmente.
Concludendo, non esiste un “silver bullet” per il GDPR: ogni soluzione funzionerà solo con l’adozione di precise norme organizzative di conformità a livello aziendale, con ogni dipendente educato sulle proprie responsabilità in relazione alle nuove norme e su ciò che può o non può fare.
Tuttavia, una soluzione ben ingegnerizzata di Data Discovery può essere di enorme aiuto, anche per trovare gli eventuali punti deboli nella strategia aziendale di conformità: meglio non scoprirli dopo il 25 Maggio, quando in azienda arriverà la prima richiesta di portabilità dei dati!