Uno dei temi più critici da affrontare per le organizzazioni per adeguarsi a GDPR è certamente la gestione dei consensi. Rispetto alle precedenti leggi sulla privacy dei dati, la nuova normativa prevede infatti molti più attributi da gestire: date di scadenza, scopi, titolari e responsabili dei dati.
Vanno inoltre organizzate delle politiche di gestione dei consensi che permettano rapidamente di poter dare attuazione ai diritti dei vari soggetti interessati (clienti, prospect, dipendenti, fornitori, utenti, cittadini), quali: il diritto all’oblio, all’accesso ai propri dati, alla portabilità dei dati.
In assenza di un pieno controllo dei consensi, per evitare potenziali rischi di conformità, gli uffici legali delle aziende potrebbero chiedere di limitare, ad esempio, le iniziative di marketing mirato nei confronti di clienti e prospect.
Con il termine “Consent Mastering” si intende proprio la capacità di rispondere a domande del tipo:
- di quali dati personali sono in possesso?
- perché posso detenerli? (per quali attività di elaborazione / scopi?)
- ho un consenso specifico e ho registrato eventuali obiezioni?
- come continuerò a monitorare e consentire azioni e obiezioni?
- sto rispettando i diritti del soggetto interessato?
Il Consent Mastering è uno degli aspetti più importanti del GDPR: una singola versione della verità, valida per tutte le aree aziendali, per gestire in modo coerente tutti i dati relativi a un individuo, il tipo di consenso dato per utilizzarli e l’esercizio dei diritti riconosciuti dal GDPR.
Una soluzione di Master Data Management per il mastering dei consensi
Ai fini della conformità, è fondamentale poter disporre di uno strumento che gestisca i consensi dei vari tipi di soggetti (clienti, ma anche dipendenti, semplici contatti, fornitori) e che permetta di applicare in modo coerente i diritti riconosciuti dal GDPR: ad esempio, se un cliente vuole esercitare il suo diritto di accesso, vanno recuperate tutte le informazioni raccolte su di lui nei diversi sistemi.
I consensi, inoltre, devono essere tenuti sempre aggiornati in un processo iterativo con implicazioni di carattere organizzativo, non risolvibile solo attraverso un’implementazione tecnologica esercitata una tantum.
I sistemi che, in un’organizzazione, contengono dati sensibili, sono diversi (CRM, ERP, sistemi di gestione HR, Data Lake, …): la maggior parte di queste applicazioni sono lungi dall’essere “GDPR compliant” e implementare una gestione dei consensi su ciascuna di esse richiederebbe uno sforzo notevole.
Da tutti questi aspetti, si comprende come sia molto meglio gestire consensi e diritti GDPR da un unico “control point”, che consenta la tracciabilità e l’audit delle modifiche, l’attuazione delle politiche privacy e di sicurezza dei dati. Una piattaforma di Master Data Management (MDM) fornisce le funzionalità necessarie per realizzare tutto ciò.