Si avvicina l’entrata in vigore di GDPR
Il regolamento generale sulla protezione dei dati dell’Unione Europea (GDPR, General Data Protection Regulation) che entrerà pienamente in vigore il 25 maggio 2018 assicurerà un elevato grado di protezione dei dati personali dei cittadini dell’Unione Europea. A pochi giorni da questa scadenza, molti segnali però fanno intravedere, almeno in Italia, un generale ritardo da parte delle organizzazioni che detengono e trattano dati di questa natura.
Come altre aziende che si occupano di soluzioni e servizi per il governo dei dati, Nodes da tempo sta cercando di sensibilizzare il proprio mercato di riferimento sulla necessità di avviare per tempo progetti di compliance, per non farsi cogliere impreparati dai diversi aspetti previsti dalla nuova normativa.
E mentre alcune realtà hanno compreso che il corretto trattamento dei dati dei propri clienti è un asset importante per lo sviluppo del business e stanno già conducendo dei progetti per mettere in sicurezza i dati sensibili, purtroppo molte altre aziende appaiono ancora poco reattive su questi temi.
L’interesse ovviamente è alto ed è cresciuta anche la consapevolezza dei rischi, ma al momento sembra prevalere, specie nelle piccole e medie aziende, l’attesa di improbabili deroghe, o l’emergere di soluzioni o pratiche che possano assicurare una conformità “di base” con il minimo impegno. Di questo atteggiamento, abbiamo avuto anche una riprova durante il convegno “GDPR: ultima chiamata”, di cui Nodes è stata sponsor insieme a Informatica, azienda leader nel Data Management.
Sia nelle tavole rotonde che nel dibattito finale, aperto alle domande dei numerosissimi partecipanti, le richieste di chiarimenti sugli aspetti normativi hanno prevalso rispetto ai possibili approfondimenti sulle esperienze e sulle buone pratiche che esistono e possono essere messe in atto per conformare il trattamento dei dati personali alle nuove normative, estraendo nel contempo maggiore valore di business dai dati stessi.
Come rispondere alle sfide imposte da GDPR in ottica business?
Prepararsi al GDPR non vuole dire solo un ulteriore onere di conformità per le aziende; piuttosto il Regolamento dovrebbe essere considerato soprattutto come un’opportunità per costruire un rapporto di fiducia con i soggetti di cui si detengono dati personali, attraverso una strategia di governance a 360°. In altre parole, nell’intraprendere le proprie azioni per il GDPR, le organizzazioni devono focalizzarsi sul divario esistente tra il loro attuale sistema di gestione dei dati e quello che servirebbe per ricavare concreti vantaggi di business dalle proprie informazioni, in un’ottica di “Digital Data Transformation”.
Non esiste una ricetta valida per tutte le organizzazioni. Ciascuna realtà deve analizzare i propri processi di gestione dei dati sensibili e individuare i potenziali rischi in relazione ai diversi punti previsti dalla normativa. In prima battuta, un’attività di Data Discovery aiuta a comprendere dove sono conservati i dati personali, a che scopo sono stati raccolti e quali sono i loro possibili utilizzi, se sono tutti necessari e fino a quando. Solo una volta che i dati personali sono stati identificati e localizzati, è possibile intervenire per correggere le non conformità e per sviluppare una governance efficace che renda questi dati una vera risorsa per il business.
Gestire i dati in possesso
Spesso, i dati personali sono presenti in una forma non strutturata: documenti, email, fogli elettronici, che vengono archiviati in diverse tipologie di sistemi, come file server, NAS, object storage, archivi in cloud, server di posta, ma anche in stazioni di lavoro individuali, con un effetto moltiplicativo sul rischio di possibili data breach. La maggior parte delle organizzazioni ICT ha una visibilità limitata su molti di questi “contenitori”: non è sempre facile sapere cosa c’è dentro, quando sono stati creati e da chi, quando sono stati aperti l’ultima volta, o se siano stati copiati e dove. Raccogliere queste informazioni ai fini della nuova normativa GDPR è un processo che richiede tempo e lavoro, se non si interviene con metodologie e tool specifici.
Un aspetto fondamentale della nuova normativa GDPR sono gli articoli che consentono alle persone di esercitare il proprio diritto di controllo sull’utilizzo che viene fatto dei propri dati personali da parte delle organizzazioni che li detengono:es. diritto all’oblio, all’accesso ai propri dati, alla loro portabilità. Uno dei temi più critici da affrontare, in questo ambito, è certamente la gestione dei consensi: rispetto alle precedenti leggi sulla privacy, la nuova normativa GDPR prevede infatti molti più attributi da gestire, come date di scadenza, scopi, titolari e responsabili dei dati.
Per poter rispondere a domande del tipo:
- di quali dati personali sono in possesso?
- perché posso detenerli?
- per quali scopi e attività di elaborazione?
- fino a quando posso utilizzarli?
- ho un consenso specifico e ho registrato eventuali obiezioni?
Informatica ha sviluppato una soluzione che può essere definita con il termine di “Consent Mastering”.
I sistemi che, in un’organizzazione, contengono dati sensibili sono diversi: CRM, ERP, sistemi di gestione HR, Data Lake e altri. La maggior parte di queste applicazioni non sono “GDPR compliant” e implementare una gestione dei consensi su ciascuna di esse richiederebbe uno sforzo notevole. E’ sicuramente preferibile gestire consensi e diritti GDPR da un unico punto di controllo che consentala tracciabilità e l’audit delle modifiche, l’attuazione delle politiche di privacy e di sicurezza dei dati, per gestire, in modo coerente per tutte le aree aziendali,le informazioni relative a ogni singolo individuo.
La piattaforma Informatica per il Master Data Management (Informatica MDM®) fornisce le funzionalità necessarie per realizzare questa centralizzazione delle informazioni sui consensi, riducendo i costi di adeguamento al GDPR e aiutando a creare un forte rapporto di fiducia tra l’azienda e i propri clienti, attraverso la gestione responsabile dei loro dati personali.
Le soluzioni di Consent Management realizzate da Nodes sulla tecnologia Informatica MDM® semplificano e accelerano l’implementazione di questi progetti, grazie a un apposito “acceleratore” che comprende regole di governance predefinite e modelli dati specifici per la gestione dei consensi prevista dal GDPR. In un approccio di questo tipo, lo sforzo richiesto viene comunque ampiamente ripagato perché, oltre alla compliance, si può ottenere una vera “vista del cliente a 360°”, cioè una migliore conoscenza dei propri clienti, basata su informazioni di qualità e senza duplicazioni.
Un caso di successo
Una soluzione di questo tipo è stata realizzata per un cliente che opera nel settore del gioco regolamentato. L’azienda aveva l’esigenza di unificare sotto un unico sistema tutti i “dati cliente” provenienti dai diversi canali di contatto (sale giochi, scommesse sportive, giochi interattivi via web), con l’obiettivo di gestire efficacemente i consensi al trattamento dei dati personali ed evitare duplicazioni. Nodes ha realizzato una soluzione di Master Data Management personalizzata specificatamente per la gestione dei dati cliente, utilizzando Informatica Customer 360®. La piattaforma ha permesso di effettuare rapidamente operazioni di analisi sui dati per l’individuazione di possibili carenze qualitative.Successivamente, sono state realizzate le interfacce utente che consentono di associare informazioni riguardanti uno stesso cliente attraverso l’intera organizzazione, per averne una visione univoca, nonostante le possibili diverse e parziali rappresentazioni presenti nei silos applicativi.
Grazie a questa soluzione, l’azienda sta raggiungendo i suoi obiettivi: un controllo completo e centralizzato dei dati sensibili in ottica GDPR, con la possibilità di interrogazioni e audit sullo storico dei consensi, ma anche una gestione strategica delle informazioni sul cliente per lo sviluppo di nuovo business.