Il regolamento generale sulla protezione dei dati dell’Unione Europea (GDPR, General Data Protection Regulation) entrerà in vigore il 25 maggio 2018 per assicurare un livello più elevato di protezione ai dati personali dei consumatori dell’Unione Europea. A poche settimane da questa scadenza, molti segnali però fanno prevedere un generale ritardo nella “readiness” da parte delle aziende.
Aziende poco reattive
Come altre aziende del settore, Nodes, azienda che da sempre si occupa di soluzioni e servizi per il governo dei dati, ha investito molto per sensibilizzare il proprio mercato di riferimento sulla necessità di avviare per tempo progetti di compliance, al fine di consentire alle organizzazioni di non farsi cogliere impreparate dai diversi aspetti previsti dalla nuova normativa. E mentre alcune realtà vedono nel trattamento dei dati personali dei propri clienti un asset importante per lo sviluppo del proprio business, e per questo stanno conducendo già da qualche tempo dei progetti per mettere in sicurezza i dati sensibili, purtroppo la generalità delle aziende sembra essere ancora poco reattiva su questi temi.
L’interesse ovviamente è alto ed è cresciuta anche la consapevolezza dei rischi, ma al momento sembra prevalere, specie nelle piccole e medie aziende, l’attesa di improbabili deroghe, o l’emergere di soluzioni o pratiche che possano assicurare una conformità “di base” con il minimo impegno. Di questo, abbiamo avuto anche una riprova durante il convegno “GDPR: ultima chiamata. Sia nelle tavole rotonde che nel dibattito finale, aperto alle domande dei numerosissimi partecipanti, le richieste di chiarimenti sugli aspetti normativi hanno prevalso rispetto ai possibili approfondimenti sulle esperienze e sulle buone pratiche che esistono e possono essere messe in atto per conformare il trattamento dei dati personali alle nuove normative, estraendo maggiore valore dai dati stessi.
GDPR come opportunità
Prepararsi al GDPR non vuole dire solo un ulteriore onere di conformità per le aziende; piuttosto il Regolamento dovrebbe essere considerato soprattutto come un’opportunità per costruire un rapporto di fiducia con i soggetti di cui si detengono dati personali, attraverso una strategia di governance a 360°.
In altre parole, nell’intraprendere le proprie azioni per il GDPR, le organizzazioni devono focalizzarsi sul divario esistente tra il loro attuale sistema di gestione dei dati e quello che servirebbe per ricavare concreti vantaggi di business dalle proprie informazioni, in un’ottica di “Digital Data Transformation”.
Non esiste una ricetta valida per tutte le organizzazioni. Ciascuna realtà deve analizzare i propri processi di gestione dei dati sensibili e individuare i potenziali rischi in relazione ai diversi punti previsti dalla normativa. In prima battuta, consiglierei un’attività di Data Discovery, per comprendere dove sono conservati i dati personali, a che scopo sono stati raccolti e quali sono i loro possibili utilizzi, se sono tutti necessari e fino a quando: solo una volta che i dati personali sono stati identificati e localizzati è possibile intervenire per correggere le non conformità e per sviluppare una governance efficace e rendere questi dati una vera risorsa per il business.
Spesso, i dati personali sono presenti in una forma non strutturata, in documenti, email, fogli elettronici, e vengono archiviati in diverse tipologie di sistemi, come file server, NAS, object storage, archivi in cloud, server di posta, ma anche in stazioni di lavoro individuali, con un effetto moltiplicativo sul rischio di possibili data breach.
La maggior parte delle organizzazioni ICT ha una visibilità limitata su molti di questi “contenitori”: non è sempre facile sapere cosa c’è dentro, quando sono stati creati e da chi, quando sono stati aperti l’ultima volta, o se siano stati copiati e dove. Raccogliere queste informazioni ai fini del GDPR è un processo che richiede tempo e lavoro, se non si interviene con metodologie e tool specifici.
Un aspetto fondamentale del GDPR sono gli articoli che consentono alle persone di esercitare il proprio diritto di controllo sull’utilizzo che viene fatto dei propri dati personali da parte delle aziende che li detengono.
Per facilitare l’esercizio di queste prerogative da parte dei clienti, le organizzazioni devono organizzare delle politiche di governance dei dati che permettano rapidamente di dare attuazione ai diritti dei vari soggetti – non solo clienti, ma anche dipendenti, fornitori, semplici contatti: diritto all’oblio, all’accesso ai propri dati, alla loro portabilità.
Consent mastering, unico punto di controllo per gestire consensi e diritti
Uno dei temi più critici da affrontare, in questo ambito, è certamente la gestione dei consensi. Rispetto alle precedenti leggi sulla privacy dei dati, la nuova normativa prevede infatti molti più attributi da gestire: date di scadenza, scopi, titolari e responsabili dei dati.
Informatica ha coniato il termine “Consent Mastering” per definire la capacità di rispondere a domande del tipo: di quali dati personali sono in possesso? Perché posso detenerli? Per quali scopi e attività di elaborazione? Fino a quando posso utilizzarli? Ho un consenso specifico e ho registrato eventuali obiezioni?
Con una soluzione di consent mastering è possibile avere una “singola versione della verità”, valida per tutte le aree aziendali, per gestire in modo coerente tutti i dati relativi a un individuo, il tipo di consenso dato per utilizzarli e l’esercizio dei diritti riconosciuti dal GDPR.
I sistemi che, in un’organizzazione, contengono dati sensibili sono diversi: CRM, ERP, sistemi di gestione HR, Data Lake e altri. La maggior parte di queste applicazioni non sono “GDPR compliant” e implementare una gestione dei consensi su ciascuna di esse richiederebbe uno sforzo notevole.
Molto meglio gestire consensi e diritti GDPR da un unico punto di controllo che consenta la tracciabilità e l’audit delle modifiche, l’attuazione delle politiche di privacy e di sicurezza dei dati. La piattaforma Informatica per il Master Data Management (Informatica MDM) fornisce le funzionalità necessarie per centralizzare le informazioni sui consensi dei vari soggetti e assicurarne la coerenza in tutta l’organizzazione, riducendo i costi di adeguamento al GDPR delle diverse applicazioni. Permette, inoltre, alle aziende di costruire un forte rapporto di fiducia con i propri clienti, attraverso la gestione responsabile dei loro dati personali, ricavandone un vantaggio competitivo.
Le soluzioni di Consent Management realizzate da Nodes sulla tecnologia Informatica MDM consentono di affrontare questa problematica con una modalità “semplificata” e di rapida implementazione, grazie a un apposito “acceleratore” che comprende regole di governance predefinite e modelli dati specifici per la gestione dei consensi prevista dal GDPR. In un approccio di questo tipo, lo sforzo richiesto viene comunque ampiamente ripagato perché, oltra alla compliance, si può ottenere una vera “vista del cliente a 360°”, cioè una migliore conoscenza dei propri clienti, basata su informazioni di qualità e senza duplicazioni.
Come esempio possiamo citare una soluzione di questo tipo realizzata per un nostro cliente che opera anche a livello internazionale nel settore del gioco regolamentato. L’azienda aveva l’esigenza di unificare sotto un unico sistema tutti i “dati cliente” provenienti dai diversi canali di contatto (sale giochi, scommesse sportive, giochi interattivi via web) con l’obiettivo di gestire efficacemente i consensi al trattamento dei dati personali ed evitare duplicazioni.
Abbiamo realizzato una soluzione di Master Data Management personalizzata specificatamente per la gestione dei dati cliente, utilizzando Informatica Customer 360. La piattaforma ha permesso di effettuare rapidamente operazioni di analisi sui dati per l’individuazione di possibili carenze qualitative. Successivamente, sono state realizzate le interfacce utente che consentono di associare informazioni riguardanti uno stesso cliente attraverso l’intera organizzazione, per averne una visione univoca a 360°, nonostante le possibili diverse e parziali rappresentazioni presenti nei silos applicativi.
Grazie a questa soluzione, l’azienda sta raggiungendo i suoi obiettivi: un controllo completo e centralizzato dei dati sensibili in ottica GDPR, con la possibilità di interrogazioni e audit sullo storico dei consensi, ma anche una gestione strategica delle informazioni sul cliente per lo sviluppo di nuovo business.
