Il GDPR (General Data Protection Regulation), il regolamento dell'Unione Europea (UE) che consente ai cittadini di riprendere il controllo dei propri dati e unifica le norme sulla privacy in tutta l'UE, sta creando molte notizie ultimamente. Entrerà in vigore il 25 maggio 2018, tra soli sei mesi, e sostituirà anche la direttiva sulla protezione dei dati del 1995. Quest'ultima semplificherà il contesto normativo per le imprese internazionali unificando la regolamentazione all'interno dell'UE. Con la Brexit ancora in evoluzione, naturalmente, ci sono delle domande.
Uno dei requisiti chiave del GDPR è che le aziende dovranno tracciare e rintracciare i dati sensibili e determinare come vengono elaborati lungo la loro catena di fornitura delle informazioni. Di conseguenza, il modo in cui le aziende affrontano la gestione dei dati dovrà essere gestito con attenzione per rispettare i principi della "privacy by design". Per le aziende, ciò significa che ogni nuovo servizio digitale che sfrutta i dati personali deve ora tenere conto anche della protezione dei dati.
Qual è il costo di ignorare il GDPR? La violazione di alcune disposizioni del GDPR potrebbe comportare multe fino a 20 milioni di euro o al 4% del fatturato globale annuo dell'anno finanziario precedente, a seconda di quale sia il valore più alto. Con l'avvicinarsi della scadenza del GDPR, molti reparti IT sono alla ricerca di indicazioni su come gestire l'imminente normativa sui dati.
Sfide IT
Il GDPR pone molte sfide ai reparti IT delle aziende che operano con i cittadini dell'UE per quanto riguarda il diritto di esaminare, il diritto di cancellare e la portabilità dei dati. Ecco alcune di queste sfide:
Le aziende dovranno creare e mantenere un inventario olistico dei dati per sapere quali informazioni di identificazione personale (PII) hanno memorizzato ed elaborato nella loro azienda. I registri delle attività di trattamento - compresi gli scopi del trattamento, le categorie coinvolte e i termini previsti - devono essere conservati e messi a disposizione dell'autorità di controllo su richiesta.
Questo requisito può rappresentare una sfida per un'azienda tipica in cui i dati dei clienti sono archiviati in sistemi multipli, spesso siloed, il che significa formati e livelli di qualità diversi, tutti utilizzando definizioni e convenzioni di dati differenti.
Inoltre, le aziende devono non solo proteggere i propri dati, ma anche aprirli, utilizzando tecnologie di integrazione e servizi per i dati. Questo è particolarmente importante perché, secondo i termini del GDPR, le persone hanno il diritto di chiedere alle organizzazioni di fornire loro tutti i dati rilevanti in loro possesso.
Una persona può anche chiedere: il "diritto all'oblio", la correzione dei dati inesatti e la consegna dei dati rilevanti in un formato leggibile da una macchina.
Infine, una persona ha il diritto di chiedere la portabilità dei propri dati, in modo da poterli trasferire da un sistema di elaborazione elettronica a un altro, senza che un'azienda glielo impedisca. Rientrano nell'ambito di applicazione sia i dati "forniti" dalla persona, sia i dati "osservati", come ad esempio quelli relativi al suo comportamento.
Un piano d'azione
Cosa deve fare un'azienda? Ecco alcuni passi che un'azienda può compiere per prepararsi al GDPR:
Passo 1: Definire una politica
Uno dei punti più importanti per iniziare questo percorso è la definizione della policy per la vostra azienda. Il GDPR prevede una serie di attributi di policy che devono essere definiti sistematicamente sia per la definizione aziendale (ad esempio, il diritto al consenso e il suo significato) sia per la definizione tecnica (nome, indirizzo, ecc.). Questa fase cruciale, in cui si incontrano la policy e le regole utilizzate per applicarla, deve essere documentata in modo da poter essere applicata. La definizione di una politica è anche la fase in cui si definiscono gli attributi dei dati specificati che supportano la politica.
Fase 2: automatizzare la scoperta dei dati
Una volta definita la politica, una soluzione digitale deve fornire il reperimento automatico dei dati rilevanti dei clienti in qualsiasi numero di database, applicazioni, archivi di dati big data e cloud , ecc. Deve inoltre utilizzare capacità di scansione flessibili, ad alte prestazioni e scalabili per scoprire dove risiede il potenziale cliente rilevante.
Fase 3: comprendere la proliferazione dei dati
Come accennato in precedenza, la proliferazione dei dati rappresenta una sfida importante per i dati rilevanti dei clienti, poiché spesso vengono estratti dai sistemi di origine e copiati in altri sistemi per la successiva elaborazione. Questi altri sistemi spesso si trovano al di fuori di qualsiasi processo formale di governance, il che significa una minore o totale mancanza di visibilità su questi dati.
Fase 4: Assegnare un punteggio di rischio
Il GDPR richiede ora che venga generato un punteggio di rischio basato sulla comprensione e sul movimento dei dati rilevanti dei clienti. Il punteggio di rischio deve essere generato da una serie di attributi diversi della sicurezza dei dati, tra cui:
- Disponibilità della protezione dei dati
- Esistenza dei dati
- Volume di dati
- Proliferazione dei dati
- Accessibilità dei dati
Un'azienda può calcolare un punteggio di rischio prendendo in considerazione i suddetti attributi e altri fattori. Il punteggio consente alle aziende di stabilire l'ordine di priorità con cui affrontare gli archivi di dati rilevanti dei clienti. Un punteggio elevato indica una fonte di dati che potenzialmente necessita di attenzione urgente, mentre un punteggio basso significa che può aspettare.
Passo 5: agire
Una volta che l'azienda ha definito la politica e identificato dove sono stati archiviati i dati, deve intraprendere azioni adeguate al rischio che i flussi di dati rappresentano. Forse la parte più difficile è come integrare al meglio i dati provenienti da fonti multiple e disparate, applicare le protezioni necessarie e mantenerli sincronizzati. Enterprise Integration Cloud di SnapLogic è stato progettato per facilitare il lavoro di integrazione, protezione e sincronizzazione dei dati provenienti da applicazioni cloud , database, social media, IoT, archivi di dati e altri endpoint, in modo che un'azienda possa conformarsi più facilmente al GDPR.
Cosa c'è dopo
Poiché la scadenza del GDPR si sta avvicinando, molte aziende stanno ancora determinando il suo impatto e sviluppando piani per essere conformi. Speriamo che il mio riassunto aiuti un maggior numero di persone a rendersi conto dell'impatto che questa normativa, che cambierà il business, avrà sulla loro azienda. Il mio riassunto non vuole essere esaustivo o prescrittivo, quindi continueremo a condividere ulteriori informazioni man mano che la scadenza si avvicina. Per saperne di più sul GDPR, Wikipedia è un buon punto di partenza.