Tutti gli esperti spiegano che il primo passo verso la compliance al GDPR (e manca poco) è una auto-valutazione per capire quali processi, applicazioni e database gestiscano potenzialmente dati personali e siano quindi soggetti al nuovo regolamento. Le principali software house hanno moduli specifici per svolgere operazioni di questo genere in modo automatico, ora un'analisi a campione conferma come sia praticamente impossibile eseguirle in modo diverso da questo.

L'analisi è stata eseguita dall'inglese Silwood Technology, che è parte in causa perché offre strumenti per la data discovery nelle principali piattaforme ERP. Proprio usando il suo prodotto principale - Safyr - ha analizzato le strutture dati delle applicazioni di un campione dei suoi clienti, andando alla ricerca di dati personali come la data di nascita e il SSN (Social Security Number, equivalente al nostro codice fiscale).

Le rilevazioni di Silwood sono ovviamente generalizzabili solo in parte, ma danno almeno una indicazione della complessità che le implementazioni ERP possono avere in quanto a strutture dati da esaminare in ottica di compliance al GDPR. Silwood si è concentrata su cinque piattaforme che considera come le più diffuse: nell'ordine SAP, JD Edwards, Microsoft Dynamics AX 2012, Siebel e la Oracle E-Business Suite.



Silwood spiega che in media un ambiente SAP ha oltre 90 mila tabelle corrispondenti a più di 900 mila campi dati. Il SSN è stato trovato il oltre 900 tabelle e le date di nascita in una ottantina. Valori più bassi, ma comunque significativi dal punto di vista GDPR, per le implementazioni JD Edwards: 5 mila tabelle per 140 mila campi, con il SSN trovato in circa 170 tabelle e le date di nascita in 210.

Le implementazioni di Microsoft Dynamics AX 2012 contano mediamente 7 mila tabelle per circa 100 mila campi. 150 tabelle contengono il SSN e circa 10 le date di nascita. Valori simili per Siebel: 5 mila tabelle, 170 mila campi, 14 tabelle con il SSN e 6 con le date di nascita. L'analisi è stata completata con la Oracle E-Business Suite, che mostra "dimensioni" da SAP (22 mila tabelle e 570 mila campi in media) ma una frequenza minore di dati personali (5 tabelle con il SSN e circa 40 con le date di nascita).

Il messaggio di Silwood è che davanti a strutture dati del genere pensare di eseguire una data discovery manuale è impossibile. "Per le dimensioni del problema, le aziende che non sono evolute nella data discovery o stanno seguendo un processo manuale faranno fatica a essere pronte in tempo per il GDPR", ha commentato Nick Porter, fondatore della software house.