L'entrata in vigore del GDPR è alle porte e non esiste una soluzione in grado di garantire all’azienda la conformità totale; un'organizzazione non può implementare semplicemente un'unica soluzione tecnologica "silver bullet" per gestire tutto, poiché la preparazione e la governance coinvolgono un'enorme varietà di persone, processi, aspetti e comportamenti. 

Molte aziende hanno scelto di avvalersi di consulenti esterni per affrontare questo momento di transizione, ma esistono comunque delle regole di base che si possono seguire se vuole navigare in modo consapevole nel nuovo e immenso oceano dei dati. 

In primo luogo bisognerebbe considerare il GDPR come una forma di sviluppo agile, in modo antitetico rispetto a quell'approccio a cascata che oggi sembra rappresentare. Questo significa non pensare alla normativa come a un singolo progetto futuro, per poi, nell'arco di sei mesi o poco più, accantonarlo e iniziare a focalizzarsi su un trend successivo, ma scegliere di incorporare in modo permanente il GDPR nella propria organizzazione così che possa permeare tutte le attività.

Fare questo, ovviamente, richiede tempo, ma scegliendo l'approccio corretto e la giusta combinazione di strumenti, soluzioni e policy sarà possibile costruire il framework, necessario a sostenere il GDPR e l’avvento di altre normative. Il problema più che altro sarà scegliere come implementare queste policy, procedure e strumenti in modo da non ostacolare le nuove iniziative, per far sì non solo che l’azienda sia in grado di sopravvivere, ma possa prosperare nell'era dell'economia digitale. 

Recentemente CA Technologies ha commissionato a Computing una ricerca che ha visto coinvolti 115 business decision-maker di grandi aziende in UK, con oltre 5.000 dipendenti (alcune oltre i 15.000), per scoprire quali siano le loro preoccupazioni in merito al GDPR e in che modo questi problemi riguardino la gestione quotidiana dello storage, della sicurezza e dello sviluppo del software. 

Le preoccupazioni sono evidenti: il 66% degli intervistati ha dichiarato di essere “preoccupato" e "estremamente preoccupato" riguardo al GDPR, concordando sul fatto che vi siano tantissimi aspetti da dover considerare per poter essere conformi.Allo stesso tempo, il 44% degli intervistati, però, si dice invece “poco” o “non troppo interessato”, mostrando in realtà un atteggiamento eccessivamente ottimistico, aspetto evidente se si analizza più in profondità alcune aree di preparazione specifica. 

Ad esempio, parlando di PII - dati personali identificabili, il 50% degli intervistati è "molto" o "ragionevolmente" sicuro che le proprie PII siano sicure. Molti non colgono però come la definizione di PII si discosti profondamente dal concetto di semplici "dati personali” che si riferisce specificamente a una serie di dati che identificano una persona da vicino: nome, indirizzo, data di nascita, carta di credito e altri dati finanziari e di sicurezza sociale.

Il significato di “dati personali” con il GDPR assume una visione molto più ampia, e un'informazione più simile ai post sui social media, fotografie, cronologie delle transazioni e indirizzi IP - così come tutto ciò che è appena elencato nelle PII.È evidente come il GDPR accresca significativamente i diritti alla privacy dei dati legali ai clienti, per non parlare dei requisiti imposti alle organizzazioni che conservano, vendono o condividono le identità dei clienti.

Oggi vi sono soluzioni in grado di raccogliere dati PII e archiviarli completamente al di fuori delle applicazioni e dell'hardware su cui viene elaborato, anche nel cloud, e quindi viene aggiunto un ulteriore livello di sicurezza, con l'ulteriore effetto che tutti i dati PII sono memorizzati in un sistema completamente separato. 

Anche nell’ambito dello sviluppo software c’è ancora molto da fare; alla richiesta di valutare la sicurezza del proprio ambiente API con un punteggio da 1 a 5, dove 1 significa "insicuro" e 5 "altamente sicuro" gli intervistati hanno indicato una media di 2,7 su 5; una situazione che non sembra ancora sufficientemente matura per sostenere un modello di accesso ai dati sempre più basato sulle API con il GDPR come sfondo.

Il GDPR richiederà alle organizzazioni di esplorare nuovi canali e metodi di comunicazione con le fonti dei dati, al fine di supportare diritti fondamentali come la portabilità dei dati per i clienti, incluso il trasferimento facile dei dati a terzi, il tutto tramite più file system e fonti. 

In sintesi, la ricerca mostra chiaramente che per poter approcciare il GDPR come una metodologia agile, le aziende dovranno lavorare ancora molto. Sussiste, infatti, ancora un sostanziale disallineamento tra la convinzione di essere pronti e la preparazione effettiva e, anche se emerge una consapevolezza crescente dei rischi e delle pratiche necessarie che dovrebbero essere messe in atto, manca ancora quell'inclusione "organica" che dovrebbe far diventare GDPR un elemento intrinseco dell'organizzazione. 

"Se si agisce veramente nell'interesse del cliente, il GDPR è quasi un problema secondario, perché di default lo si sta già facendo", ha commentato Andy Day, CDO di Sainsbury's. In sostanza è questo l’aspetto più importante: implementare il GDPR nei processi, negli strumenti e nelle soluzioni software della propria organizzazione porterà i livelli di rischio a diminuire all'istante.

Ma per scegliere gli strumenti e il software giusti, bisognerà guardare al GDPR come a una serie di momenti e iniziare a porsi delle domande del tipo: “Come posso proteggere al meglio i miei dati e quale tipo di dati?” “Quali passaggi fondamentali sono più a rischio lungo il percorso di sviluppo?”. Dopo avere trovato le risposte, bisognerà iniziare a porsi altre domande su come risolvere questi problemi, e in questo modo, iniziare a spuntare una per una le caselle del GDPR per ogni compito portato a compimento.