Automazione della conformità al GDPR per le PMI
Cosa hanno in comune i servizi che trattano dati sanitari e previdenziali, le relazioni con i clienti di un concessionario di automobili e le agenzie immobiliari che utilizzano i servizi cloud? Da maggio 2018, la risposta sarebbe il regolamento generale sulla protezione dei dati (GDPR), o forse più precisamente l’onere aggiuntivo derivante dalla creazione di processi aziendali conformi a esso. Il problema è ben documentato, ma non pienamente affrontato. Raggiungere la conformità al GDPR è tutt’altro che facile, soprattutto per le PMI con risorse e competenze limitate. Ogni giorno tali aziende devono affrontare questioni relative all’interpretazione delle disposizioni e dei requisiti del GDPR, all’adattamento operativo e alle misure tecniche appropriate da attuare. Analogamente, il rapporto con gli interessati, il rispetto dei loro diritti, la questione della responsabilizzazione e la gestione delle prove di conformità non sono mai stati così sensibili. Questo è il contesto in cui sono stati concepiti gli strumenti BPR4GDPR (Business Process Re-engineering and functional toolkit for GDPR compliance). «Abbiamo creato la prima gamma di strumenti in grado di considerare la maggior parte degli aspetti della conformità al GDPR in tutte le fasi del ciclo di vita di un processo aziendale», afferma Spiros Alexakis, membro del consiglio di amministrazione di CAS Software e coordinatore di BPR4GDPR. «Questi strumenti possono adattare e trasformare automaticamente i processi in modo da renderli conformi alle politiche sulla privacy, sia in fase di progettazione che dopo l’esecuzione». BPR4GDPR si assume essenzialmente la maggior parte dello stress correlato al GDPR sopportato dal personale dell’azienda, indipendentemente da quanto in ritardo sia con l’attuazione. In fase di progettazione, gli strumenti e le soluzioni del progetto aiuteranno le aziende a comprendere quando comportamenti e regole predefiniti non sono conformi e come adattarli. In fase di esecuzione, forniranno soluzioni per supportare o applicare le politiche sulla privacy. Infine, a posteriori, aiuteranno a indagare e analizzare le eventuali circostanze di non conformità.
Molteplici opportunità
Il progetto ha quattro risultati principali, come osserva Alexakis. «Per prima cosa abbiamo l’ontologia della conformità, un quadro completo di controllo dell’utilizzo e dell’accesso consapevole della privacy che regola il funzionamento complessivo del sistema. Quindi, abbiamo una re-ingegnerizzazione dei processi aziendali consapevole della privacy che rende automaticamente conformi al GDPR i modelli di processo. Il terzo risultato è un framework per identificare le eventuali discrepanze di conformità e il quarto è una “serie di strumenti di conformità” di runtime, il quale fornisce funzionalità tipiche, necessarie per attuare misure previste dal GDPR quali crittografia, anonimizzazione e strumenti di gestione dei dati, oltre a tutelare i diritti degli interessati». Il gruppo responsabile del progetto ha testato le soluzioni in tre prove pilota, concentrandosi rispettivamente su dati sensibili nei settori della salute e della sicurezza sociale, conformità come servizio per i servizi CRM nelle concessionarie di automobili e agenzie immobiliari che utilizzano servizi cloud. «Le tre prove pilota, esigenze fondamentali comuni a parte, riflettono requisiti di conformità diversi. Il primo round ci ha fornito un feedback prezioso in termini di funzionalità, prestazioni e usabilità, che è stato poi sfruttato durante la seconda fase di attuazione. Stiamo attualmente conducendo il round finale, che mira a testare a fondo le soluzioni, eseguire la messa a punto necessaria e aprire la strada alla valorizzazione dei risultati oltre il ciclo di vita del progetto», spiega George Lioudakis, co-fondatore di ICT Abovo e leader del quadro politico BPR4GDPR. Renata Medeiros de Carvalho, ricercatrice presso l’Università di tecnologia di Eindhoven e responsabile del coordinamento e della diffusione scientifica di BPR4GDPR, è particolarmente ottimista sui risultati per i partner. «Abbiamo tutti aspettative diverse. Le grandi industrie di software prevedono di aumentare i propri ricavi offrendo la conformità come servizio o incorporando la conformità nei loro prodotti. Dal canto loro, le PMI tecnologiche e di consulenza prevedono un mezzo flessibile ed economico per inserire la conformità nelle loro offerte. Gli studi legali partecipanti beneficiano di un nuovo strumento di consulenza per la codificazione legislativa, la valutazione della conformità e l’attuazione. Infine, le organizzazioni pilota stanno ora riconsiderando il loro approccio alla conformità». A pochi mesi dal completamento, Alexakis afferma che il gruppo responsabile del progetto si concentrerà ora sulla creazione dell’impatto mediante la diffusione dei risultati del progetto, l’interazione con le parti interessate e lo sfruttamento commerciale/non commerciale dei risultati del progetto.
Parole chiave
BPR4GDPR, GDPR, conformità, automazione, PMI, privacy dei dati