Tutti gli esperti spiegano che il primo passo verso la
compliance al GDPR (e
manca poco) è una auto-valutazione per capire quali processi, applicazioni e database
gestiscano potenzialmente dati personali e siano quindi soggetti al nuovo regolamento. Le principali software house hanno moduli specifici per svolgere operazioni di questo genere in modo automatico, ora un'analisi a campione conferma come sia
praticamente impossibile eseguirle in modo diverso da questo.
L'analisi è stata eseguita dall'inglese
Silwood Technology, che è parte in causa perché offre strumenti per la
data discovery nelle principali piattaforme ERP. Proprio usando il suo prodotto principale - Safyr - ha analizzato le strutture dati delle applicazioni di un campione dei suoi clienti, andando
alla ricerca di dati personali come la data di nascita e il SSN (Social Security Number, equivalente al nostro codice fiscale).
Le rilevazioni di Silwood sono ovviamente generalizzabili solo in parte, ma
danno almeno una indicazione della complessità che le implementazioni ERP possono avere in quanto a strutture dati da esaminare in ottica di compliance al GDPR. Silwood si è concentrata su
cinque piattaforme che considera come le più diffuse: nell'ordine SAP, JD Edwards, Microsoft Dynamics AX 2012, Siebel e la Oracle E-Business Suite.
Silwood spiega che in media un ambiente
SAP ha oltre 90 mila tabelle corrispondenti a più di
900 mila campi dati. Il SSN è stato trovato il oltre 900 tabelle e le date di nascita in una ottantina. Valori più bassi, ma comunque significativi dal punto di vista GDPR, per le implementazioni
JD Edwards: 5 mila tabelle per
140 mila campi, con il SSN trovato in circa 170 tabelle e le date di nascita in 210.
Le implementazioni di
Microsoft Dynamics AX 2012 contano mediamente 7 mila tabelle per circa
100 mila campi. 150 tabelle contengono il SSN e circa 10 le date di nascita. Valori simili per
Siebel: 5 mila tabelle,
170 mila campi, 14 tabelle con il SSN e 6 con le date di nascita. L'analisi è stata completata con la
Oracle E-Business Suite, che mostra "dimensioni" da SAP (22 mila tabelle e
570 mila campi in media) ma una frequenza minore di dati personali (5 tabelle con il SSN e circa 40 con le date di nascita).
Il messaggio di Silwood è che davanti a strutture dati del genere pensare di eseguire una data discovery manuale è impossibile. "
Per le dimensioni del problema, le aziende che non sono evolute nella data discovery o stanno seguendo un processo manuale faranno fatica a essere pronte in tempo per il GDPR", ha
commentato Nick Porter, fondatore della software house.