GDPR e PSD2, una sfida a tutto tondo anche per le nostre PMI

Autorità e normativeGovernance

GDPR e PSD2, con le relative scadenze, rappresentano una palestra di “metodo” per le aziende. Nell’era 4.0 essere “compliant” sarà il requisito di base per continuare a fare business

GDPR e PSD2 rappresentano due direttive “sfida” per tutte le nostre aziende, anche per le più piccole, soprattutto nel primo caso. Se infatti il problema della privacy e della gestione dei dati personali riguarda qualsiasi realtà, allo stesso tempo è vero che pure la gestione dei pagamenti e la possibilità di “liberalizzare” la gestione della transazione sono problematiche che coinvolgono direttamente anche le realtà produttive.

Da un lato (privacy) si chiede di mantenere il pieno controllo sulle informazioni, e dall’altro si richiede la massima flessibilità per consentire di pagare ed essere pagati su una molteplicità di canali fino a ieri non immaginabile.  

In un recente documento, RSA valuta come almeno sul tema del GDPR l’Italia parta da una posizione di vantaggio, perché il nuovo regolamento non è in contrapposizione con la normativa nazionale che in Italia è stringente già da anni e che tuttavia ci ha permesso comunque di arrivare prima di altri Paesi per esempio all’erogazione di alcuni servizi sanitari tramite la tessera con il chip integrato.

Una posizione di vantaggio altresì che non è stata sfruttata tanto che il 78 percento delle aziende si dichiara non pronto a soddisfare i requisiti. Le problematiche relative a PSD2 a loro volta pongono davanti a uno scenario per certi aspetti poco considerato. La spinta a una varietà molteplice di attori ha messo sotto pressione il banking, di natura abbastanza riottoso al cambiamento, e sono proprio i millenials la generazione più pronta a richiedere i nuovi servizi. Insomma, non c’è più molto tempo e soprattutto bisogna guardare in faccia le cose come stanno.

GDPR e Unione Europea
GDPR, privacy e nuovi sistemi di pagamento. Sfide aperte per le aziende, ma le regole ci sono e possono servire da driver per il cambiamento

Per alcune caratteristiche GDPR e PSD2 costituiscono due delle molteplici facce dei cambiamenti in corso: la digitalizzazione che fluidifica i processi da una parte, ma che richiede regole precise e certe a tutela della sicurezza dall’altra. Ciò che è fluido non può essere anche incontrollato.
Così in pratica saranno da considerare dati “personali” anche gli indirizzi IP (quando permettono di risalire a un utente specifico), e allo stesso tempo non ci sarà processo che per definizione potrà non essere in qualche modo “compliant”. 

Il rispetto delle Direttive e dei Regolamenti, nell’ottica del legislatore, dovrebbe diventare – questo il messaggio anche degli esperti RSA – anche un indice della buona salute di una realtà produttiva.

Si tratta di una prospettiva interessante, ma anche impegnativa, perché lo stato di salute si misura grazie al parere del medico, mentre negli anni con il proliferare di regole e leggi sono venuti meno gli strumenti per potere verificare l’effettivo rispetto, anzi il legislatore ha preferito quasi sempre aggiungere regolamenti, proprio laddove si accorgeva di perdere il controllo.

Se in ambito privacy il rischio è semplicemente la disponibilità pubblica delle informazioni anche dove non dovrebbe esserci, è chiaro come l’apertura evocata da PSD2, mette all’angolo le cariatidi del banking, invitando le banche a raccogliere sfide importanti, di apertura. Nessuno chiede al sistema di rinunciare a esserlo, anzi, PSD2 vuole suonare una sveglia: il mondo cambia e le banche invece no.

Il metodo che propongono gli esperti RSA per affrontare le problematiche GDPR riconduce ad alcuni passaggi: l’analisi del rischio e delle compliance (individuare dove e sono i dati, come vengono memorizzati e le aree di rischio); lo sviluppo di controlli e processi adeguati; l’implementazione di strumenti di detection e di analisi degli incidenti, il piano di risposta. 

In ambito PSD2 emerge invece prima di tutto la scelta di un approccio: l’istituzione finanziaria può scegliere di predisporsi a ridurre il proprio ruolo, lasciando ad altri attori una fetta del business possibile, anche in questo caso non può rinunciare ovviamente ad ubbidire alla porzione della Direttiva che riguarda la compliance per quanto riguarda la parte basica di PSD2 e dovrà adeguare comunque i sistemi e i processi affinché abilitino le possibilità di aggancio ai servizi richiesti e forniti da terzi; oppure potrà costituirsi come attore di piattaforma, come hub, disponendo di un market place di API per i propri servizi e per i terzi, e proponendo tra le altre disponibili esterne anche una propria soluzione.

Presto ci si potrà accorgere che entrambi i task più urgenti per farsi trovare pronti (l’appuntamento PSD2 è per gennaio e quello GDPR la metà del 2018) avranno rappresentato anche una palestra di metodo. Chi avrà saputo cavalcare l’opportunità si ritroverà con un’azienda più agile e meglio organizzata.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore