Perché la migliore risposta al GDPR è un servizio NATIVO Cloud? Un esempio nel Retail

Il GDPR (Regolamento Generale sulla Protezione dei Dati personali) che entrerà in vigore dal prossimo 25 Maggio impone nuove norme sul trattamento dei dati personali. I nuovi concetti di Privacy by Design e by Default (Protezione per progetto e predefinita) sono così razionali e allo stesso tempo avanzati da portare l’Europa all’avanguardia su queste tematiche in un momento particolarmente caldo per i recenti scandali che hanno coinvolto Facebook e altri colossi del web.

Il Retail è un settore toccato in pieno da questo regolamento, poiché i clienti sono per la maggior privati e non aziende (escluse dalle nuove regole) e perché Profilazione e Marketing, ambiti centrali nel GDPR, sono strumenti efficacissimi che non possono essere lasciati in mano solo ai colossi dell’eCommerce. I più moderni servizi erogati a canone da Cloud (detti SaaS da Software as a Service) mettono a disposizione dei commercianti di qualunque dimensione strumenti che consentono di ridurre il distacco da Amazon, utilizzando le stesse tecniche, pur con maggior rispetto della privacy del cliente. Per un operatore online i Clienti sono insiemi di dati, mentre nei negozi fisici sono anche persone e ciò può fare la differenza.

Perché “Nativo Cloud” è sinonimo di “predisposto” per il GDPR?

Internet e il Cloud Computing hanno trasformato il mondo e quindi anche il modo di lavorare delle aziende. Dall’informatica gestita in proprio si sta passando a servizi erogati da aziende specializzate, da consumare come l’elettricità e la telefonia. Stiamo entrando nella Quarta Rivoluzione Industriale e le architetture IT non possono rimanere alla generazione precedente.

E’ importante però distinguere i SaaS Nativi Cloud dai “SoSaaS” (Same old Software as a Service). Questi ultimi sono dei tradizionali sistemi che lavorano su server remoti gestiti, direttamente o indirettamente, dal fornitore del servizio. E’ evidente che con un SW progettato su principi e tecniche pre-Internet, il solo spostamento del server dai propri uffici al Cloud non ne può cambiare la natura introversa, monolitica e “database centrica” dove, normalmente, è possibile l’accesso diretto anche ai dati dei clienti per permettere allo staff IT aziendale di fare manutenzione e/o di creare personalizzazioni, con evidenti impatti negativi sulla protezione dei dati imposta dal GDPR.

Per contro un servizio Nativo Cloud è progettato da zero per sfruttare tutte le funzionalità messe a disposizione da leader come Microsoft con Azure e Amazon con AWS. Invece che usare direttamente le macchine virtuali di una IaaS (Infrastructure as a Service), nel Cloud-native spesso si costruisce sopra ad una PaaS (Platform as a Service), lo strato software che gestisce automaticamente carichi di lavoro elevati e discontinui, guasti HW e aggiornamenti software, senza alcuna interruzione del servizio e, soprattutto, con la massima protezione dei dati.

Tra le caratteristiche essenziali del vero Cloud Computing c’è la multi-tenancy, la stretta condivisione delle stesse risorse HW e SW da parte di utenti diversi per aumentare la qualità del servizio, riducendo costi e impatto ambientale ed anche la massima apertura verso l’esterno, siano essi clienti o fornitori, per consentire agilità ed evoluzione continua.

La condivisione delle risorse, aggiunta al fatto che la riservatezza e sicurezza dei dati sono la maggiore preoccupazione di imprenditori e responsabili IT quando i dati sono remoti (come se vicino fosse sinonimo di sicuro), rende tale aspetto fondamentale per ogni soluzione nativa Cloud, ancora prima e indipendentemente dai vincoli del GDPR.

L’altro paradigma, quello di massima apertura verso l’esterno e quindi di software basati su API (Application Programming Interfaces) e Architetture orientate ai Servizi, implica che gli utenti non accedono mai direttamente al database, ma inviano richieste ad uno strato software che controlla identità e i relativi diritti di accesso ai dati (per cui una commessa, ad esempio, ha limitazioni rispetto alla direttrice di un PdV), applica delle logiche di business ed infine risponde attraverso un canale protetto da intercettazioni.

L’accesso diretto al database è quindi impossibile anche ai massimi livelli di autorità per evitare ogni possibilità di forzatura dei dati senza passare attraverso i controlli. Nel caso del GDPR, questo approccio impedisce ogni concessione o revoca dei diversi tipi di consenso al trattamento dei dati personali senza lasciare traccia.

App vs. Browser

aKite, il Cloud-native SaaS per la gestione dei Punti di Vendita di BEDIN Shop systems, è basato sull’uso di App, cioè di programmi progettati per collaborare con i servizi erogati dal Cloud e per svolgere autonomamente alcune funzionalità. Altre soluzioni SaaS presenti sul mercato sono basate su Browser.

Nel caso di furto delle credenziali, le App sono più protette perché richiedono in via preliminare un “download”. Poiché, almeno in aKite, i canoni sono legati al numero di App attive, eventuali anomalie vengono rilevate ancora prima che si tenti di “rubare” dei dati. Per questo un’App, identificata da un codice e dal nome del computer, può funzionare in sicurezza da qualunque indirizzo Internet (IP), caratteristica utile quando il responsabile del negozio lavora con il suo portatile o tablet da casa o da un fornitore, oppure quando il gestore di una catena è spesso in trasferta. Una soluzione basata su Browser potrebbe essere resa quasi altrettanto sicura, ad esempio, filtrando gli indirizzi IP da cui arrivano le richieste, intralciando tuttavia un’ampia mobilità.

A queste considerazioni vanno aggiunte le maggiori prestazioni ed efficienza di un’App nativa rispetto ad un’applicazione basata su Browser e la migliore funzionalità in caso di momentanea assenza di collegamento a Internet.

aKite versione GDPR

La protezione dei dati personali in aKite è da sempre “by Design” come richiesto dal GDPR perché progettata da zero sui nuovi paradigmi del Cloud. I principali adeguamenti dell’ultima versione 4.0 riguardano la Privacy by Default.

Se non viene registrato espressamente il consenso alla Profilazione, i dettagli di ogni acquisto non vengono associati al cliente. Gli operatori vengono costantemente avvertiti di non raccogliere informazioni sensibili che potrebbero portare a invasioni della privacy e discriminazioni ingiustificate. Per gli utenti che hanno concesso il consenso alla Profilazione, la storia dettagliata dei loro acquisti viene mantenuta al massimo per 24 mesi e in ogni momento è possibile revocare uno o più consensi a Profilazione, Marketing proprio e di terzi.

E’ gestito anche il caso limite di un Cliente che accetta di dare il suo nominativo senza però concedere alcun consenso. Poiché questo impedirebbe una politica di marketing evoluta, un negozio o una catena potrebbe condizionare in modo chiaro ed esplicito la concessione di vantaggi a uno o più consensi.

Per risolvere l’annoso problema dei clienti che non accettano di portare sempre con se una nuova Fidelity Card, specialmente per i negozi di beni durevoli a bassa frequenza d’acquisto, è stata creata l’App aKite Chat, un Chat-bot ovvero un robot che gestisce una conversazione, che in pochi e semplici passaggi informa il Cliente sui vantaggi a registrarsi e su come verranno gestiti i suoi dati. I nostri Retail Web Services che gestiscono degli economici PC o Tablet a disposizione dei clienti, registrano le generalità e i diversi consensi a Profilazione e Marketing, il negozio, il nome del computer e l’ora, inviano quindi una mail di richiesta e registrano data e ora della conferma, a verifica della piena autenticità del consenso.

Infine il rappresentante legale del negozio o della catena, pur rimanendo necessariamente “Titolare del trattamento” dei dati personali, può designare il fornitore del servizio SaaS da Cloud come “Responsabile del trattamento” (art. 28 del GDPR) trasferendogli parte delle responsabilità ed oneri.

Sono attese delle semplificazioni e deroghe per le PMI, ma adeguarsi senza compromessi “by design e by default” alle normative pone al riparo da rischi e consente di rassicurare i propri clienti che i dati sono trattati con la massima cura e professionalità, nel pieno rispetto della loro privacy. Mandare pochi messaggi di marketing, ma molto mirati e quindi utili al cliente, è una dimostrazione pratica di questo rispetto, oltre ad essere l’atteggiamento più efficace per conquistare la sua preferenza.

aKite Chat assieme ad aKite Hint (chi compera il prodotto A di solito compera anche B, C e D) fanno parte di Intelli-tail (Intelligent Retail), il percorso di “infusione” di tecniche di Intelligenza Artificiale in aKite iniziato da tempo con il fine di consentire azioni di marketing automatiche e veramente mirate su ogni singolo cliente, portando a catene di ogni dimensione e negozi indipendenti gli stessi servizi che hanno contribuito al successo di Amazon e degli altri colossi dell’eCommerce.