Puntare sulla tutela della privacy e sulla protezione dei dati ripaga, anche se innegabilmente norme come il General Data Protection Regulation (Gdpr) hanno portato nelle aziende un po’ di scompiglio, dubbi e confusione. Basti pensare che nel mese di maggio 2018, in vista dell’entrata in vigore del nuovo regolamento nel giorno 25, su Google la parola “Gdpr” è stata più ricercata dei nomi di Beyoncé e di Kim Kardashian. Nelle statistiche di Factiva, nel corso del 2018 il termine Gdpr ha ricevuto dai media un’attenzione incredibile, tanto da essere citato 300mila volte (contro le 100mila di Mark Zuckerberg).
Se ne è parlato tanto, e adesso? A otto mesi dall’inizio del “nuovo corso”, diversi commentatori hanno fatto il punto della situazione, approfittando della data simbolica del 28 gennaio, scelta come Data Protection Day. Tra gli spunti più interessanti c’è uno studio di Cisco, eseguito su 3.200 professionisti di sicurezza informatica residenti in 18 Paesi: ha evidenziato che dagli investimenti sulla privacy le aziende possono trarre diversi benefici non limitati alla sola compliance. “La privacy è un ingrediente vitale per il successo di un’azienda, sia per proteggere i dati sia per alimentare l’innovazione”, assicura John N. Stewart, senior vice president e Chief Security and Trust Officer di Cisco.
Adoperarsi per rispettare il Gdpr significa ragionare sui sistemi di gestione e archiviazione dati, sul backup, sulle richieste di consenso al trattamento dei dati e altro ancora. Significa e ha significato, per molte realtà, realizzare un’opera di assessment mai fatta fino ad allora. Non stupisce, dunque, che le aziende oggi “pronte” al Gdpr abbiano sperimentato con minor frequenza degli incidenti informatici di data breach rispetto alle alte. Le percentuali sono comunque molto alte (74% per le aziende già in regola con il Gdpr, 80% per le altre) ma lo scarto è apprezzabile. E mediamente anche i costi delle violazioni informatiche sono differenti per i due gruppi.
Oltre alla migliore sicurezza, c’è poi un vantaggio tangibile sui ricavi. Chiedendo a circa 1800 professionisti quali fossero le ragioni dei ritardi nelle vendite della propria azienda, Cisco ha ottenuto risposte come “dobbiamo indagare richieste specifiche o insolite di clienti o prospect prima che si fidino delle nostre politiche di privacy” (49% dei rispondenti) o “il cliente o prospect ha bisogno di capire di più sulle nostre regole o procedure di privacy” (39%) o “non possiamo o vogliamo soddisfare le richieste di privacy del cliente o prospect”, per esempio in riferimento alla cancellazione di vecchi dati. E ancora, “ci vuole tempo per trovare la giusta persona o gruppo di persone che risponda alle domande di un cliente o prospect” (28%). Mettersi in regola con il Gdpr consente di arrivare più preparati all’eventualità di richieste di questo tipo, che sono un frequente ostacolo alle vendite. Il fatto di aver riorganizzato e classificato i propri dati, inoltre, ha permesso a una parte delle aziende di guadagnare velocità ed efficienza.
L’accuratezza nella gestione dei dati ripaga anche nel lungo periodo. “La privacy dei dati”, si legge nello studio di Cisco, “è un aspetto critico del più generale sforzo di un’azienda di massimizzare il valore dei propri dati su tutto il ciclo di vita. Come ogni altro assett, i dati devono essere efficientemente acquisiti, conservati, protetti, usati, archiviati o cancellati”. Solo chi sa farlo può creare con i propri clienti delle relazioni più solide e basate sulla fiducia.
Pur essendo, secondo queste premesse, una notevole leva di crescita per le aziende, il Gdpr è stato finora anche un grattacapo. Stando ai dati della Commissione Europea, tra maggio 2018 e gennaio 2019 i garanti della privacy o analoghe autorità nazionali hanno ricevuto 95.180 reclami su possibili infrazioni del diritto alla riservatezza. Si tratta in gran parte di segnalazioni fatti dai singoli cittadini convinti che i propri diritti, così come definiti dal Gdpr, siano stati violati; è anche possibile, però, che il reclamo giunga da un’azienda. Telemarketing sgradito, email promozionali non richieste e attività di videosorveglianza sono le tre ragioni di lamentela dominanti.
C’è da chiedersi, a questo punto, quanto le aziende europee siano già in regola e quanto ancora debbano fare per evitare reclami e sanzioni. Lo studio di Cisco suggerisce che il 59% delle imprese abbia già soddisfatto tutti o la maggior parte dei requisiti (secondo l’autodichiarazione degli intervistati), mentre il 29% prevede di farlo entro un anno e un più lento 9% crede di aver bisogno di più tempo. Ma c’è una buona notizia per l’Italia, una volta tanto: la nostra media è del 72%, allineata con quella di Spagna, Francia e Regno Unito, mentre in nazioni come Cina, Giappone e Australia i livelli di compliance sono notevolmente più bassi. Non dimentichiamo, infatti, che il Gdpr vincola al suo rispetto anche le aziende non europee che raccolgano dati di cittadini del Vecchio Continente. E infatti la prima vittima illustre della mancata compliance è stata una società della Silicon Valley, Google, a cui l’authority francese ha imposto una multa da 50 milioni di euro.