In molte aziende e per molti manager, l’entrata in vigore della nuova normativa europea sulla protezione dei dati personali il prossimo maggio (GDPR), suscita  reazioni che vanno dallo scocciato al preoccupato. Di sicuro in molti avrebbero fatto volentieri a meno di una legge che impone di rivedere e mettere al sicuro tutti i processi che riguardano l’acquisizione e il trattamento di dati personali, che impone stringenti requisiti di sicurezza e che include per titolari e responsabili pesanti sanzioni amministrative che possono arrivare fino a 20 milioni di euro o al 4% del fatturato , in caso di violazione.

Per non parlare del fatto che il divieto a effettuare un certo trattamento può tradursi per alcune aziende nell’impossibilità di erogare un servizio (e le espone quindi a cause da parte dei propri clienti), e spingerle addirittura alla chiusura se questo servizio rappresenta il core business.

Visto che il GDPR è alle porte, ci sono due atteggiamenti che le aziende possono tenere nei suoi confronti:

  • Considerarlo un obbligo da assolvere, obtorto collo, e cercare di limitare il più possibile gli sforzi, i costi e gli effetti sull’operatività quotidiana;
  • Considerarlo un’opportunità per apportare cambiamenti radicali e positivi al funzionamento interno dell’azienda, al rapporto con i clienti e all’infrastruttura informatica, in particolar modo per quanto riguarda la sicurezza.

Il GDPR come motore per una trasformazione del business

Il GDPR impone di ottenere dai soggetti interessati il consenso informato sui dati che verranno trattati, le modalità e le finalità del trattamento, in modo più dettagliato e preciso dell’esistente normativa sulla privacy. Questo obiettivo può essere raggiunto riempiendo la già lunga informativa privacy di clausole che nessuno legge e tutti sottoscrivono quando compilano un modulo. Diciamoci la verità: la malcelata speranza di molti è che vengano concesse tutte le autorizzazioni possibili al trattamento, senza che il sottoscrittore ne comprenda davvero il significato, forzando o influenzando la sua volontà.

La normativa permette di affiancare alla versione in legalese, anche un’informativa più semplice e diretta, che può fare uso di icone, per far capire più chiaramente quali permessi si stanno concedendo a chi raccoglie il dato. Questa opportunità può essere sfruttata per stabilire con l’utente un nuovo patto di fiducia, basato su trasparenza e consenso, in cui chi vuole essere contattato o “analizzato” a scopo di marketing, può avere chiaro a quali trattamenti sarà sottoposto, e anche i benefici che possono derivargliene. E chi non intende essere disturbato, venga finalmente lasciato un pace.

La necessità di mettere al sicuro i dati personali, unita all’obbligo di istituzione di un registro dei trattamenti che tracci chi ha fatto cosa, impone di fare un assesment di tutti i sistemi e applicazioni che archiviano o trattano informazioni sensibili, e suggerisce (per minimizzare la complessità) di ridurre il più possibile il numero di questi sistemi separati, concentrando le informazioni in un unico punto ben gestito e ben protetto.

Questa è una enorme opportunità per aggregare i dati aziendali superando i compartimenti stagni dei “silos informativi”, ottenendo una base dati che – con gli opportuni strumenti di analytics – può essere sfruttata per ottenere importanti informazioni di business, generare nuove opportunità e ridurre gli sprechi.

I CMO non dovrebbero lasciarsi scappare questa opportunità per convincere i CIO più riluttanti a metter mano a sistemi vecchi e inadatti alle nuove necessità del marketing digitale.

Vista l’entità delle sanzioni in gioco e gli obblighi di comunicazione in caso di violazione (e i conseguenti rischi per l’immagine aziendale), dal canto loro, CIO e CISO potranno invece contare su un rinnovato e forte interesse da parte del board verso la sicurezza informatica dell’intero sistema-azienda. I budget così ottenuti potranno essere spesi non solo per rinforzare le protezioni già esistenti, ma anche per riprogettare i nuovi worflow informativi in base ai criteri del “security by design” e agendo su tutta la catena dell’informazione.

Questi sono tre esempi generali, ma industrie specifiche potranno senz’altro trovare altri modi per sfruttare un’esigenza di compliance normativa per sbloccare decisioni e risorse necessarie ad apportare cambiamenti positivi e necessari per affrontare una trasformazione digitale del business.