GDPR: cosa cambia per le aziende? Fine della comunicazione data driven oppure occasione per una miglior interazione?

Il 25 maggio 2018 si avvicina sempre di più, turbando il sonno di tantissimi professionisti, soprattutto di chi si occupa della gestione dei dati: grandi aziende, PMI, blogger, agenzie di comunicazione, startup, istituti di ricerca; tutto il mondo del digitale è in subbuglio.

Questa agitazione diffusa è dovuta alla conoscenza ancora parziale di cosa sia questo GDPR e come influisca sulla vita di un’azienda: proviamo a fare un po’ di chiarezza.

Di cosa parliamo quando parliamo di GDPR

Il General Data Protection Regulation – ovvero Regolamento generale di protezione dei dati – è la disciplina europea in materia di trattamento e utilizzo dei dati personali all’interno dell’Unione Europea, espressa tramite il regolamento UE 2016/679 facilmente consultabile nel sito dedicato.

Il GDPR è stato pensato per avere la massima sicurezza nella gestione dei dati, con una particolare attenzione ai dati considerati «personali» come cookie, indirizzo IP e geolocalizzazione. Attenzione, quindi, non solo quelli sensibili (come orientamento sessuale o lo stato di salute)!

Tutto ciò richiede importanti adeguamenti legali e soprattutto organizzativi; le aziende dovranno:

• digitalizzare tutti i dati e garantirne la massima sicurezza
• tracciarne l’utilizzo
• averli sempre disponibili

questo perché ogni utente avrà il diritto di chiedere di accedere ai propri dati e modificarli o cancellarli in qualsiasi momento.

Ma c’è un altro punto spinoso della faccenda: le aziende dovranno comunicare qualsiasi violazione dei dati – la cosiddetta data breach – in 72 ore, che a livello organizzativo desta non poche preoccupazioni.

Passiamo alle note dolenti: per le aziende non in regola sono previste multe pari al 4% del fatturato mondiale annuo con un tetto fino a 20 milioni di euro, nonché sanzioni penali per le violazioni più gravi.

A che punto è l’Italia con l’adeguamento?

Nonostante manchi davvero poco tempo all’entrata in vigore del regolamento, sembra che meno della metà delle aziende abbia elaborato un piano di conformità e molte ancora non sono in grado di comprendere appieno quali sono i dati che dovranno essere protetti.

Secondo la ricerca del 06 febbraio 2018 dell’Osservatorio Information Security & Privacy del Politecnico di Milano le aziende italiane si stanno adeguando alla normativa, ma solo una due è già pronta.

• Il 51% delle imprese ha già in corso progetti strutturati di adeguamento al GDPR
• il 34% sta analizzando i requisiti della normativa

ciò significa che il 18% delle aziende non sono non è pronto ad adeguarsi alla normativa, e non è detto che sia in grado di rispettare la scadenza del 25 maggio.

Tuttavia, la situazione è migliorata notevolmente rispetto gli anni scorsi:

• solo l’8% delle imprese dichiara una scarsa conoscenza delle implicazioni del mancato adeguamento contro il 23% di un anno fa
• sale dal 9% del 2016 al 51% attuale il numero di aziende in cui è già in corso un progetto strutturato di adeguamento al GDPR

Alla maggiore conoscenza corrisponde anche un deciso incremento delle risorse investite dalle imprese per corrispondere ai requisiti del GDPR: il 58% delle aziende ha un budget dedicato all’adeguamento al GDPR, di cui il 35% con orizzonte annuale e il 23% su base pluriennale, mentre erano soltanto il 15% dodici mesi fa (7% pluriennale e 8% annuale).

Resta ancora molto elevata, tuttavia, la percentuale di organizzazioni senza un budget dedicato: il 42%, divise fra il 23% che prevede di stanziarle nel corso dei prossimi sei mesi e il restante 19% che non lo ha ancora programmato.

Insomma, la tendenza è positiva, ma che ancora un 19% di aziende non sappia da che parte girarsi è significativo.

Quali sono le opportunità che il GDPR crea?

In tanti guardano a questo cambio di passo come una tragedia, la fine della profilazione e del re-marketing: in realtà se si guarda allo «spirito» di questa normativa si capisce come non si tratti di una disgrazia ma di un’opportunità.

È vero che le aziende dovranno fare uno sforzo considerevole per adeguarsi a questa normativa, ma solo per quelle che non hanno stabilito un vero rapporto di fiducia con i clienti questo sarà un problema. Certo, non si potrà più invadere il cliente con offerte indiscriminate, ma il punto è che queste offerte sono molto spesso sgradite: è il momento giunto non solo per dare la giusta attenzione alla sicurezza informatica nel suo insieme, ma di condurre anche un’analisi seria sulle prassi aziendali.

Ecco allora che il GDPR può essere allora visto non come un’ennesima vessazione o una check-list di pratiche a cui adeguarsi: è invece uno strumento volto a regolare nel migliore dei modi il rapporto aziende-clienti.

E voi, siete tra le aziende che rincorrono la messa in pratica del regolamento o siete tra i virtuosi che hanno già «fatto i compiti» pronti per una nuova era del marketing?