I costi del GDPR: tutti i falsi miti sull’adeguamento privacy

“Una inutile e costosa perdita di tempo”: questo è ciò che spesso si sente dire a proposito della privacy e dell’adeguamento alla normativa europea sul trattamento dati (GDPR). Così, le aziende rischiano sanzioni non adeguandosi al regolamento sulla privacy, ritenendo che il GDPR abbia costi eccessivi. In realtà non è proprio così e, in queste righe, cercheremo di motivare questa affermazione.

Il GDPR ha costi elevati per rientri nulli? Non proprio

Partiamo da alcuni dati emersi nelle ultime settimane circa il sentiment dei cittadini e dunque di come l’insieme dei clienti delle aziende si comporta rispetto al tema privacy e trattamento dei dati:

• 95.000 reclami da parte dei cittadini europei in 8 mesi di piena applicazione del GDPR (fonte: Commissione Europea);
• 91% dei cittadini americani (fonte: Pew Research) sentono di aver perso il controllo dei propri dati e non sanno come riappropriarsene.

Questi dati indicano un forte interesse del nostro possibile target su come vengono acquisiti, gestiti e utilizzati i loro dati personali. Un’ulteriore conferma è che leggi sulla privacy (o meglio, sul trattamento dei dati riferiti o riferibili a persone fisiche) sono state approvate o sono in approvazione un po’ in tutto il mondo (vedi Uganda, Thailandia, USA). Cosa significa ciò per una realtà commerciale? Un prodotto/servizio è realizzato per soddisfare un bisogno espresso o latente, ciò può valere (in senso lasco) anche per una comprovata gestione della privacy: il cliente chiede trasparenza e possibilità di controllo delle informazioni che lo riguardano e io, azienda, glielo offro sapendo che questo mio sforzo sarà sicuramente apprezzato. Un’azione del genere ha, infatti, 2 risvolti positivi:

• permette di essere riconosciuto dal target come più adatto alle sue aspettative dei competitor (immediata identificazione);
• ispira fiducia nel sistema economico e, a giovarne, sono tutte le aziende che concorrono a incrementarla, e non coloro che non si adeguano.

Dunque, un beneficio che ottengo è una maggiore forza commerciale ma anche efficienza. Secondo il Data Privacy Benchmark 2019 di Cisco, infatti, chi investe in protezione dei dati ha minori ritardi nelle vendite, minori violazioni e relative perdite economiche, maggiore agilità (per il 75% degli intervistati).

I costi della perdita di reputazione

Parliamo ora di un costo che, soprattutto per le piccole imprese, può diventare insostenibile: la perdita di reputazione. Spesso, infatti, nelle considerazioni che si fanno sull’utilità dell’applicazione delle nuove regole inserite nel GDPR si considera solo il costo finanziario; se però sono vittima di una violazione dei miei sistemi, o si scopre (come si sta sempre più affermando nel caso di Facebook) che li condivido per ottenerne un guadagno senza che le persone a cui essi si riferiscano siano pienamente consapevoli di queste mie azioni, perdo clienti a vantaggio dei miei concorrenti.

Nel caso di Facebook, realtà con una forza economica e commerciale più che significativa, abbiamo assistito a una perdita di utenti (2 milioni di under 25 nel solo 2018 secondo eMarketer). E per chi non ha la stessa capacità finanziaria? Come si sa, tenere i propri clienti è molto meno oneroso che acquistarne di nuovi, dunque conviene pensarci. Inoltre, non va dimenticato che ci sono aziende, anche di grandi dimensioni, che fanno del rispetto della privacy il loro elemento differenziante e stanno incrementando i profitti. Un caso che si sta affermando è quello del motore di ricerca Duckduckgo che non tiene traccia delle richieste effettuate dall’utente, non fa pubblicità mirata, non vende le sue informazioni agli inserzionisti e, ultimamente, sta vedendo i suoi profitti (e la sua base utenti) in netta crescita.

Trattare in modo adeguato i dati degli utenti, dunque, non implica solo costi ma può far guadagnare e anche bene.

L’applicazione delle norme è molto onerosa

Sotto questo aspetto il Regolamento è molto chiaro. L’articolo 34 recita: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso…”.

Dunque una piccola impresa con una capacità economica non in grado di garantire il livello di sicurezza adeguato, ad esempio, al trattamento di dati genetici, non svolge tale attività. D’altra parte, non ci si aspetta che riesca ad avere il livello di sicurezza che si possono permettere di raggiungere aziende più strutturate e con una cassa più ricca. Per cui il Regolamento non richiede di fare il passo più lungo della gamba, ma di strutturare delle azioni (anche a costo finanziario nullo) che permettano all’azienda di effettuare i trattamenti che svolge garantendo i diritti delle persone a cui i dati si riferiscono e applicare delle misure che minimizzino il rischio che esso comporta.

Inoltre, il principio che il GDPR introduce è quello dell’accountability, ovvero della responsabilizzazione del titolare nel fare il massimo per garantire i diritti degli interessati. Poniamo dei casi concreti per capire:

• condivisione di username e password tra dipendenti della stessa realtà;
• utilizzo della stessa password per più sistemi, siti, applicazioni;
• utilizzo di password mnemoniche (date di nascita, nomi di persone, parole comuni);
• utilizzo di applicazioni, sistemi privi di codici di accesso;
• utilizzo di post-it con nome utente e password del computer, stampante, rete.

È evidente che:

• se le credenziali di accesso non ci sono, un possibile attaccante non dovrà perdere tempo per trovarle;
• qualora 2 persone condividono le chiavi, in caso di problemi sarà difficile identificare chi può aver commesso delle leggerezze;
• una password ripetuta è una facilitazione che si fornisce a chi vuole indovinarla per compiere azioni contrarie alla legge: mi attivo per trovarla 1 volta e poi la riuso in tutti i sistemi cui il legittimo detentore della stessa ha accesso;
• una password mnemonica è la più semplice da replicare poiché è tra i primi tentativi che, qualunque sistema automatico (e qualunque attaccante anche non particolarmente esperto di cybersecurity) effettua con elevato grado di successi (se non totale).

In caso di controllo, in tutte le situazioni elencate, sarà difficile per qualunque titolare d’azienda dire che ha fatto tutto il possibile per minimizzare il rischio del trattamento. Eliminare queste cattive pratiche non ha costo finanziario significativo, soprattutto se confrontato con il rischio che si corre e la sanzione prevista in caso di scoperta della stessa. Sarà infatti sufficiente partire da una responsabilizzazione di tutte le persone sul valore dei dati aziendali (attività di formazione) e utilizzare dei programmi oramai molto diffusi e, in molti casi, gratuiti, chiamati gestori delle password (password manager). Essi permettono di salvare tutte le credenziali che si devono ricordare dovendo memorizzare solo quella di accesso al programma.

La semplice installazione di un buon antivirus su tutti i sistemi e il suo regolare aggiornamento va non solo nell’ottica di migliorare la sicurezza dei dati (e dunque dei trattamenti effettuati), ma permette anche di ridurre il rischio di fuori servizio di un dispositivo, o dell’intero sistema informativo aziendale con i costi che un fermo produttivo implica.

“Il GDPR è una perdita di tempo”

Tanti ritengono il GDPR l’ennesimo adempimento burocratico che viene richiesto, una perdita di tempo ulteriore. Ma forse non è così. Il Regolamento è stato approvato ormai 3 anni fa ma è entrato in vigore solo da meno di 1 anno. In questi 9 mesi ho spesso sentito dire che è arrivato l’ennesimo fardello sulle spalle degli imprenditori e degli artigiani che non porta guadagni ma solo obblighi e tempi improduttivi per mettersi in regola.

In realtà essa richiede di ripensare la propria realtà rendendosi conto dei dati di cui si è in possesso, dei comportamenti tenuti nei loro confronti e, più in generale, delle prassi organizzative e operative delle realtà produttive.

Dunque non è solo un obbligo di legge, ma un’occasione da cogliere per ripensare al proprio modo di fare business, al coinvolgimento dei dipendenti nell’attività e alle possibilità che fornisce per migliorare le vendite e dunque i profitti. Per essere più chiaro parto faccio 2 esempi:

• il Regolamento richiede di chiarire al cliente, tra le altre cose, il tempo di conservazione dei dati personali e le finalità per cui li ho. Ciò implica:

1. lato azienda: stabilire con lui una relazione più diretta, che permetta all’azienda di conoscerlo meglio e valutare eventuali possibilità di incrementare il profitto ottenuto dallo stesso fornendogli servizi o prodotti che rientrano nei suoi desideri;
2. lato cliente la possibilità di avere piena consapevolezza di chi ha i suoi dati, per quale motivo e di ottenere ulteriori vantaggi dalla stessa;

• il controverso caso della segretaria dello studio medico licenziata perché passava molto tempo su Facebook.

Prescindendo dal lato giuslavoristico della vicenda tale vicenda può essere presa come esempio di un’occasione mancata, da parte della realtà in cui lavorava, di migliorare la consapevolezza nell’uso dei dispositivi informatici e del valore che essi hanno per il business. Come sottolineato dal professor Maresca su “IlSole24ore” del 27 febbraio scorso, fornire corrette informazioni, consapevolezza delle potenzialità degli strumenti e delle nuove tecnologie, è ciò che davvero garantisce i lavoratori e, di rimando, le imprese.

La formazione prima citata, dunque, può essere un’occasione per l’azienda non solo di trasmettere le informazioni sul Regolamento e gli obblighi che esso impone all’azienda, ma anche un momento per creare la consapevolezza necessaria nell’uso dei dispositivi aziendali, delle modalità corrette da seguire e del valore di comportamenti virtuosi per la realtà in cui si lavora (e dunque anche per il mantenimento del proprio stipendio).

Tale osservazione vale ancor di più in un’epoca, come quella attuale, in cui grazie allo sviluppo tecnologico si riduce la necessità della presenza fisica in ufficio del dipendente (con la relativa riduzione di un controllo diretto) mentre aumenta l’importanza dello strumento informatico per svolgere la propria attività. Dunque appare difficile limitarne l’uso o proibirlo, piuttosto creare policy interne chiare su cosa è possibile fare con essi.

Ecco dunque che, la figura del consulente che segue l’azienda nell’adeguamento è quello di una persona che, comprendendo il business della realtà in cui opera, aiuta la dirigenza non solo a predisporre la documentazione richiesta, ma, soprattutto, a capire come intervenire sui processi e sulla cultura aziendale in modo tale da renderla in regola con quanto prescritto dal Regolamento e cogliere le occasioni di incremento della produttività, della conoscenza dei dati che si hanno e di come vengano utilizzati, di eventuali modalità di incremento delle vendite.

Nessuno è immune ai controlli

Non mancano le verifiche fatte dall’Autorità o dai suoi delegati (Guardia di Finanza) e della possibilità di zone bianche. Riprendo a tal proposito le parole del colonnello Menegazzo, responsabile dell’unità privacy delle Fiamme gialle. In un intervento svolto l’anno scorso a ridosso dell’entrata nella piena applicazione dichiarò che:

• i controlli non risparmieranno nessuno, non ci sarà la lista delle cose da fare per essere a norma (l’Allegato B della vecchia normativa in cui c’erano le misure tecniche da implementare per essere a norma);
• dei controlli si potranno occupare tutti i reparti della Guardia di Finanza; i suoi uomini, infatti, stavano procedendo ad un’attività di formazione dei colleghi delle varie sedi. Ciò significa che, per esempio, durante un controllo sull’emissione degli scontrini e delle fatture, il finanziere potrà verificare anche la conformità al Regolamento.

Va inoltre detto che la nuova normativa dà la possibilità a chiunque di fare segnalazioni sul mancato rispetto delle regole, non solo agli interessati. In caso di accertamento della fondatezza delle ragioni esposte, il rischio non è solo la sanzione amministrativa che il Garante potrà combinare (o l’obbligo di modificare/interrompere il trattamento effettuato), ma quello di ritrovarsi un procedimento penale per trattamento illecito con richiesta di danni in cui l’aver ricevuto la multa costituirà prova a favore e non certo contro.