Privacy By Design: come cogliere l’opportunità
Articolo di Fabio Gariboldi
Pochi giorni fa su LinkedIn ho pubblicato una domanda aperta: le aziende italiane quando guardano alla privacy e al GDPR vedono il dito o la luna?
Il nuovo regolamento europeo della privacy e la necessità di arrivare puntuali per il mese di maggio ed evitare spiacevoli sanzioni, sta allarmando non pochi dei miei clienti.
È evidente che farsi trovare pronti ad un’eventuale visita ispettiva è una priorità e tuttavia la maggior parte dei commenti da “macchinetta del caffè” fanno riferimento all’ennesimo adempimento burocratico che distoglie dal business.
Come la maggior parte dei manager e dei consulenti che operano in Italia, anch’io ho sviluppato un’idiosincrasia per la scarsa chiarezza e la farraginosa applicazione degli adempimenti burocratici italiani; tuttavia non posso non notare che dietro il nuovo regolamento per la privacy c’è molto di più.
Si fa tanto parlare in azienda della capacità di cogliere le opportunità insite nelle sfide e credo che cercare di trasformare un adempimento in un percorso virtuoso per ridisegnare l’approccio all’utilizzo dei dati personali dentro e fuori l’azienda sia una di queste sfide.
Per tutti coloro che hanno seguito e seguono il dibattito europeo che ha generato questo regolamento, è limpido che il GDPR cambia molti equilibri e stravolge procedure ormai considerate abituali nel mondo della pubblicità, dell’informazione e della comunicazione.
Anche nell’azienda tradizionale l’impatto sui processi coinvolti con la gestione dei dati e dei flussi informativi sarà sensibile.
Tuttavia mai come ora sono sotto gli occhi di tutti di violazione sistematica dei dati personali, gli attacchi informatici globali sistemici e la manipolazione dell’opinione pubblica attraverso notizie false.
Senza considerare l’impatto a venire del flusso dei dati generato dagli Smart Object: mi ha particolarmente stupito la notizia della settimana scorsa relativa all’individuazione delle basi segrete americane da parte di un hacker che ha avuto accesso ai dati di un’applicazione che monitora e geo-localizza l’attività fisica degli utenti che la scaricano.
La tendenza degli utenti singoli ma anche delle aziende è quella di dire “sì, ma tanto non mi riguarda”, oppure “non posso farci niente”; insomma, sembra ci sia un po’ la tendenza a mettere la testa sotto la sabbia piuttosto che guardare in faccia ai rischi più che probabili della cattiva gestione dei propri e degli altrui dati personali.
Anche se decidiamo di ignorare tutti vantaggi relativi all’adozione del nuovo regolamento della privacy, legati alla prevenzione dei danni, economici, legali e sociali, questa piccola grande rivoluzione porta con sé incredibili opportunità per ripensare i principali processi aziendali.
Due elementi nel percorso individuato verso l’applicazione del regolamento generano il maggior impatto:
- Le organizzazioni dovranno adottare il principio della privacy by design, e quindi ridisegnare i propri processi aziendali per renderli compliant,
- Ogni dipendente o collaboratore dell’organizzazione che viene in contatto con questi processi dovrà essere formato all’adozione di pratiche corrette per la gestione dei dati e quindi sarà responsabile del proprio operato.
Chiunque lavora in contesti aziendali si rende perfettamente conto che spesso i processi non sono per niente mappati e le informazioni si perdono o sono difficili da reperire.
Anche quando tutti processi sono stati disegnati perfettamente sulla carta, spesso non sono condivisi, non sono conosciuti da tutti ed infine scarsamente applicati per un processo di scarsa responsabilizzazione.
Moltissime risorse ed enormi perdite di tempo si generano da questo gap implementativo ed è per questo che sono convinto che questo regolamento sia una importante opportunità… a patto che lo si intenda accogliere a pieno, senza scorciatoie.