Il Cisco Data Privacy Benchmark Study 2020, un sondaggio condotto intervistando rappresentanti di 2.800 aziende in 13 paesi del mondo (inclusa l’Italia), ha rivelato che le aziende hanno realmente iniziato a constatare che le spese mirate al miglioramento della gestione e della protezione dei dati dei clienti si traducono in benefici che vanno ben oltre l’essere conformi a regolamentazioni quali il GDPR (General Data Protection Regulation) dell’UE e altre in materia di riservatezza dei dati personali.
Tra la seconda edizione della ricerca (2019) e la terza (2020), la percentuale di organizzazioni che hanno affermato di aver ottenuto, dai loro investimenti in data privacy, vantaggi significativi ulteriori rispetto alle compliance, è salita dal 40 al 70%. Se analizziamo questo trend in parallelo al dato secondo cui, secondo il sondaggio, nel 2019 è diventato GDPR-Ready il 55% del campione (il 29% lo sarà entro un altro anno, il 12% in tempi successivi, mentre solo 3% afferma di non essere interessato dalla normativa), si può affermare che la General Data Protection Regulation ha rappresentato un momento di svolta nell’approccio delle aziende alla gestione dei dati personali.
Perché le pratiche per la tutela della privacy conducono a effetti positivi
Le misure adottate dalle aziende per mettere in sicurezza i dati personali e cruciali vengono incontro a problematiche attuali e conosciute. Due sono la crescente esigenza degli utenti in materia di protezione e riservatezza dei dati e la minaccia costante di violazione dei dati (data breach), periodicamente ricordata da notizie di stampa circa attacchi cibernetici che hanno colpito con successo persino prestigiosi brand. Un’altra problematica, più nota agli addetti ai lavori, è il rischio di utilizzo improprio dei sistemi informatici aziendali da parte di utenti autorizzati e non (ma con accesso agli stessi, ad esempio in quanto amministratori di sistema o rete). L’altra tematica già citata è la necessità di conformarsi alle prescrizioni delle normative
Il 70% delle aziende intervistate ha dichiarato che gli sforzi effettuati per garantire la migliore protezione possibile dei dati si è tradotta in migliore agilità, maggiore vantaggio competitivo, maggiore attrattiva verso gli investitori e maggiore fiducia da parte dei clienti. In un’altra parte del Cisco Data Privacy Benchmark Study 2020, i benefici sono dettagliati usando anche altri termini: riduzione dei ritardi nelle vendite, minori perdite economiche legate ai data breach, abilitazione di una maggiore capacità di essere agili e innovativi, maggiore efficienza operativa grazie al controllo dei dati, e ancora una volta maggiori attrattività verso gli investitori e crescenti fedeltà e fiducia da parte dei clienti.
Un framework per l’autovalutazione dell’accountability
Prima di entrare nel merito del significato e delle motivazioni di alcuni di questi benefici, vediamo come i ricercatori di Cisco hanno chiesto alle aziende di autovalutarsi, per effettuare correlazioni fra conformità alle normative/protezione dei dati degli individui e vantaggi tangibili di business.
Il vendor ha scelto di affidarsi al framework Accountability Wheel messo a punto dal Centre for Information Policy Leadership (CIPL), un think tank internazionale che fornisce consulenza a regolatori e imprese. Gli esperti di Cisco hanno chiesto alle aziende del campione (composto da realtà fra i 250 e le decine di migliaia di addetti) di assegnare un voto da 1 a 5 rispetto a questi ambiti: Leadership e Oversight, Risk Assessment, Policies and Procedures, Transparency, Monitoring and Verification e Response and Enforcement. Il voto 3 doveva essere assegnato se si erano fatti progressi significativi ma restava ancora della strada da fare; il 4 solo se l’azienda poteva asserire di avere già in atto la maggior parte delle politiche e delle procedure per la migliore data privacy possibile.
La media dei voti ottenuti dal self assessment è risultata di 3,65. In dettaglio, 25% ha conseguito una media inferiore a 3, il 41% tra 3 e 4, e il 33% superiore al 4. Vediamo alcune delle correlazioni fra accountability (responsabilità) e altri dati interessanti.
Più responsabilità chiare, minori ritardi nelle vendite
Secondo lo studio, il gruppo delle aziende più accountable ha una spesa media di 1,5 milioni di dollari; quella delle imprese meno responsabili è di 1,1 milioni di dollari. Dalla ricerca emerge che le prime hanno ottenuto benefici legati ai loro investimenti in data privacy pari a 3,4 milioni di dollari; le seconde vantaggi per 2,0 milioni di dollari. In pratica, quelle che hanno speso di più hanno hanno avuto un ritorno sull’investimento di 3,1 volte, mentre le altre hanno ottenuto un ROI solo di 2,3 volte.
Esiste – e ci sembra interessante – un rapporto fra livello di investimento in strategie e misure per la riservatezza dei dati e i ritardi nelle vendite riconducibili a questioni di privacy. Questi ritardi, infatti, sono dovuti al tempo medio che i clienti si prendono per sapere quali dati personali sono raccolti dai prodotti o dai servizi di un’azienda, come le informazioni vengono trattate e trasferite, chi ha loro accesso e così via. Le aziende con un voto di accountability oltre il 4 hanno lamentato 3,6 di privacy-related sales delay, contro le 3,9 settimane delle imprese con responsabilità media e le 5,5 di quelle con accountability più bassa.
Sicurezza e certificazioni: meno costi per i breach e più acquisti
Gli investimenti per la data privacy hanno una ricaduta positiva sull’assetto di security delle aziende. Poter vantare compliance alle normative per la corretta gestione dei dati personali si riflette in una maggiore attrattiva verso i potenziali nuovi clienti.
Delle aziende che hanno registrato uno score sulla Accountability Wheel inferiore a 4, solo il 13% non ha subito un data breach nell’anno precedente. Per contro, delle organizzazioni con un voto superiore a 4, il 28% si sono rivelate completamente breach-free, mentre quelle cha hanno registrato violazioni hanno notato un caldo del 19% dei downtime legati agli incidenti e una riduzione del 28%dei record di database interessati dai breach.
Quanto al vantaggio di poter vantare certificazioni, l’82% per cento delle aziende intervistate (l’89% in Italia) ha sostenuto che esse giocano un ruolo chiave nelle decisioni di acquisto da parte dei clienti.
Oltre al GDPR, rappresentano “medaglie al valore” della privacy anche le certificazioni ISO 27701 (estensione della ISO 27001 per criteri aggiuntivi sulla privacy), EU-U.S. and Swiss-U.S. Privacy Shield Frameworks (un meccanismo legale sul trasferimento dei dati dall’Europa agli Usa), APEC Cross-Border Privacy Rules (altra normativa per il trasferimento dei dati internazionale, che interessa anche l’Asia e l’Oceania) e EU Binding Corporate Rules, o BCR (certificazioni che dimostra l’aderenza a standard europei e globali per il trasferimento di dati interaziendali).
