L’impegno economico per l’adeguamento al GDPR è considerato l’ennesima spesa di compliance. Una logica difensiva che riproduce l’atteggiamento che ha sempre caratterizzato l’approccio alla sicurezza: necessaria ma improduttiva. Non è così
Nella stragrande maggioranza dei casi il tema del trattamento dei dati personali viene vissuto dalle aziende alla stessa stregua con cui di solito ci si è confrontati con le questioni che riguardano la sicurezza, sia essa fisica o digitale: una spesa e non un investimento. Le priorità sono altre, quelle che devono sostenere la produttività. Un budget per la security? Solo se obbligati.
Un atteggiamento che ha determinato, sempre e comunque, un approccio difensivo: misure necessarie per evitare perdite. Ma l’obiettivo di un’impresa non è evitare le perdite, bensì, semplificando, guadagnare. Questo lo si può fare in maniera etica o meno, responsabile o meno, ma in tutti i casi sempre di guadagnare si tratta, e la security come funzione aziendale dovrebbe facilitare questo obiettivo, non ostacolarlo.
Ergo, la sicurezza – e per proprietà transitiva il trattamento dei dati personali – dovrebbe fare un salto di qualità e trasformarsi: da micro funzione periferica di difesa diventare una funzione di supporto al business, facilitatrice del governo di ogni tipo di rischio, in grado soprattutto di individuare non solo le minacce, ma anche le opportunità.
L’equazione che ha finora determinato il comportamento delle aziende nel confronto del trattamento dei dati personali è stata la seguente: GDPR = Security, dando così luogo a iniziative di tipo difensivo poiché l’assunto è che security è spesa, e non investimento, e presuppone un adeguamento a una burocrazia che rallenta o addirittura impedisce il raggiungimento degli obiettivi.
Atteggiamenti difensivi, dunque. E se da parte di grandi aziende e multinazionali ci si è quanto meno attivati per essere strutturalmente compliant, le piccole e medie aziende hanno seguito un percorso “fai da te”, molto approssimativo e soprattutto tattico, legato a specifiche aree e processi, poiché, ancora una volta, il tutto è stato visto come un impegno economico e non un’opportunità, un tema del tutto estraneo al proprio contesto imprenditoriale.
Le aziende con realtà dimensionali ridotte si imbattono spesso in preventivi di consulenza che non hanno costi uniformi e che promettono soluzioni di conformità e sicurezza con poche centinaia di euro. Ovvio che in questo caso la security e l’applicazione del GDPR verranno percepiti come una mera tassa sul digitale: pagare per poter circolare sui mercati.
É possibile agire in modo diverso? Certo, ma occorre comprendere che il diritto alla privacy con riguardo al trattamento dati personali, se da una parte significa gestione del rischio dall’altra significa opportunità per stabilire un rapporto trasparente con i propri clienti. E quindi, creazione di fiducia. Il che vuol dire generare un valore per l’azienda.
Vale poi un’ultima riflessione: la sempre maggiore densità digitale del contesto in cui si opera sollecita tutte le aziende a individuare e creare tutte quelle competenze interne od esterne che possano rendere “produttivo” e sostenibile un percorso trasformazione. Non si tratta di assecondare l’ennesima imposizione burocratica, ma di comprendere la complessità del nuovo mondo e agire di conseguenza.
Photo by Franck on Unsplash