Secondo uno studio benchmark promosso da Cisco (“From Privacy to Profits”) il ritorno economico medio degli investimenti in privacy degli ultimi due anni da parte delle aziende ammonta a circa 2,7 milioni di dollari. Il risultato è frutto di un’indagine effettuata su più di 2800 aziende (tra i 250 e 10.000 dipendenti) in tutto il mondo, tra cui anche l’Italia.
Combinando il valore degli investimenti e i successivi benefits, Cisco ha calcolato un ROI medio di 2,7. Questo significa che per ogni dollaro speso, le aziende hanno avuto un ritorno di circa $2,70. Un valore indubbiamente destinato a crescere nei prossimi anni, anche grazie alla sempre più veloce e capillare diffusione dell’industria 4.0.
Quali sono i maggiori benefits riscontrati dalle aziende?
Le aziende intervistate da Cisco hanno indicato i seguenti campi di miglioramento:
Come posso investire in privacy senza buttare soldi?
Non tutti gli investimenti sono uguali, e non basta certo prevedere un ampio budget di spesa per portare a casa buoni risultati. Serve una strategia precisa e competenze. Noi abbiamo qualche consiglio:
1. Gap assessment
Un gap assessment è una fotografia dello stato attuale dell’azienda. Può essere più o meno approfondito, a seconda delle necessità. Ciò che conta è che grazie al gap assessment è possibile acquisire informazioni e indicatori utili a definire il livello di compliance aziendale. Non è mai troppo tardi per fare un gap assessment, ed anzi è utile ripeterlo periodicamente, soprattutto a seguito di modifiche nell’organizzazione aziendale o modifiche legislative (come ad esempio la recente invalidazione del Privacy Shield).
2. Sistema di gestione
Essere conformi al GDPR è complesso. L’approccio a cui eravamo abituati con la precedente normativa non funziona più. Ciò che chiede il GDPR è un monitoraggio e miglioramento continuativi dei processi interni, al fine di assicurare in ogni momento un livello adeguato di tutela dei diritti delle persone e sicurezza dei dati. In pratica, è necessario un sistema di gestione.
I sistemi di gestione non sono certo una novità. Il più famoso in Italia è probabilmente quello definito dallo schema di certificazione ISO 9001. Questi schemi esistono anche per privacy e sicurezza, e sono rispettivamente l’ISO 27701 e ISO 27001. Non è obbligatorio certificarsi, ma certamente seguire uno schema del genere fornisce una buona metodologia per affrontare le sfide del GDPR.
3. Acquisisci competenze specializzate
La privacy è una materia complessa, che richiede competenze trasversali (legal, cybersecurity, governance, risk management…) che difficilmente sono già presenti in azienda. Il consiglio è di dotarsi al più presto di persone in grado di supportare lo sforzo aziendale e con la capacità di diventare dei veri e propri business partners nel processo di trasformazione digitale e adeguamento al GDPR. In alcuni casi può essere utile incaricare un Data Protection Officer (DPO).