Quanto ne sanno i millenials del nuovo regolamento Ue per la protezione dei dati personali, quali sono le categorie professionali più informate e quello meno informate, cosa ne pensano e cosa ne dicono i vari attori di mercato. Facciamo una panoramica a bilancio dei primi 100 giorni dall’entrata in vigore del GDPR.
Visto dal basso, però.
I millennials
I ragazzi che di questi tempi decidono di frequentare un master post universitario, soprattutto se alle spalle non hanno un percorso di Economia, lo fanno spesso con l’obiettivo di venire a conoscenza di come le discipline che hanno studiato vengono in effetti seguite o utilizzate in azienda.
Il GDPR giustamente fa parte, e ancora per qualche tempo così sarà, degli argomenti di approfondimento proposti in aula.
I ragazzi che ho incontrato durante i seminari su questo tema hanno dimostrato una limitata, per non dire scarsa, conoscenza del regolamento. Pur avendone sentito parlare, non hanno in genere idee chiare né una conoscenza almeno di base, qualche informazione in più ce l’hanno gli ex studenti di legge, ma complessivamente mi sembra che anche la Generazione Y contribuisca, almeno in parte, a quell’insieme di privati cittadini che hanno poca confidenza con la protezione della propria privacy.
In parte me lo aspettavo, ho sei nipoti dai sedici ai trent’anni e qualche segnale l’avevo già avuto.
Alle domande che faccio in apertura per sondare quanto sanno e quanto hanno capito (solitamente la mia valutazione è “poco” in entrambi i casi) mi guardano tra lo stranito e l’annoiato, un po’ come quando ho tentato di far vedere ai miei nipoti in età adolescenziale un film della Pantera Rosa con l’ Inspecteur Clouseau. Tra me e gli studenti si crea la stessa distanza intellettuale che in quelle occasioni si è creata tra me, cianotica dalle risate, ed i miei nipoti che invece si lamentavano di quanto il film fosse lento e le situazioni poco esilaranti (anche se in questo caso, mi sa che il salto generazionale ha penalizzato loro, non me!).
Forse non li aiuta l’esser stati utenti della tecnologia molto presto (sia gli studenti che i miei nipoti, ma in questo caso mi riferisco agli studenti), probabilmente la condivisione delle informazioni personali per loro rappresenta un passaggio del tutto ordinario per accedere alle risorse (informazioni, dati, applicazioni) così come è necessario usare la chiave per aprire la porta ed entrare in casa. Ed in quanto azione ordinaria non è compiuta con l’attenzione che viceversa occorre avere quando si decide di lasciare in giro i propri dati.
La cosa che mi ha colpita di più è che i ragazzi hanno grandissima facilità a cogliere la trasversalità del regolamento all’interno delle organizzazioni aziendali, benché evidentemente conoscano molto poco anche queste ultime.
Dopo aver acquisito gli elementi principali del regolamento, non hanno difficoltà a ricondurli ai processi aziendali dove tali principi hanno maggiore influenza (per esempio il tema dell’informativa e dei consensi nei processi di client on boarding) e molto facilmente individuano quali sono le funzioni aziendali che devono essere coinvolte in questa o in quella procedura così come quelle che dovrebbero svolgere un ruolo chiave.
Lo so che è un’ovvietà, ma se alcuni di quei ragazzi avessero partecipato alle discussioni iniziali che alcune aziende hanno fatto per decidere la composizione del team per il progetto di compliance GDPR, forse si sarebbero commessi meno errori e alcuni progetti sarebbero partiti decisamente più spediti.
Il difficile con questi ragazzi è fargli intendere l’aspetto strategico del regolamento, non i suoi aspetti operativi e di compliance, che viceversa acquisiscono e capiscono con facilità. Faticano a capire perché la libertà personale dell’individuo è protetta anche tramite la salvaguardia della confidenzialità, integrità e disponibilità (nel senso di availability tecnica, ovviamente) dei propri dati e quindi, di conseguenza, non riescono a immaginare come il regolamento possa essere sfruttato per il miglioramento di processi e performance dell’azione (in alcuni casi particolarmente significativo come i processi di customer care o commerciali).
Eventi di categoria
Per eventi di categoria mi riferisco a occasioni di incontro creati non per fini commerciali, ma a supporto di una comunità di persone che lavorano nello stesso settore o appartengono alla stessa categoria, come ad esempio farmacisti, operatori sanitari, ingegneri, notai, sindacalisti, eccetera.
In genere queste persone lavorano in ambiti di piccola dimensione e molti di loro lavorano in regime di libera professione.
Il panorama in questo caso si spacca di netto in due.
Da una parte coloro che, non solo per merito ma “per costruzione”, sono assolutamente più che bene informati, conoscono a menadito la normativa italiana precedente e quindi, di conseguenza, anche buona parte del nuovo regolamento.
Le categorie più informate sul Gdpr
Fanno parte di questo insieme le categorie che, appunto per costruzione, con questi temi hanno dovuto fare i conti da molto tempo come per esempio è il caso di chi opera in sanità e ha dovuto affrontare (e sta ancora affrontando) complessità di assoluta rilevanza come ad esempio il conflitto tra la necessità di proteggere i dossier sanitari dei cittadini anche (ma non solo) nel rispetto della legge e la possibilità di rendere i servizi sanitari erogati ai cittadini più efficaci per esempio tramite la condivisione del dossier tra più unità sanitare di territori anche diversi. Quale priorità prevale sull’altra? Oppure, come è possibile rispettare entrambe, senza però complicare a dismisura documenti e procedure di autorizzazione varie?
Analogamente gli ingegneri ed i professionisti che lavorano sulle apparecchiatura mediche, i cosiddetti medical device, hanno da un lato l’enorme responsabilità di salvaguardare i dati personali e sanitari che queste apparecchiature acquisiscono e dall’altro la necessità di mantenere queste apparecchiature sempre al massimo livello di efficienza ed efficacia operativa, cosa che talvolta implica il dover affidare la manutenzione tecnica ad operatori specializzati d’oltre oceano, senza avere dunque certezza che le informazioni siano gestite con la stessa cura che loro per primi garantiscono ogni giorno ai cittadini.
È facile dunque capire come categorie o settori di questo genere abbiano per loro natura sensibilità e conoscenza non paragonabile a quelle di altri contesti. L’unico elemento che ho avuto modo di rilevare è che queste persone hanno tuttavia una limitata consapevolezza di cosa comportano gli elementi di nuova introduzione del regolamento, come i diritti dell’interessato o il processo di gestione del data breach event. In altre parole tutto ciò che il regolamento prevede oltre la normativa italiana precedete non ha ancora messo radici solide nella loro conoscenza e quindi tantomeno nella loro consapevolezza.
Chi ne sa di meno
Dall’altra parte coloro che, invece, hanno praticamente l’intera strada ancora da fare. Sanno certamente che il 25 maggio è entrato in vigore il nuovo regolamento europeo, ma fino a pochissimo tempo fa hanno mantenuto l’atteggiamento di chi è escluso da qualsivoglia conseguenza di questo evento. Ed è proprio grazie all’azione divulgativa degli eventi di settore o di categoria che (seppur talvolta senza grande entusiasmo) piano piano iniziano da avere contezza non solo dei propri diritti come cittadini, ma anche del proprio ruolo come professionisti e comunque attori di mercato (e quindi dei propri doveri).
La cosa che ho apprezzato di più in quelle occasioni è stata che, almeno in prima battuta, la volontà di acquisire conoscenza e poi di agire in modo conforme non si è generata come sottoprodotto di quella di evitare le sanzioni, ma semplicemente dalla propria attitudine al miglioramento (oltre che al senso civico di rispettare la legge). Forse il legame diretto tra la propria efficacia e il proprio fatturato li aiuta a cogliere prima e meglio di altri operatori quali sono gli aspetti di GDPR che possono migliorare la propria qualità, quella del proprio lavoro e della propria immagine. Non vorrei far passare il concetto che si tratta di una illuminazione sulla via di Damasco (d’altra parte la compliance GDPR per quanto importante, non credo possiamo considerarla alla stregua di una conversione religiosa), non sono evidentemente certa che davvero dopo questi incontri e le accese discussioni, si siano tutti quanti messi al lavoro per imparare, capire e quindi agire in conformità, ma è innegabile la reazione estremamente positiva e concreta che ho vissuto in prima persona.
Che si dice al CyberTech
Al recente evento CyberTech, di GDPR si è parlato poco, ma in compenso argomenti quali Data Discovery, Data Protection, gestione incidenti oppure Impact Analysis hanno tenuto banco sia nelle presentazione che presso gli stand di grandi aziende così come delle start up. E ciò dimostra che si sta lavorando davvero ancora molto anche alla preparazione e offerta di strumenti che facilitino o alcune fasi dei progetti di compliance GDPR o i processi che a causa di GDPR le aziende devono attivare e consolidare ex novo (per esempio la DPIA).
Nello specifico di GDPR la tavola rotonda dedicata ha proposto una sintesi dello stato dell’arte non molto diversa da quanto agendadigitale.eu ha già pubblicato, anche tramite i miei articoli.
Secondo quanto riportato da una delle aziende presenti sul palco, il 60% delle aziende cliente con cui collaborano si è spinta ad oggi poco oltre la gap analysis ed il processo di data discovery è divenuto un’attività ricorrente, anziché essere semplicemente una fase di progetto, per consentire alle organizzazioni di affinare il criterio e l’efficacia della ricerca e, contemporaneamente, garantire la copertura di tutto il perimetro.
In merito agli aspetti organizzativi e procedurali, la discussione ha messo in luce come ancora il rischio della cosiddetta lettera morta sia valutato come piuttosto alto, per cui ancora non è chiaro chi prevarrà nella sfida Paper Compliance vs Real Compliance.
Un altro numero ha confermato ancora una volta quanto già raccontato su queste pagine, in particolare è stato rilevato come le segnalazioni di possibili data breach siano state 100 volte più numerose dei casi dove in effetti c’è stata violazione con conseguente danno e quindi gestione del medesimo.
Insomma, un po’ come dire che in termini di segnalazioni di eventi dannosi ai sensi del regolamento, le aziende non vanno tanto per il sottile, questa o quella per me pari sono come dice il Duca del Rigoletto, per cui via di segnalazioni che così siamo sicuri che non verremo ripresi perché non abbiamo tempestivamente comunicato a chi di dovere che (forse) qualcosa è successo.
Tutti i partecipanti alla round table hanno alla fine riconosciuto che comunque, in media, i comportamenti delle aziende sono stati positivamente influenzati dall’avvento di GDPR, nel senso della crescita dell’attenzione alla salvaguardia dei dati personali e dell’avvio delle pratiche di (Security) Privacy by Design e di Privacy by Default almeno nei processi dedicati all’innovazione di processo, servizio o prodotto.
Un bilancio
Quindi, qual è il take away di tutto questo?
Direi due cose.
La prima: una sostanziale conferma di cosa ci stiamo perdendo.
Le aziende che ancora non inseriscono la protezione del dato personale tra i propri valori, stanno perdendo l’opportunità di posizionarsi verso la propria clientela non solo come realtà seria e responsabile, ma anche come possibile punto di riferimento per i clienti finali per accorciare il proprio percorso di crescita di conoscenza e consapevolezza.
La seconda: il mercato ha ancora oggi uno spazio significativo di business per la formazione necessaria all’applicazione del regolamento. Non mi riferisco solo al mero racconto dei contenuti, quanto alle possibili spiegazioni di come tali contenuti vanno poi agiti nei diversi contesti.
Cercando di proporre una somma logica di questi due elementi, viene davvero quasi da dire che le aziende (o le figure professionali) che sono più avanti del resto del mercato nel processo di metabolizzazione del regolamento potrebbero mettere a valore un nuovo asset, la conoscenza di come concretamente si procede alla compliance, e farlo diventare un ambito di servizio a valore almeno per propri clienti finali (intesi sia come cittadini privati sia come imprese).
