CHI INVESTE IN PRIVACY FA PROFITTI, È DIMOSTRATO

Lo Studio pubblicato da CISCO dimostra che 1 $ investito in privacy ne genera più di 2 in profitti.

Negli ultimi giorni è stato pubblicato uno Studio che, per la prima volta, dimostra i benefici economici degli investimenti privacy da parte delle imprese.

Lo Studio è certamente autorevole, provenendo da una fonte di “peso”, quale è CISCO, l’azienda multinazione con base in California, che per il terzo anno consecutivo presenta i risultati del “Data Privacy Benchmark Study”.

La copertina dello Studio pubblicato da CISCO in Gennaio.

Sono stati ascoltati circa 2800 professionisti con ruoli chiave all’interno di dipartimenti privacy o sicurezza di imprese situate in 13 paesi diversi, inclusa l’Italia, cercando di coinvolgere aziende di varie dimensioni e di settori industriali eterogenei.
A quest’ultimo riguardo, è bene premettere che lo Studio considera come “piccola impresa”, una organizzazione che conta almeno 250 dipendenti; questo, per mettere in chiaro fin da subito, a scanso di equivoci, il target di riferimento della pubblicazione.

1. QUALI SONO I BENEFICI DI UN INVESTIMENTO PRIVACY?

Per rispondere alla domanda, i professionisti interpellati avevano a disposizione una serie di parametri come l’efficienza operativa, la maggiore fiducia da parte dei clienti, i minori ritardi nelle vendite e i minori costi conseguenti ad un data breach o, ancora, la maggiore attrattività nei confronti degli investitori.

Il dato significativo è che ciascun parametro è stato selezionato da almeno 2000/2100 professionisti (su un totale di 2800), raggiungendo così una media del 70% a parametro. Data la soglia raggiunta, possiamo concludere che tutti i parametri citati sono identificabili come “benefici” reali dell’investimento, essendo valutati come tali da circa 2/3 dei professionisti coinvolti.

Forse per gli addetti ai lavori che “toccano con mano” gli effetti positivi di un sistema di gestione dei dati conforme alla nuova regolamentazione (sia in termini di processi produttivi che di percezione esterna del brand) questi risultati non sorprenderanno, ma per chi non “mastica” di GDPR e privacy tutti i giorni, il dato potrebbe suonare come nuovo.

Eppure, vi erano molti segnali di mercato che deponevano in questo senso da almeno un anno a questa parte; segnali che un’impresa, nelle persone che ne guidano la strategia operativa, dovrebbe iniziare a captare e fare propri.
Un esempio?
Per restare all’attualità più recente potremo ricordare la decisione di Apple di fare ritorno al CES (International Consumer Electronics Show) di Las Vegas dopo una assenza dalla manifestazione lunga 28 anni, incentrando tutto il suo intervento sul tema privacy (ne ha parlato sul nostro blog l’Avv. Diego Dimalta in questo articolo che vi consiglio di leggere).

Il Billboard che anticipava l’intervento di Apple sulle novità privacy al CES 2020.

Qualcuno penserà: “insomma stiamo parlando di Apple, una realtà lontana dalla nostra, anche geograficamente”.
Il fatto è che – come spesso mi piace ripetere – queste grandi corporation oggi non solo influenzano il mercato globale e le nostre abitudini, ma le anticipano, quindi è bene fare attenzione alle loro operazioni strategiche e di marketing perchè possono dare indicazioni chiare sui prossimi trends.

2. UN ESEMPIO: LA MITIGAZIONE DEL RISCHIO DATA BREACH

Per i più scettici, proviamo comunque a dare una lettura al dato precedente, analizzando la ragione per cui, ad esempio, un investimento di risorse e capitali per allinearsi allo standard richiesto dal GDPR dovrebbe mitigare i rischi connessi ad un data breach o ridurre i costi ad esso conseguenti. Tale parametro è stato infatti indicato dal 71% dei professionisti come un reale beneficio della cura post-GDPR.

Come noto, quando si parla di rischio “data breach” (intesa come violazione dei dati personali) sono tanti i fattori “tecnici” che possono entrare in gioco, soprattutto in termini di sicurezza del dato, ma c’è un principio – su tutti – che ha un impatto cruciale nel mitigare tale rischio, ed è il principio di minimizzazione dei dati.

Esso trova la sua più efficace applicazione solo in quelle imprese lungimiranti che hanno deciso di aderire completamente allo spirito del GDPR. Queste imprese oggi si trovano nella posizione privilegiata di trattare solo i dati a loro necessari, in relazione alle finalità per cui hanno deciso di trattarli.

Una posizione che diventa ancora più privilegiata quando devono far fronte ad una situazione di emergenza.
Appunto, in caso di data breach.

Perchè ho voluto utilizzare la parola “privilegiata”?
Perchè minimizzare significa di fatto eliminare tutta una serie di dati personali inutili, superflui o non aggiornati che spesso non si ha neppure coscienza di avere nei data-base aziendali.
Un lavoro di cesello faticoso, che costa molti investimenti e tempo e che cambia anche le procedure aziendali, talvolta alla radice (cioè a partire dal momento di raccolta o acquisizione dei dati).

Ma se viene intrapreso un rigoroso percorso di minimizzazione, esso dovrebbe condurre ad un sostanzioso abbattimento del numero dei dati in possesso di un’azienda (la mia esperienza dice che nessuna azienda, anche la più virtuosa, può ritenersi esente da questo processo di “snellimento” del data base).
Quale sarebbe dunque il privilegio conseguente?

In una frase: oggi avere meno dati significa avere meno responsabilità.

Il dato è un asset che ha uno straordinario valore economico e come tale è un fattore di responsabilità.
Avere 1000 dati o averne 100.000 determina una responsabilità diversa, è evidente.
Ma non è solo la quantità a fare la differenza, ma anche la natura dei dati trattati.
Spesso le imprese detengono dati ad alto rischio (ad esempio dati finanziari o dati sensibili), senza averne reali necessità di utilizzo, o talvolta li conservano per un tempo più lungo del necessario.

Sono tutti elementi che possono incidere nella valutazione del rischio privacy, e che hanno un impatto sul calcolo dei costi conseguenti ad un data breach.
D’altra parte non si può perdere, nè può essere alterato o violato ciò che non si ha.

Ho preso a modello soltanto un parametro fra quelli proposti da CISCO – per ovvie esigenze di brevità – ma il discorso si potrebbe estendere anche agli altri.
Torniamo, però, a dare uno sguardo più ampio ai risultati che ci offre lo Studio.

3. QUAL È IL PROFITTO STIMATO DEGLI INVESTIMENTI?

Semplificando potremo dire: per 1 $ di investimento privacy, si ottengono oltre 2 $ di profitti (il dollaro è la valuta del sondaggio, ma credo che gli stessi dati possano essere traslati in Euro).

Per l’esattezza, il ritorno positivo stimato si assesta su una media di 2,7 milioni di $.
Ad esempio, le aziende da 250 a 499 dipendenti hanno affrontato una spesa media di 0,8 milioni di $, stimando il relativo beneficio in 1,8 milioni di $; le aziende della fascia successiva (500-999 dipendenti) a fronte di 1,2 milioni di spesa media, hanno ricevuto un ritorno stimato in 2,3 milioni, mentre le aziende con oltre 10.000 dipendenti, da una spesa di 1,9 milioni hanno calcolato un beneficio pari a 4,1 milioni.

È importante notare come il rapporto investimenti-benefici resti più o meno simile per le grandi, medie o piccole imprese.

C’è poi un altro dato da evidenziare.
Il CIPL (Centre for Information Policy Leadership) ha implementato una sorta di termometro del grado di conformità raggiunto da un’azienda rispetto ai requisiti richiesti dal GDPR, sotto il profilo della c.d. accountability.
Lo strumento si compone di 7 elementi (leadership e controllo, valutazione del rischio, trasparenza, policy e procedure, formazione e consapevolezza, monitoraggio, risposta ed attuazione) a cui dare un valore in una scala da 1 a 5, dove 1 rappresenta un grado di conformità insufficiente e lacunoso, e 5, invece, un livello di conformità decisamente adeguato allo standard della normativa. Il risultato finale consiste nella media tra i valori di questi 7 elementi e può darci una indicazione di massima dello stato di adeguamento raggiunto all’interno di una organizzazione.

Analizzando la correlazione fra il grado di conformità e i ritorni dagli investimenti privacy si evince che le organizzazioni maggiormente adeguate al GDPR affrontano sì maggiori spese per raggiungere un alto livello di compliance normativa, ma dall’altra ottengono – in rapporto – maggiori benefici.

Le imprese più virtuose (di livello 4 o 5) hanno infatti un rapporto di circa 1:3 fra soldi investiti e profitti stimati, mentre chi si assesta su livelli inferiori di conformità scende verso un rapporto da 1:2,7 a 1:2,3.

Tornando, poi, all’esempio precedente riguardante il rischio data breach e i costi successivi ad una violazione dei dati, si segnala che:

  • tra le organizzazioni con livello di conformità da 1 a 4, solo il 13% non ha subito un data breach nell’ultimo anno;
  • mentre con riguardo a chi ha un alto livello di compliance (tra 4 e 5) il 28% ha dichiarato di non aver registrato data breach nell’ultimo anno, vale a dire più del doppio delle imprese che appartengono al range precedente.

A questo si aggiunga che il numero dei dati personali coinvolti in un data breach è inversamente proporzionale al grado di conformità dell’azienda; ossia, maggiore è il grado di conformità, minore è il numero dei dati coinvolti.
Il che significa, ancora una volta, meno clienti o consumatori coinvolti e minori costi da sostenere in seguito ad un evento di violazione.

La speranza, dunque, è che dati così inequivocabili su i ritorni che un investimento privacy può generare in termini di valore aziendale e di profitti siano un elemento di svolta nell’approccio che le organizzazioni avranno da qui in avanti sul tema – oggi non più rinviabile – della protezione dei dati.
Inolte, lo Studio rappresenta uno strumento prezioso nelle mani di consulenti e professionisti del settore per avvalorare queste tesi senza che vengano