L’entrata in vigore del GDPR ha sicuramente generato dei costi per tutte le imprese chiamate ad adeguarsi alla normativa Europea.
Già prima del 25 maggio 2018 , autorevoli fonti riportavano stime piuttosto significative: “Confesercenti parla addirittura di 2 miliardi di euro per le aziende italiane, a causa del GDPR. IDC parla di 200 milioni di euro, aggiungendo che secondo il 70 per cento del loro campione il costo e la complessità maggiore viene dall’obbligo di notifica data breach con il Gdpr entro 72 ore. Segue il tema dell’implementazione concreta e su larga scala delle soluzioni di crittografia/ anonimizzazione/ mascheramento dei dati (circa il 60% delle imprese). Seguono altri punti improrogabili più essenzialmente legati ai processi, come la gestione del consenso, la gestione dei SAR eccetera”.
Si prevedeva, inoltre, che le difficoltà di spesa maggiori sarebbero state a carico delle PMI: “Non esistono statistiche in merito all’investimento medio delle realtà nazionali in materia di privacy, ma è difficile ipotizzare che una PMI con un fatturato non superiore ai 5 milioni di Euro, possa e voglia investire, nel suo complesso, più di 50.000 euro per l’adeguamento e più di 25.000 euro per la gestione ordinaria degli adempimenti previsti dal GDPR. Una capacità di investimento così ridotto obbliga sempre di più a scelte strategiche in merito al processo di adeguamento al GDPR”.
A distanza di otto mesi dall’entrata in vigore del GDPR i costi per l’adeguamento sono effettivamente emersi ma, tralasciando le grandi realtà multinazionali e le imprese di dimensioni più rilevanti, si è anche compreso – a mio avviso – che non tutti i costi sostenuti per la conformità sono uguali.
Mi spiego.
Ci sono, innanzitutto, i costi per la consulenza iniziale, quelli, cioè, collegati allo sviluppo della cosiddetta GAP analisys dell’organizzazione d’impresa: questi costi vengono spesso percepiti dall’azienda cliente come una sorta di male necessario (“è da fare, facciamola al prezzo più contenuto possibile”).
Questo approccio, di norma, è un errore, perché si cerca il consulente meno caro – che, purtroppo, è sempre dietro l’angolo disponibile a promettere tanta carta – che rassicura il cliente sul fatto che si sta lavorando alacremente per un costo contenuto; inutile precisare che il prezzo è basso perché, solitamente, il consulente si limita a fornire un set di documentazione più o meno prestampato, a volte addirittura con poca attinenza alla realtà aziendale che lo ha incaricato.
Il servizio ricevuto da questa impresa è, insomma, di scarsa qualità e di insignificante utilità per il cliente che, anche una volta concluso il lavoro del consulente, si ritrova nella stessa situazione di partenza, con un fascicolo in più (di cui spesso ignora l’uso che deve farne), dei soldi in meno e l’illusoria convinzione di essere a posto per sempre.
Questo è il tipico esempio di come un costo che sembra piccolo all’apparenza sia, in verità, un grande costo, forse anche più grande di quello che l’impresa voleva evitare, perché, tra le altre cose, non fornisce alcun valido supporto al cliente nel tempo, non aumenta la cultura e la consapevolezza del personale in materia di protezione dei dati e non produce alcun incremento del valore complessivo dell’azienda, neppure sotto il profilo della brand reputation.
Ci sono, poi, – i costi di implementazione tecnologica.
Molte aziende con cui ho lavorato non avevano budget sufficientemente adeguati a garantire i criteri di sicurezza previsti dall’art. 32 GDPR: come fare, quindi, a consentire a queste aziende di essere compliant alla normativa senza imporre loro costi eccessivi ed insostenibili?
A mio avviso, occorre applicare in modo molto serio ed oculato il principio generale sancito dall’art. 32, comma 1 del GDPR e, cioè, valutare attentamente e tenere in debito “conto (del)lo stato dell’arte e (de)i costi di attuazione, nonché (del)la natura, (del)l’oggetto, (de)il contesto e (del)le finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche“.
Solo attraverso un’attenta e ben dosata applicazione di tutti questi parametri è possibile ottenere un grado di sicurezza adeguato senza cadere nella tentazione di adottare soluzioni tecnologiche tanto sbrigative quanto costose per realtà di dimensioni contenute (ad esempio, cifrare tutto, costringendo, magari, l’azienda a cambiare molti device non configurabili con i nuovi criteri) o soluzioni superflue in relazione al rischio concreto.
Conosco aziende che offrono servizi di monitoraggio continuo, in remoto, dell’intera infrastruttura IT , di grande qualità e di sicura efficacia per il rispetto dei criteri di cui all’art. 32 GDPR e, se potessi, ne consiglierei i servizi a tutti i miei clienti; considerati,però, i costi, se imponessi indiscriminatamente questa tecnologia a tutti i miei clienti, farei una pessima consulenza, a prescindere dalla incontrovertibile validità della tecnologia.
Anche in questo caso, la consulenza di un professionista preparato, con un’ottima conoscenza delle norme e dei provvedimenti del Garante, può fare la differenza in termini di costi rispetto ad un consulente improvvisato, con un impostazione eccessivamente formalistica, che faccia spendere all’azienda molte più risorse del necessario in adeguamenti tecnologici.
Vi sono, infine, i costi organizzativi, intesi soprattutto come tempo da dedicare all’implementazione della complessiva governance del sistema di qualità aziendale connesso al GDPR.
Quanto tempo occorre per fornire le adeguate informazioni al consulente che si occupa di svolgere l’analisi dei processi aziendali? Quanti professionisti / funzioni / ruoli vanno coinvolti per sviluppare la GAP Analysis? E per una corretta formazione del personale? E per lo sviluppo di policy adeguate, corrette e aggiornate nel tempo? E per verificare la costante adeguatezza delle misure? E per controllare l’effettiva adozione delle regole da parte di tutti?
Sono, questi, costi che possono avere grande impatto sui conti aziendali.
Ho seguito clienti a cui veniva richiesta la mappatura, nel dettaglio, di decine di server aziendali e che, posti davanti all’emergere di un significativo costo in termini di risorse umane da coinvolgere per dare risposta alle richieste di assessment, pretendevano di trincerarsi dietro l’obbligo di legge, facendo finta di ignorare che il loro contratto di servizio non prevedeva, nel prezzo pattuito, una simile prestazione.
Un altro cliente mi ha confessato di non essere in grado di attribuire una password a ciascun lavoratore assunto a chiamata durante i picchi di produzione in quanto, data la mole di personale aggiuntivo e le risorse stabilmente impiegate, nessuno, internamente, poteva dedicare il tempo necessario alla generazione ed assegnazione a ciascun lavoratore interinale della propria password, senza sacrificare i tempi di consegna previsti nei contratti con i clienti finali, con conseguente applicazione di penali contrattuali certe ed elevate.
Non è sufficiente, pertanto, proclamare astrattamente il rispetto di regole organizzative adeguate se non ci si confronta anche con i costi che le stesse possono generare.
Resto un convinto sostenitore della validità ed importanza delle regole del GDPR ma le imprese devono essere molto attente a non sostenere costi inutili per implementazioni inefficaci e/o incomplete solo perché mal consigliate o allettate da soluzioni di consulenza a basso prezzo che nascondono, poi, voci di costo implicite o inaspettate (per il cliente) a causa dell’impreparazione dei propri consulenti.