Synthesis News

Studio Synthesis

Soluzioni concrete per problemi complessi

7 modi in cui il GDPR influirà sul tech e su altri settori

E-mail Stampa PDF

L’approvvigionamento una volta governava la domanda. Un secolo fa, gli acquirenti di automobili sarebbero corsi ad ordinare una Fort T nera e anonima, ed avrebbero aspettato alcuni anni per averla in consegna.


Al giorno d’oggi, i consumatori sono diventati più diversificati e più esigenti in termini di personalizzazione. Semplicemente, le imprese non possono permettersi di non adottare un approccio cliente-centrico. In questa lotta, i dati sono il segno di guerra.

Le informazioni sui consumatori istruiscono le aziende su ogni aspetto del Marketing:

  • comunicare con il target di riferimento
  • disegnare il prodotto
  • distribuire il prodotto

I dati sono oro ed ogni loro parte può essere sfruttata per ottenere degli insight utili. Ciononostante, se un trend simile ha benefici anche per il consumatore, esso comporta anche alcune preoccupazioni in termini di privacy.


A partire dal 2015, La Commissione Europea ha condotto un’indagine sulla protezione dei dati all’interno dei 28 stati membri. I risultati sono stati impressionanti. Pare che 7 su 10 cittadini europei siano:

  • Preoccupati del fatto che “autorità e aziende private in possesso di loro informazioni possano a volte usarle per scopi diversi da quelli per cui sono state raccolte, senza informarli (per marketing diretto, pubblicità online targetizzata, profilazione)”
  • Riluttanti a “fornire informazioni personali in cambio di servizi gratuiti online”

Ancora più curiosa è la mancanza di fiducia nelle compagnie tech. Quando si tratta di sfruttamento dei dati, il 67% degli intervistati diffida delle aziende che offrono servizi online e dei fornitori di servizi internet. La percentuale aumenta al 76% quando si tratta di aziende online (motori di ricerca, social networks, vari servizi email). Infatti, le imprese TMT (Telecomunicazioni - Media - Tecnologia) hanno raccolto quantità massive di dati in base alla personalizzazione delle loro offerte. In alcuni casi a discapito della riservatezza.


Molteplici violazioni della sicurezza - la più seria e recente è stata WannaCry - ha esortato l’amministrazione dell’UE ad impostare rapidamente una nuova legislazione per la protezione dei dati degli utenti. Una tale iniziativa è sostenuta da gran parte dei cittadini europei (45%), i quali credono che “il rinforzo delle regole sulla protezione dei dati personali dovrebbe essere gestito a livello europeo”.


Il GDPR prende vita


Quando e dove? Il Regolamento Generale per la Protezione dei Dati (GDPR) è stato adottato dal Parlamento Europeo nell’Aprile del 2016 ed entrerà in vigore nel Maggio 2018 nell’intera Unione Europea, incluso il Regno Unito.


Cosa? Il gruppo di regole rimpiazzerà la precedente iniziativa europea per la protezione dei dati (1995). Il GDPR fornirà regole più complete ed esigenti riguardo ai modi in cui i dati dei consumatori potranno essere usati e protetti.


Chi? La nuova legislazione si applicherà alle istituzioni pubbliche ed alle imprese che processano i dati personali per scopi commerciali sul suolo europeo. Ma non solo. Qualsiasi impresa processi dati appartenenti a cittadini europei dovranno adeguarsi al GDPR. Tutto questo avrà un impatto particolare sui modelli aziendali globali basati sulla rete internet, per i quali i confini esistono a malapena.

Come conseguenza, la nuova legislazione ridefinirà i diritti degli attori principali dello sfruttamento dei dati:


  • Il soggetto dei dati è un essere vivente che può essere identificato dai dati personali (clienti, dipendenti ecc.)
  • Dall’altra parte, il controllore dei dati raccoglie i dati e decide come essi vengono processati.
  • Infine. il processore dei dati utilizza i dati forniti dal controllore dei dati per scopi specifici.


Quale sarà l’impatto del GDPR sulle imprese tech e su quelle di altri settori?


Il GDPR aggiorna ed aggiunge altri requisiti alla direttiva sulla protezione dei dati del 1995. Questo rende il nuovo regolamento più esigente di qualsiasi altra legislazione dello stesso tipo. Il gabinetto per le ricerche di mercato Vanson Bourne ha intervistato 300 professionisti IT europei da aziende con più di 1000 dipendenti. Quasi 7 su 10 considerano che la nuova struttura “influirà sulle loro aziende” (68%) e che la “necessità di investire in nuove tecnologie o servizi” (69%) potrebbe diventare un “onere finanziario” (68%).


Perché?


1. Consenso


Il consenso è uno degli sviluppi maggiori del GDPR. Il silenzio o l’inattività non possono più essere interpretati come un’accettazione. Il consenso del soggetto dei dati richiederà un’azione affermativa libera e chiara. Allo stesso tempo, la decisione dovrà basarsi su informazioni dettagliate e non ambigue.


Facciamo un esempio.

La Synthesis Srl, un’impresa del settore media, tiene traccia dei visitatori del suo sito in modo da migliorare l’esperienza dell’utente. Il tracciamento coinvolge parti di dati come le pagine visitate, i pulsanti cliccati e così via. Tutto questo poteva essere fatto senza il consenso dell’utente. Dal Maggio 2018, la Synthesis Srl dovrà in qualche modo trovare un modo di chiedere il permesso appena il visitatore accede al sito web, ed allo stesso tempo dichiarare qual è l’utilizzo delle informazioni. Questo è comunemente conosciuto come il classico “Cookie Consent”.


Molti metodi di opt-out (che presuppongono che gli utenti concordino una sottoscrizione senza un consenso esplicito) utilizzati dall’ufficio marketing della Synthesis Srl non saranno più legali con il GDPR. Per esempio, se un utente si iscrive ad una newsletter non potranno più esserci caselle pre-riempite che fanno riferimento a sottoscrizioni aggiuntive.

2. Notifica di violazione


Sfortunatamente, i controllori ed i processori di dati possono a volte affrontare delle violazioni della sicurezza, compromettendo la confidenzialità, soprattutto se i dati vengono rubati. In questo caso, l’azienda deve dare notizia della violazione entro 72 ore. Per l’utente non cambierà molto, ma è sempre meglio saperlo.


Un esempio:

L’attacco WannaCry ha coinvolto un furto di dati ed una richiesta di riscatto per la loro restituzione. Se la Synthesis Srl ne fosse stata affetta, avrebbe dovuto darne comunicazione entro tre giorni dall’intrusione.


3. Diritto di accesso


L’azienda deve fornire gratuitamente e ad ogni utente del quale possegga dati personali:

  • Tutte le informazioni ad egli relative
  • Informazioni circa le modalità ed il luogo in cui i dati sono processati
  • Lo scopo per cui i dati vengono processati

Al momento, a seconda del paese, le imprese possono richiedere un pagamento per la fornitura di questi dettagli.

4. Diritto alla cancellazione


Un’azienda può non avere ragioni valide per continuare a elaborare i dati personali di un utente. Quest'ultimo può quindi chiedere che vengano eliminati da tutte le attrezzature di archiviazione.


Ecco un esempio:
Mario ha sottoscritto una newsletter settimanale rilasciata da Synthesis Srl Per farlo ha inserito dati personali come il nome, l'età, il sesso, l'indirizzo e-mail e la posizione di lavoro. Pochi mesi dopo, Mario decide di annullare la sottoscrizione. Può richiedere che tutti i dati forniti con il mezzo siano cancellati in quanto Synthesis Srl non ne ha più bisogno. Questo è noto anche come "il diritto di essere dimenticati".


5. Privacy by Design (o Privacy by Default)


La privacy by design richiede che le aziende prendano tutte le misure tecniche e organizzative appropriate per garantire la protezione dei dati a priori. Ciò implica che le organizzazioni considerino ed elaborino i processi di protezione dei dati prima di procedere a qualsiasi raccolta di dati.


Quindi, per esempio:

La Synthesis Srl decide di offrire un abbonamento per contenuti esclusivi sul proprio sito web. Di conseguenza, prima dell'avvio della sua nuova offerta, l'azienda deve elaborare meccanismi appropriati per assicurare che i requisiti di GDPR sopra menzionati siano in esecuzione.


6. Responsabili della protezione dei dati


Quando hanno oltre 250 dipendenti, le società che elaborano i dati devono nominare un responsabile DPO o un responsabile per la protezione dei dati. Ovviamente, tale posizione implica una solida competenza per quanto riguarda le pratiche di tutela dei dati e il quadro giuridico. Senza contare che i DPO riferiranno direttamente al top management.


È vero, molte startup e aziende tech sono PMI con un numero di lavoratori che non supera la soglia di GDPR. Tuttavia, se i dati di elaborazione sono un'attività fondamentale, la nomina di un DPO (che può avere ulteriori responsabilità) è pertinente al 100%.


Esempio:

La Synthesis Srl fa gestire il proprio supporto clienti ad AE Corp in outsourcing. Quest'ultima diventa un processore di dati in quanto memorizza e utilizza i dati dei clienti forniti da Synthesis Srl. AE Corp ha meno di 250 dipendenti ma tratta i dati di altri clienti. L'organizzazione ha deciso di nominare Sara, l'attuale CTO, in qualità di DPO. Sara dovrà in particolare:

  • Controllare che l'elaborazione dati di AE Corp. sia conforme al GDPR
  • Coordinare l'implementazione di nuovi processi interni che rispettano il GDPR
  • Aumentare la consapevolezza tra il personale e addestrarlo conformemente ai requisiti in materia di protezione dei dati
  • Diventare il punto di contatto principale per qualsiasi autorità di regolamentazione.


7. Dati personali sensibili


Alcune parti specifiche di dati personali sono più delicati da affrontare a causa della loro natura sensibile. Questa sottocategoria di dati deve essere trattata con attenzione da parte dei processori di dati. Ad esempio, le organizzazioni possono richiederla solo se protegge gli interessi vitali dell'utente. Inoltre, tali informazioni possono essere richieste solo nel quadro di procedure legali. A partire da oggi, i dati personali sensibili comprendono:

  • Rapporti di salute
  • Affiliazioni religiose
  • Origine etnica
  • Opinioni politiche
  • Adesione ad organizzazioni sindacali
  • Salute fisica/mentale
  • Vita sessuale
  • Reati/condanne

A partire dal maggio 2018, ci sarà una nuova categoria: dati genetici e biometrici.


Conclusione


Prepararsi


La mancata osservanza del GDPR può concludersi con ammende di 20 milioni di euro o il 4% di fatturato. Questo è forse il più forte incentivo a rispettare la nuova normativa in quanto non è esattamente un piccolo importo per start-up o qualsiasi organizzazione. Tuttavia, un'indagine condotta da Varonis afferma che il 75% delle organizzazioni stanno facendo fatica a rispettare la scadenza.


Questo è il motivo per cui bisogna prepararsi subito, quindi ecco alcuni suggerimenti:

  • Nominare qualcuno che sarà responsabile del rispetto dei requisiti di protezione dei dati
  • Identificare le attività che comportano l'elaborazione dei dati e l'analisi della conformità
  • Impostare tutti i processi interni necessari che consentiranno all’azienda di conformarsi al quadro giuridico
  • Tenersi aggiornati su qualsiasi nuova regolazione dei dati e osservare scrupolosamente le procedure interne
  • Affidarsi ai servizi di uno studio specializzato nei servizi di consulenza GDPR

Costruire un vantaggio competitivo


Per quanto vincolante il GDPR possa apparire, può essere utilizzato come vantaggio competitivo.

Inizialmente abbiamo menzionato come i cittadini dell'Unione europea siano diffidenti nei confronti delle imprese tecnologiche quando si tratta di elaborare dati personali. Il GDPR è un'opportunità per ristabilire un rapporto di fiducia con i clienti dell'UE. Inoltre, la piena trasparenza può effettivamente essere un incentivo per gli individui a condividere i propri dati con maggiore facilità. Quindi più che mai le aziende saranno in grado di continuare a studiare i comportamenti e adattare la loro proposta di valore.


Win-win, giusto?

You are here: Consulenza News 7 modi in cui il GDPR influirà sul tech e su altri settori

Cloud Computing

Le imprese possono attendersi grandi benefici in termini di flessibilità e rapporto costo / efficacia, abbracciando i servizi sulla cosiddetta cloud. I vantaggi di un modello a consumo dei servizi di hosting virtuali sono innumerevoli, in particolare se si integrano i processi di business e le applicazioni correnti.

vtiger CRM

vtiger è un software opensource sviluppato da Advent Net e famoso in tutto il mondo. E' primariamente software pensato per gestire le relazioni con i propri clienti. La sua robustezza e versatilità lo rendono una soluzione adatta e convincente per rispondere a svariate esigenze.

Pentaho BI

La Suite di Business Intelligence Pentaho fornisce un intera gamma di possibilità che vanno dalla reportistica, l'analisi interattiva, le dashboards, l'ETL/data integration, il data mining, per arrivare alla piattaforma che l'hanno resa la suite open source più popolare.

Evolutivo BPM

Il BPM è pensato per la gestione dei processi aziendali. Tramite un semplice configuratore grafico è possibile gestire flussi approvativi o casi aziendali (ticket di assistenza, altre casistiche) più disparati.
La scelta si basa su una tecnologia di integrazione.

Support Center

Per assistenza tecnica crm scrivere a support@vtigersolutions.com
Per i corsi di formazione: corsi@vtigersolutions.com
Consulenza legale: blog.studiosynthesis.biz
Telefono: 0308336089 
Mail: info@studiosynthesis.biz
Studio Synthesis srl - via P. Beretta 10
25063 Gardone VT (BS)

Follow Us

Follow us on Twitter: www.twitter.com/
Become a Fan on Facebook: www.facebook.com/
Read our Blog: synthesisblog.com
Link to us here: www.studiosynthesis.biz/links
Join our LinkedIn Group: http://linkd.in/bOUjad