Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

storie di vita e privacy

Gdpr, i cittadini non ci stanno capendo niente: ecco i consigli per le aziende

Può essere sconfortante verificare quanto poco dei vari benefici di GDPR sulla tutela della vita privata sia rimasto tra le dita dei cittadini. Ma, pur in un quadro di reazioni piuttosto deludente, le organizzazioni possono trarre qualche spunto interessante per migliorare il proprio rapporto coi clienti. Vediamo come

12 Set 2018

Francesca Bonora

Senior Advisor ICT Security & ICT Governance


Nonostante tutta la comunicazione, inclusa quella televisiva, il messaggio dei benefici del GDPR non è arrivato propriamente forte e chiaro a tutti quanti. La conseguenza è che le persone ne stanno percependo solo gli aspetti negativi.

A cominciare da quanto successo nei giorni subito prima e quelli subito dopo il 25 maggio, data di entrata in vigore del GDPR, che hanno portato nelle caselle di posta elettronica di tutti noi una valanga di email per mezzo delle quali venivamo informati, talvolta non senza evidente sussiego, di come da quel momento in poi i nostri dati personali sarebbero stati gestiti con molte più cura e puntualità. Esattamente come prescritto dal nuovo Regolamento europeo per il trattamento dei dati personali.

Un po’ come dire che invece prima del 25 maggio 2018 i nostri dati erano gestiti in modalità “sì insomma, più o meno”.

Dopo qualche settimana sono stati pubblicati vari report – come per esempio quello pubblicato da eMarketer – che, in modo molto più stringato rispetto al mio precedente articolo, rappresentavano una situazione poco coerente con il contenuto delle email che abbiamo ricevuto.

Il report sintetizza le risposte di 600 professionisti (IT e Legal, cvd): come si vede, lo stato avanzamento dichiarato in sede di intervista mostra che (nel caso migliore) poco meno del 20% del campione avrebbe potuto realmente permettersi email come che abbiamo ricevuto, sussiego incluso.

Ma su, non polemizziamo.

GDPR: la reazione dei consumatori

Il tormentone di quei giorni ha sollecitato più di un burlone a produrre immagini simpatiche da circolarizzare sui social per canzonare un po’ tutti, sia le organizzazioni che hanno mandato queste informative sia noi stessi che le abbiamo ricevute, probabilmente aumentando di qualche punto percentuale il numero di persone che, se dopo tre mesi, sente dire “GDPR!”, ancora adesso vagamente ricorda che è qualcosa a che fare con la tutela della propria Privacy.

Ecco, puntando per una volta il riflettore sul privato cittadino, sull’individuo, su colui insomma la cui libertà è l’oggetto di salvaguardia da parte della normativa, scopriamo che lo spettacolo non è sempre migliore di quello che vediamo sul proscenio se l’occhio di bue punta le organizzazioni aziendali.

Presso le aziende con cui collaboro inizio infatti a vedere arrivare le prime rimostranze da parte dei consumatori finali, dei loro clienti e devo dire che se il buongiorno si vede dal mattino, mi sa che pioverà per un bel po’.

I primi a farsi sentire sono stati gli utenti che, in verità, avevano intenzione di interrompere il rapporto commerciale, di fornitura o di servizio con l’azienda in questione, oppure ottenere dalla medesima qualcosa in più.

Il tema della (non) compliance

Agitando lo stendardo della (non) compliance alla normativa come se fosse il maglio di Thor, alcuni hanno pensato che mettendo in dubbio la capacità dell’azienda di trattare i dati personali come si deve, avrebbero provocato una più accomodante (arrendevole?) reazione da parte del commerciale di turno di fronte alle proprie richieste che, manco a dirlo, con la tutela dei dati personali avevano ben poco a che vedere.

Non sempre la risposta dell’azienda è stata, a mio modo di vedere, corretta. Forse perché anche il commerciale di turno non era in effetti ferratissimo in materia (vedi la riga del grafico “Employee awareness training”), forse perché siamo tutti ancora alle prime armi nel gestire diatribe in questo contesto, ho visto una decisa propensione a dribblare l’argomento più che a gestirlo.

Ora, è evidente che se il tema della compliance GDPR è stato utilizzato in modo strumentale dal cliente finale, è abbastanza inutile puntualizzare al medesimo in che modo invece l’azienda a questa esigenza ha risposto (ehm…se lo ha fatto!), ma credo che anche quel tipo di occasione, per quanto di micro-cabotaggio, offra all’azienda l’opportunità di promuovere una immagine di sé migliore e di (dovuta) serietà su certi argomenti, per cui non mi sento di considerare positivo il dribbling, se pur talvolta, lo ammetto, ha sfiorato il virtuosismo.

Fermi tutti, questo è una data breach

Subito dopo, nella cronologia che ho avuto modo di stilare, sono arrivati quelli che, nel dubbio, hanno fatto segnalazioni perché “con ogni probabilità questo è un data breach”.

Alle aziende sono così iniziate ad arrivare le richieste di chiarimento o le segnalazioni più bizzarre. Ho in mente per esempio un cliente finale che pretendeva spiegazioni circa una comunicazione via mail che l’azienda gli ha spedito e che è finita nella sua cartella anti-spam. Per la precisione la domanda del signore è stata: “…è evidente che la comunicazione è arrivata all’anti-spam per errore, per fortuna che me ne sono accorto io e non altri! Come faccio ad essere certo che voialtri non stiate inviando erroneamente le comunicazioni che mi riguardano anche ad altre caselle di chissà chi?!”

Non so dire il tempo che è stato necessario impiegare per confezionare una risposta che potesse essere chiarificatrice e contemporaneamente non offensiva.

A differenza però della prima, in questa seconda ondata di reazioni da parte degli utenti finali ci sono state anche segnalazioni che, in effetti, hanno messo in luce delle anomalie di processo da indirizzare, sfuggite evidentemente alla fase analitica di verifica del livello di compliance dei processi, automatici e no, agiti dall’organizzazione.

Infine, abbiamo registrato qualche debole segnale di presenza di coloro che solitamente chiedono chiarimenti e spiegazioni per passare il tempo, ma al momento mi sembra che la figura del mitomane nata all’ombra del regolamento privacy sia ancora una rarità.

Insomma, concentrandoci un po’ sull’individuo o sulla relazione tra quest’ultimo e l’azienda, non troviamo una situazione idilliaca. Un po’ mi sconforta verificare quanto poco dei vari aspetti e benefici di GDPR sulla tutela della vita privata dei cittadini sia rimasto tra le dita degli individui, anche se certamente si tratta di un fatto facilmente prevedibile. Forse occorre ancora un po’ di tempo e qualche esperienza in più affinché la conoscenza e la consapevolezza dei cittadini maturino fino a livelli migliori.

Bene, ma quindi?

Qualche spunto interessante per migliorare

Quindi cerchiamo di trasformare questo quadro un po’ deludente in qualcosa di positivo.

Credo che queste evidenze e questi primi mesi di vita di GDPR già diano qualche spunto interessante alle organizzazioni su come arricchire il proprio percorso di miglioramento, per esempio:

  • Strategie: ci ricordiamo quando all’inizio del percorso di introduzione di GDPR aziende e società di consulenza dicevano che questo regolamento poteva costituire creazione di valore anche a livello business, offrire un ulteriore elemento differenziante l’azienda o almeno un elemento a rinforzo della sua immagine? Io me lo ricordo bene. E credo che sia ancora così, c’è sì, questo potenziale, soprattutto se ci concentriamo sui quei brani di processo aziendale a diretto contatto con i clienti finali. Risposte tempestive e soprattutto competenti su di un tema relativo alla protezione dei dati (ancor prima e di più dell’essere un tema normativo) fanno sempre la differenza e sortiscono effetti positivi tanto sulla fiducia che il cliente finale ripone nell’organizzazione, quanto nella divulgazione della conoscenza e dei comportamenti corretti da tenere, in modo serio e strutturato visti argomenti così delicati.
  • Formazione: l’obiettivo da porsi è composto da almeno due elementi. Un primo tema è certamente quello più generale di informativa di base circa i pilastri del nuovo regolamento ed il riflesso che questo ha avuto o sta avendo sulle procedure interne. Il secondo invece deve concentrarsi di più sul ruolo, attivo e/o reattivo, che il dipendente può agire in funzione dell’attività che svolge. Di nuovo, restando concentrati sulla relazione con il privato cittadino, una persona che ha funzioni di front office o commerciali può (io direi anche: deve) smettere di trattare le “formalità” della Privacy come una noiosa procedura burocratica e farle diventare un momento non solo di confronto, ma anche di informativa vera per il cliente finale che, se lasciato da solo, può correre talvolta il rischio di confondere la casella anti-spam con altro. Nota importantissima: per poter essere chiari e convincenti occorre sapere le cose come si deve, a fondo e la formazione specifica per ruolo aziendale è, in questo, un elemento chiave.
  • Procedure: è ovvio, ma per scrupolo lo puntualizzo, che Strategia e Formazione (Comunicazione) hanno chance di supportare la generazione di valore a patto che l’organizzazione evolva in modo efficace le proprie procedure interne per davvero, non solo “sulla carta”. Quindi di nuovo, tutto il beneficio diretto o indiretto del nuovo Regolamento passa attraverso il fatto che le organizzazioni davvero proteggano le informazioni, davvero le gestiscano per le finalità e per il tempo necessario, davvero monitorino accessi ed utilizzi, eccetera eccetera. Tutti i punti di contatto con il cliente finale sono il risultato di una procedura, sia quando si tratta banalmente di dare informazioni o chiarimenti sia quando la persona intende esercitare uno dei diritti previsti dalla normativa, tanto più le procedure sono efficaci, tanto più le persone dell’organizzazioni promuoveranno un’ottima immagine della propria azienda.
  • Miglioramento progressivo e continuo: vabbè, questa cosa del miglioramento continuo in funzione delle lezioni ricevute vale ovviamente anche in questo caso. Più specificatamente, ciò che i clienti finali dicono ora della/con l’azienda in merito a GDPR può già essere preso in considerazione per ritarare sia i processi che le informative, per impostare un monitoraggio sulle capacità dell’organizzazione di migliorarsi nel rapporto con la clientela. Per esempio, sarebbe interessante poter analizzare l’andamento dei consensi al trattamento dei dati rispetto a prima del 25 Maggio ultimo scorso per verificare se oggi la tendenza delle persone a dare il proprio consenso anche ai trattamenti non necessari ai fini del rapporto commerciale (per esempio quelli che alimentano le statistiche di marketing) mostra un comportamento del consumatore diverso oppure no. Anche le segnalazioni o le richieste di chiarimento da parte dei clienti potrebbero essere oggetto di analisi…. Certo, questo implica essere disponibili a sostenere il costo, economico e no, di tenerne traccia in modo fruibile!

GDPR, i dodici nuovi diritti che i cittadini devono conoscere

@RIPRODUZIONE RISERVATA

Articolo 1 di 2