NEWSLETTER - IL CAFFE' DIGITALE
GDPR, fattore competitivo e “game-changer” in varie industry

N.  Maggio 2018
        

a cura di Elena Vaciago 
Associate Research Manager, The Innovation Group

 

Intervista a con Nicola Vanin, Senior Manager Data Governance and Information Security Awareness, TIM

La compliance al GDPR porta da un lato a svariati vantaggi competitivi, a un miglioramento complessivo della Data Governance e della Data Protection, e in alcune industry, come quella del Digital Marketing, può impattare in modo critico sulle scelte strategie delle grandi piattaforme dei social network globali (un assaggio lo abbiamo avuto con la vicenda Facebook – Cambridge Analytica) oltre che sulle scelte aziendali di marketing. Il tema, molto attuale e interessante, è al centro di questa intervista a Nicola Vanin, Senior Manager Data Governance and Information Security Awareness, TIM, che di questo parlerà anche al Cybersecurity Summit 2018 di The Innovation Group, il prossimo 31 maggio a Milano.

Quali saranno dal prossimo 25 maggio i “vantaggi competitivi” delle aziende che potranno dirsi 100% compliant al GDPR?

Per quella che è la mia esperienza, si possono individuare almeno 3 grandi vantaggi competitivi che derivano dall’adozione del framework GDPR:

  1. L’efficientamento delle attività di identificazione, memorizzazione, classificazione e cancellazione dei dati. L’applicazione del GDPR infatti porta a un complessivo miglioramento di queste attività attraverso una maggior standardizzazione e sicurezza.
  2. Un secondo importante vantaggio derivato dal GDPR è quello assegnata alla sicurezza informatica. È evidente infatti che, grazie al GDPR, molte cose sono cambiate: la nuova norma porta le aziende a dotarsi di sistemi di monitoraggio contro le intrusioni informatiche, di soluzioni fondamentali come quelle di Business Continuity, Disaster Recovery e network security: quindi  un insieme di soluzioni che migliorano nel complesso l’ecosistema  di cyber security aziendale. In definitiva il GDPR comporta non solo una maggiore protezione del dato ma anche una migliore salvaguardia della continuità del business quotidiano contro possibili attacchi hacker.
  3. Ultimo vantaggio competitivo, quello commerciale, infatti non essere in grado di dimostrare che la propria azienda è conforme al Regolamento può far perdere clienti e ostacolare gli accordi con altre società. Gli utenti ad esempio non saranno propensi a mettere a rischio i propri dati personali se esiste un concorrente in linea con gli standard sulla privacy richiesti dal GDPR. In questo contesto il nuovo regolamento europeo influenzerà anche gli accordi commerciali, nessuna azienda vorrebbe condividere le informazioni dei propri clienti con un’altra società che potrebbe mettere in pericolo le suddette informazioni condivise

La compliance al nuovo regolamento EU sulla data protection ha messo in luce la necessità di mettere in atto corretti processi di Data Governance. Qual è la tua percezione sulla maturità delle aziende italiane su questi aspetti?

Ho notato che fino ad oggi il raggiungimento di una certa maturità nella dimensione gestionale del dato è stato stimolato soprattutto dal trend dei Big Data, della disponibilità di informazioni e relativa raccolta da parte del business: non tanto invece per aspetti di compliance in previsione del GDPR. I Big Data sono stati un traino per le strategie di data governance, essendo visti come una priorità di investimento da parte di molti imprenditori. Solo nell’ultimo periodo, con l’introduzione GDPR, è emersa una strategia più ampia e definita di governo del dato.

Oggi l’obiettivo deve essere quello di massimizzare il controllo del dato, impegnandosi nella ricerca di un’informazione “certificata”; definendo le corrette responsabilità e competenze sui dati; cercando di capire come ottimizzare il valore dell’intero patrimonio informativo; minimizzando tutti i rischi che derivano dal mancato rispetto delle norme e di requisiti basilari di sicurezza ICT.

 

IL GDPR è infatti un’occasione per ripensare la cybersecurity, in un momento in cui l’evoluzione dei rischi cyber preoccupa sempre più persone. Quali sono dal tuo punto di vista le priorità delle aziende sul fronte della sicurezza ICT?

Le aziende dovrebbero adottare una politica di sicurezza informatica stratificata e profonda.

Creando una solida prima linea di difesa perimetrale, attraverso l’adozione di vari strumenti di ultima generazione (antivirus, firewall, sistemi anti-intrusione etc.) accompagnata da un’attività di formazione delle persone e di manutenzione dei sistemi. La cronaca di tutti giorni dimostra gli effetti nocivi di una scarsa educazione delle persone, oltre a una bassa attenzione ai basic del mantenimento di un sistema ICT aggiornato, con le pratiche di patch management.

Dopo la prima linea di difesa, è necessario prevedere una seconda linea di sistemi per la gestione degli eventi e della sicurezza delle informazioni (SIEM, security information ed event management), associata a tutta l’attività di monitoring e di  intelligence per la detection e quindi la prevenzione di perdite di dati.

Terza linea di difesa, con l’evoluzione del panorama di business determinata dall’adozione del cloud computing e delle tecnologie mobili è necessario poter garantire la sicurezza di tutti gli endpoint assicurando così la protezione degli utenti e delle informazioni aziendali su tutti i dispositivi e le applicazioni presenti on premise ed in Cloud.

 

Quali sono i principali insegnamenti che hai tratto dal caso Facebook – Cambridge Analytica e dai successivi eventi, l’audizione di Mark Zuckerberg al Congresso, riportata con grande enfasi dai Media, e le ultime mosse pro-privacy di Facebook? (e anche lo spostamento della gestione dei dati di 1,5 miliardi di utenti extra-UE da Facebook Ireland a Facebook US: evidentemente per poter rispondere per questi a leggi privacy meno stringenti del GDPR, con sanzioni più lievi, con meno requisiti).

Più che un insegnamento ho tratto una speranza: si comincia a prendere coscienza di quanto valgono le informazioni che condividiamo in rete e della necessità di difenderle adeguatamente. Per il resto, la vicenda sta perdendo di attenzione senza grosse ripercussioni: Facebook sta superando il problema a colpi di risultati economici positivi mentre per quanto concerne società CambridgeAnalytica-like, specializzate nel raccogliere dai social network un’enorme quantità di dati sui loro utenti, continuano ad esistere e a fare il loro lavoro senza particolari nuove limitazioni.

Abbiamo poi visto il trasferimento ad opera di Facebook dei dati di utenti extra–UE presenti nei server in Irlanda: si tratta delle informazioni di 1,5 miliardi di utenti che sono migrate a server californiani per uscire dall’area di competenza delle norme GDPR.

La strategia che sta seguendo Facebook è quella di contrarre in questo modo il tasso complessivo di esposizione alla Privacy UE: si tratta di una mossa legittima, con un suo senso logico e di business interessante, anche se poco lungimirante nel lungo periodo perché comporta una differenziazione delle tutele per base geografica.

 

La dice lunga sul livello di monetizzazione dei dati a cui siamo arrivati sui social network: ti fanno pensare che puoi comunicare con collegamenti e amici, ma il vero fine è valorizzare qualsiasi dato immesso nella piattaforma. Secondo te, il GDPR potrebbe avere effetti sul modello di business di Facebook e di altri social network, pensando in particolare all’ad-targeting?

Gli effetti sul modello di business di Facebook sono certi, un certo numero di utenti deciderà di  fare “opt-out” dagli  strumenti di targeting pubblicitario e verosimilmente  potrebbero esserci conseguenze sugli utenti attivi giornalieri. Ma il social di Mark Zuckerberg è ben posizionato per superare la transizione indotta dal nuovo regolamento dell’UE sui dati.

Facebook ha da tempo iniziato a prepararsi alla entrata in vigore del nuovo regolamento sui dati dell’Unione Europea intervenendo sulle proprie app e conformandole ai principi chiave della GDPR, che sono trasparenza e controllo.

Sul fronte della targhettizzazione, ossia sulla possibilità di ricavare profili precisi da chi è attivo sul social, non vedo quindi particolari criticità per Facebook, che ha un modello di business costruito appositamente per vendere informazioni il più possibile precise agli inserzionisti.

Se pensiamo invece alle attività di marketing delle singole aziende, ci sarà un’estrema prudenza nell’utilizzare e condividere le informazioni raccolte nel tempo dai team del marketing. L’interesse per una pubblicità molto mirata continuerà ad esserci, ma è probabile che per questi aspetti, per non incorrere in problemi con la norma, le aziende ricorreranno maggiormente ad agenzie esterne per selezionare l’audience in grado di fornire tutte le garanzie di sicurezza e compliance.

 

 

ULTIMO NUMERO
ARCHIVIO
LE RUBRICHE
COME NASCE IL CAFFÈ DIGITALE
REGISTRATI
Iscriviti alla Newsletter mensile!
Ricevi gli articoli degli analisti di The Innovation Group e resta aggiornato sui temi del mercato digitale in Italia!