GDPR: dopo un anno e mezzo il tasso di conformità rimane basso
La prima ricerca sul GDPR di Talend, pubblicata nel mese di settembre 2018 con l’obiettivo di valutare la capacità delle aziende di rispettare il diritto di accesso ai dati e di portabilità in conformità con la normativa europea, metteva in evidenza che ben il 70% delle aziende intervistate riferiva di non essere stata in grado di mettere a disposizione i dati entro un mese.
A distanza di un anno Talend ha interpellato un nuovo panel di aziende, comprese le aziende che in occasione della precedente ricerca avevano segnalato il mancato rispetto della tempistica, con lo scopo di verificare il miglioramento. Sebbene la percentuale complessiva di aziende che hanno segnalato la conformità sia aumentata al 42%, la percentuale rimane ancora bassa 18 mesi dopo l’entrata in vigore del regolamento.
“A seguito delle varie normative sulla protezione dei dati che sono entrate in vigore negli Stati Uniti (California Consumer Privacy Act nel gennaio 2020), attraverso l’APAC (PDPA in Tailandia nel maggio 2020) e in America Latina (LGPD in Brasile nell’agosto 2020), le aziende devono necessariamente avviare una trasformazione relativa alla governance dei dati per poter offrire una visione completa dei clienti e garantire ai responsabili delle protezione dei dati di disporre di soluzioni che consentano una maggior automazione nell’elaborazione e gestione dei dati” ha dichiarato Jean-Michel Franco, Senior Director Data Governance Products di Talend.
La nuova ricerca rivela che solo il 29% delle organizzazioni del settore pubblico intervistate potrebbe fornire i dati entro il limite di un mese. La necessità di una governance dei dati più integrata rappresenta un must per il 2020, dettato da un utilizzo sempre maggior dei dati e delle nuove tecnologie come il riconoscimento facciale e l’intelligenza artificiale da parte del settore pubblico per migliorare l’esperienza dei cittadini. La stessa situazione viene osservata nel settore telecomunicazioni e media, dove solo il 32% delle aziende intervistate ha dichiarato di essere in grado di fornire i dati come indicato dal Regolamento.
Rispetto all’indagine condotta da Talend lo scorso anno, le aziende del settore retail hanno migliorato il tasso di risposta, con il 46% delle organizzazioni intervistate che ha dichiarato di aver fornito risposte entro il limite di un mese. È dunque cresciuta la percentuale di aziende che in questo ambito ha iniziato ad adottare un approccio ‘cliente-centrico’ per migliorare sia la customer experience, sia i processi interni. La stessa situazione si rileva con le aziende che operano nei settori finanziario, viaggi, trasporti e ospitalità; questi ultimi sono considerati i migliori in quanto rappresentano il 38% di tutte le aziende che hanno fornito dati in meno di 16 giorni.
Dalla ricerca emerge poi come la mancanza di automatismi nell’elaborare le richieste sia uno dei motivi principali per cui le aziende riescono ad essere conformi al GDPR e che determina anche la mancanza di visione completa dei dati e di chiarezza sulla responsabilità dei dati all’interno dell’azienda.
Nel settore dei servizi finanziari, ad esempio, i clienti possono essere titolari di più contratti con una stessa società la quale potrebbe essere situata in più posti, rendendo difficile il recupero di tutte le informazioni relative a quel determinato cliente. L’elaborazione delle richieste richiede quindi un processo manuale e spesso coinvolge varie figure aziendali. Inoltre, l’elaborazione di queste richieste può essere molto costosa; secondo infatti un recente studio di Gartner, le aziende “spendono, in media, oltre 1400 dollari per rispondere a un singolo SRR.
La ricerca evidenzia infine anche la mancanza di un controllo degli ID durante il processo di richiesta dei dati dei singoli richiedenti. Complessivamente, solo il 20% delle aziende intervistate ha richiesto la prova di identificazione. Inoltre, delle aziende intervistate che hanno riferito di aver richiesto una prova di identificazione, pochissime utilizzano una modalità sicura e online per condividere documenti di identità. Nella maggior parte di casi, le copie di identificazione sono state fornite via e-mail. Il processo di richiesta rimane quindi pesante con le difficoltà che sono state indicate in precedenza, inclusa la ricerca dell’indirizzo e-mail corretto per inviare la richiesta e il follow-up delle e-mail perché i dati sono incompleti o perché i file non possono essere aperti.