A quasi un mese dalla scadenza del 25 maggio, le notizie sul regolamento generale sulla protezione dei dati (GDPR) si trovano ovunque. Mentre le aziende si affrettano ad implementare rigide politiche interne e i giornalisti riempiono le loro colonne di allarmi riguardo la non conformità (le multe monetarie arrivano fino al 4% del fatturato globale annuale), un aspetto al centro dell’attuale regolamento è stato in gran parte oscurato – il suo impatto sul cliente.
Per ottenere il massimo da GDPR, le aziende devono pensare in termini di rispetto, non di ramificazioni. Come suggerisce il nome, il GDPR è per definizione un regolamento, e in quanto tale è considerato dalla maggior parte come una specie di punizione, da rispettare o rischiarne le conseguenze. Ma questa prospettiva riflette ciò che il GDPR fa, e non quello che è. Nello specifico, GDPR è una misura protettiva, pensata per riaccendere la fiducia nel consumatore moderno. C’è una “P” nel titolo per un motivo.
Una breve storia della protezione della privacy
Sebbene sia ampiamente caratterizzato dalla stampa come una nuova legislazione radicale, in realtà GDPR è solo l’ultimo – sebbene il più potente e di vasta portata – di una serie di iniziative di regolamentazione della protezione dei dati. Per capire veramente l’intento del GDPR, dobbiamo indagare le basi su cui sono costruiti i suoi principi primari.
Quello che molti non si rendono conto è che la normativa sulla protezione dei dati all’interno dell’UE ha più di due decenni. L’attuale standard di protezione dei dati dell’UE è enunciato dalla Direttiva sulla protezione dei dati del 1995 (DPD), che, sebbene ben intenzionata, mancava di un livello unificato di impegno da parte delle autorità di regolamentazione della privacy. Mentre alcuni membri, come Spagna e Germania, hanno imposto requisiti rigorosi di conformità alla privacy, altri ne hanno pochi, se non nessuno. In larga misura, questo ha fatto sì che i clienti si sentissero vulnerabili, per essere utilizzati dalle aziende semplicemente come mezzo per raggiungere un fine. Ciò ha diffuso la sensazione che ci fosse una mancanza di rispetto da parte delle aziende nei confronti dei loro clienti.
Fondamentalmente, GDPR è DPD 2.0, che offre ai vecchi regolamenti un tono più acuto e una maggiore portata nel tentativo di rispondere alle preoccupazioni legittime e alle paure crescenti di un cliente sempre più connesso. Inoltre, amplia la propria portata per includere le esigenze di un mercato globale in espansione cercando di promuovere “il miglioramento delle regole sul trasferimento dei dati aziendali al di fuori dell’Unione europea”, come nel caso delle società residenti negli Stati Uniti. In tal modo, il GDPR non dovrebbe essere considerato una sanzione imposta alle società a senso unico, ma come misura protettiva volta a salvaguardare la montagna in continua espansione di dati personali portata alla luce dalla proliferazione delle tecnologie emergenti. Dopotutto, nuovi metodi richiedono una nuova governance.
Il rispetto va guadagnato, non imposto
I modi in cui GDPR richiederà alle aziende di apportare modifiche significative e spesso costose ai metodi che utilizzano per acquisire, archiviare, analizzare e utilizzare i dati personali sono già stati ben documentati. Alcune organizzazioni sono arrivate al punto di investire in un dipartimento dedicato per garantire la conformità interna. Questo è il prezzo che il mercato richiede per permetterci di accedere alle informazioni di cui abbiamo bisogno per ottenere una migliore comprensione della nostra base di clienti. Ma le aziende che vedono GDPR come sfida non prendono in considerazione il quadro generale. GDPR è stato creato per il semplice motivo che la privacy è una questione delicata e, come ogni esercizio di fiducia, dovrebbe essere gestita con cura. Restituire il controllo dei dati personali all’individuo è semplicemente la cosa giusta da fare.
Da questo punto di vista, GDPR non si basa tanto su come estraiamo i dati stessi, ma su come comunichiamo con i nostri clienti. Non si tratta solo di trattare le informazioni, ma anche le emozioni. Piuttosto che evidenziare cosa dobbiamo fare per evitare le sanzioni, dovremmo sottolineare il nostro desiderio di proteggere i nostri clienti, che ora hanno più scelta su come i loro dati personali vengono raccolti e condivisi con noi. L’attenzione si sposta dal “fare per” i nostri clienti a “fare con” loro. Quando siamo trasparenti e rispettosi, siamo efficaci.
Proprio come nell’implementazione di una solida iniziativa CSR, le aziende con la lungimiranza di vedere GDPR dall’esterno all’interno possono ottenere il potere di trasformare questo regolamento in una opportunità per creare un legame di fiducia con il cliente e aprire nuovi e potenzialmente potenti canali di dialogo. In questo modo, GDPR si trasforma da un incubo normativo in un’opportunità stellare per il coinvolgimento del cliente. Se dobbiamo spendere i soldi e allocare le risorse per stabilire la conformità, perché non creare quindi un legame tra azienda e cliente?
Un tema ricorrente nei miei blog riguarda il cambio di potere all’interno del rapporto cliente/azienda. La digitalizzazione ha dato ai clienti un maggiore controllo sul modo in cui le aziende comunicano, su come operano, persino su quali materie prime e metodi di produzione utilizzano. L’avvento di GDPR ora dà loro il controllo sulle proprie informazioni personali. Adottando un approccio trasparente riguardo la raccolta di informazioni, i clienti riconoscono che teniamo a loro e non solo ai dati che rappresentano. E per il cliente iperconnesso di oggi, questo fa la differenza.
Margaret Franco
Senior Vice President, EMEA Marketing, Dell EMC
