C’è una data che si avvicina e che è probabilmente cerchiata in rosso nelle agende di tutte le aziende europee o operanti in Europa: è il 25 maggio 2018, giorno in cui entrerà in vigore il GDPR (General Data Protection Regulation), la nuova normativa sulla privacy per l’UE, a detta di alcuni la più profonda ridefinizione delle norme relative alla data protection dalla nascita della Rete. Sono rimasti poco meno di cento giorni per adeguarsi alle novità introdotte, ma pare che le idee di numerose aziende siano ancora piuttosto confuse in proposito, e la strada da percorrere per garantire una maggiore sicurezza e un maggior controllo in materia di gestione dei dati personali appare tutt’altro che spianata davanti a loro.
La data menzionata è in realtà l’ultima tappa di un percorso iniziato nel 2016, anno di nascita ufficiale del Regolamento GDPR UE 2016/679, documento che stabilisce rigorosi requisiti globali per la tutela della privacy, regolando le modalità di trattamento e protezione dei dati personali in modo che siano maggiormente rispettate le scelte e i diritti delle persone fisiche cui questi fanno riferimento, valido per aziende di ogni tipo e dimensione.
Si tratta di un riconoscimento a livello giuridico e normativo della centralità assunta dai dati — e dalla loro protezione — nell’economia e nella società digitale, alla cui base possono essere individuati sei principi fondamentali:
A conferma dell’aria di cambiamento che si respira ormai nel mercato europeo in materia di sicurezza e data protection possiamo citare l’esempio di Facebook, che a inizio anno ha rafforzato la privacy garantita ai suoi utenti realizzando un nuovo e unico centro privacy a livello globale, garantendo agli utenti una gestione dei dati più semplice e prevedendo inoltre di raddoppiare a 20.000 il numero degli addetti al controllo sicurezza.
A livello teorico sembra tutto chiaro, ma nella pratica le difficoltà sono ancora molte.
Secondo un recente studio di Accenture, l’Italia è tra i primi 10 Paesi al mondo maggiormente colpiti da crimini informatici (che interessano soprattutto le aziende dei settori finance ed energia), con un aumento dei costi del cybercrime rispetto al 2016 pari al 23%.
Dalla privacy by design alla valutazione d’impatto, passando per l’istituzione di nuove figure aziendali come il responsabile della protezione dei dati, sono numerose le indicazioni fornite dall’UE alle aziende affinché possano adeguare le loro strategie e tecnologie per la sicurezza alle nuove sfide e alle nuove minacce che caratterizzano il panorama digitale, ma soprattutto affinché si diffonda e venga interiorizzata una vera e propria cultura della privacy e della sicurezza, riconosciuta come il mezzo più efficace per vedere effettivamente riconosciuti i diritti e i doveri sanciti dalle nuove
regole.
Le aziende hanno quindi molto lavoro da fare, tra attacchi che si moltiplicano — e che diventano sempre più sofisticati con l’utilizzo di IoT e intelligenza artificiale — e normative più stringenti, ma anche i clienti sembrano non rendere loro la vita facile.
Al crescere della loro consapevolezza in merito alle minacce e agli attacchi mirati a ciò che di più prezioso è oggi presente sul mercato — i loro dati e informazioni personali — gli utenti sono ormai pronti a tutto pur di metterli al sicuro da ogni possibilità di violazione. Tra le iniziative in tal senso recentemente rilevate da una ricerca di RSA, la nuova tendenza è quella di fornire fake data per evitare di condividere informazioni personali con le aziende.
È facile intuire che se il 30% dei clienti in Italia fornisce false informazioni alle aziende, questo non può non avere un impatto negativo sul business.
Ma i consumatori italiani non si fermano qui: il 64% degli intervistati ha dichiarato che la reputazione aziendale in materia di gestione dei dati dei clienti influenza le loro scelte d’acquisto, il 56% sostiene che eviterà di fornire i propri dati a un’azienda che in passato si è «macchiata» della vendita o dell’utilizzo degli stessi senza consenso, mentre il 64% afferma di essere pronto a boicottare completamente quelle organizzazioni che hanno ripetutamente mostrato di non trattare con la dovuta attenzione il tema della protezione dei dati. Ma ogni medaglia ha il suo rovescio, e questa non fa eccezione: le aziende che si dimostreranno effettivamente in grado di gestire in modo responsabile e di proteggere i dati incontreranno il favore e la fiducia del 58% degli italiani che hanno già dichiarato di essere pronti e ben disposti ad acquistare i loro prodotti e servizi.
La percezione generale e «culturale» di una gestione corretta della privacy è molto alta, sia da parte degli utenti finali che delle aziende nei confronti dei propri clienti. Potremmo dire quasi che ogni prodotto/servizio o soluzione tecnologica offerta debba obbligatoriamente utilizzare la tutela della sicurezza e della privacy come parte integrante e integrata, e non solo per una questione di osservanza legale, ma in qualità di leva per la creazione di valore nella costruzione dell’esperienza del cliente. Attenzione altissima e consapevolezza in crescita da parte di tutti: ogni minima stonatura nella gestione dei dati del cliente viene amplificata e sanzionata in maniera pesante dal mercato esterno, dai competitor e dai consumatori.
Il traguardo di ogni azienda che abbia a cuore la Customer Experience dovrebbe essere quello di agire in modo che i clienti non si accorgano quasi degli ulteriori oneri burocratici per garantire la loro privacy e sicurezza. Il cliente deve sentire che la propria tutela era già completa prima, e quindi sta alle aziende utilizzare eventuali moduli o richieste di dati ulteriori come uno strumento di garanzia aggiuntiva. Le soluzioni tecnologiche che agevolano questi passaggi saranno mirate a semplificare l’iter di compliance, e a creare nello stesso tempo modalità interattive che rispondano a una semplificazione di processi e costi per azienda e cliente.
Spesso le aziende, soprattutto conglomerati risultanti da acquisizioni e fusioni a livello transnazionale, non hanno un’amministrazione unitaria dei sistemi di gestione del cliente o livelli qualitativi e di ottemperanza legale omogenei. Differenze fra Paesi o business unit dovrebbero essere monitorate e preventivamente sanate internamente all’azienda, in vista dei cambiamenti legislativi, segnatamente per quanto riguarda la sede di custodia dei dati e la tutela legale del cliente finale. In particolare, i dati sensibili andrebbero trattati in modalità totalmente ottemperante e restrittiva, senza cedere a scelte di compromesso economico che rischierebbero di avere costi altissimi in termini di perdita di clienti e immagine. Una policy di trasparenza aziendale sulle modalità di trattamento, e persino chiare indicazioni sulle possibilità di recesso, potrebbero essere leve ulteriori per rassicurare il cliente finale.
Le tecnologie di identificazione e verifica di maggior impatto sono nate in tempi recenti, e si posizionano su un livello iniziale di tutela già superiore a quello stabilito dalla legge. Per esempio, le tecnologie biometriche vocali che utilizzano il linguaggio naturale (e non più la semplice password) sono strumento di verifica continua dell’identità, in maniera piacevole e insieme rigorosa dal punto di vista della compliance legale — alzando così il livello qualitativo del Customer Journey. Il focus di una soluzione innovativa di fruizione dei servizi deve essere quello di fornire strumenti di eccellenza, e non obbedire a un contesto di ottemperanza normativa. Nell’area finance — ma non solo — una soluzione/prodotto che non contenga alla base la tutela di privacy e sicurezza del cliente non può né deve essere immaginata. Queste caratteristiche rappresentano il punto di partenza di una Customer Experience realistica e utilizzabile da qualsiasi cliente, senza diffidenza nei confronti della tecnologia.
