GDPR, un anno e mezzo dopo: il tasso di conversione rimane basso

Una ricerca di Talend rivela che oltre la metà delle aziende intervistate non è stata in grado di soddisfare le richieste di accesso ai dati e portabilità entro il termine di un mese come richiesto dal GDPR

Il 58% delle aziende intervistate a livello mondiale non è riuscito a rispondere alle richieste da parte degli utenti di ottenere una copia dei propri dati personali entro un mese, così come stabilito dal regolamento GDPR; lo rivela la nuova ricerca Talend, specialista globale nell’integrazione dei dati cloud e nell’integrità dei dati.

a prima ricerca sul GDPR di Talend – pubblicata nel mese di settembre 2018 con l’obiettivo di valutare la capacità delle aziende di rispettare il diritto di accesso ai dati e di portabilità in conformità con la normativa europea – metteva in evidenza che ben il 70% delle aziende intervistate riferiva di non essere stata in grado di mettere a disposizione i dati entro un mese.

A distanza di un anno, Talend ha interpellato un nuovo panel di aziende, comprese le aziende che in occasione della precedente ricerca avevano segnalato il mancato rispetto della tempistica, con lo scopo di verificare il miglioramento. Sebbene la percentuale complessiva di aziende che hanno segnalato la conformità sia aumentata al 42%, la percentuale rimane ancora bassa 18 mesi dopo l’entrata in vigore del regolamento.

“I risultati della nuova ricerca mostrano chiaramente che il diritto di accesso ai propri dati da parte dell’utente rappresenta ancora il tallone d’Achille della maggior parte delle aziende”, spiega Jean-Michel Franco, Senior Director Data Governance Products di Talend. “Per ottemperare pienamente al GDPR è necessario conoscere dove si trovano i dati, come vengono elaborati e da chi, nonché garantire che i dati siano attendibili.

A seguito delle varie normative sulla protezione dei dati che sono entrate in vigore negli Stati Uniti (California Consumer Privacy Act nel gennaio 2020), attraverso l’APAC (PDPA in Tailandia nel maggio 2020) e in America Latina (LGPD in Brasile nell’agosto 2020), le aziende devono necessariamente avviare una trasformazione relativa alla governance dei dati per poter offrire una visione completa dei clienti e garantire ai responsabili delle protezione dei dati di disporre di soluzioni che consentano una maggior automazione nell’elaborazione e gestione dei dati.

Le aziende devono impegnarsi molto per riguadagnare la fiducia dei propri clienti con la consapevolezza di incorrere in pesanti multe e danni alla reputazione in ​​caso di non conformità soprattutto se vengono intraprese le cosiddette class action, con gravi ripercussioni sull’azienda stessa”.

I principali risultati della ricerca:

La categoria dei “ritardatari” ovvero le organizzazioni del settore pubblico e le aziende di telecomunicazioni e media si sta per soddisfare i requisiti.

La ricerca rivela che solo il 29% delle organizzazioni del settore pubblico intervistate potrebbe fornire i dati entro il limite di un mese. La necessità di una governance dei dati più integrata rappresenta un must per il 2020, e oltre, dettato da un utilizzo sempre maggior dei dati e delle nuove tecnologie – come il riconoscimento facciale, l’intelligenza artificiale – da parte del settore pubblico per migliorare l’esperienza dei cittadini. La stessa situazione viene osservata nel settore telecomunicazioni e media dove solo il 32% delle aziende intervistate ha dichiarato di essere in grado di fornire i dati come indicato dal Regolamento.

La categoria “si potrebbe migliorare” ovvero le aziende del mondo retail, servizi finanziari, viaggi, trasporti e ospitalità che raggiungono a malapena un tasso di successo medio

Rispetto all’indagine condotta da Talend lo scorso anno, le aziende del settore retail hanno migliorato il tasso di risposta, infatti, il 46% delle organizzazioni intervistate ha dichiarato di aver fornito risposte entro il limite di un mese. E’ dunque cresciuta la percentuale di aziende che in questo ambito ha iniziato ad adottare un approccio ‘cliente-centrico’ per migliorare sia la customer experience sia i processi interni. La stessa situazione si rileva con le aziende che operano nei settori finanziario, viaggi, trasporti e ospitalità, questi ultimi in particolare, sono considerati i migliori in quanto rappresentano il 38% di tutte le aziende che hanno fornito dati in meno di 16 giorni.

La mancanza di automazione rappresenta un ostacolo

Dalla ricerca condotta da Talend emerge che la mancanza di automatismi nell’elaborare le richieste è una dei motivi principali per cui le aziende riescono ad essere conformi al Regolamento e che determina anche la mancanza di visione completa dei dati e di chiarezza sulla responsabilità dei dati all’interno dell’azienda. Nel settore dei servizi finanziari, ad esempio, i clienti possono essere titolari di più contratti con una stessa società la quale potrebbe essere situata in più posti, rendendo difficile il recupero di tutte le informazioni relative a quel determinato cliente. L’elaborazione delle richieste richiede quindi un processo manuale e spesso coinvolge varie figure aziendali. Inoltre, l’elaborazione di queste richieste può essere molto costosa; secondo un recente studio di Gartner, le aziende “spendono, in media, oltre $ 1400 per rispondere a un singolo SRR.”[1]

È necessario migliorare il processo di richiesta e la prova ID

La ricerca evidenzia anche la mancanza di un controllo degli ID durante il processo di richiesta dei dati dei singoli richiedenti. Complessivamente, solo il 20% delle aziende intervistate ha richiesto la prova di identificazione. Inoltre, delle aziende intervistate che hanno riferito di aver richiesto una prova di identificazione, pochissime utilizzano una modalità sicura e online per condividere documenti di identità. Nella maggior parte di casi, le copie di identificazione sono state fornite via e-mail. Il processo di richiesta rimane quindi pesante con le difficoltà che sono state indicate in precedenza, inclusa la ricerca dell’indirizzo e-mail corretto per inviare la richiesta e il follow-up delle e-mail perché i dati sono incompleti o perché i file non possono essere aperti.