La compliance al GDPR: costo o investimento?
In una recente pubblicazione, la Commissione francese per la protezione dei dati (CNIL) ha esaminato l’impatto economico dell’adeguamento al GDPR su enti ed imprese. Dalla valutazione condotta sono emersi sia i benefici, in termini di tutela dei diritti, per le persone fisiche, che i vantaggi economici per le organizzazioni. L’adeguamento al GDPR può davvero portare ad un guadagno? In che modo e come calcolarlo?
Le implicazioni economiche della compliance al GDPR
In prima battuta, studiare l’impatto economico del GDPR per le imprese, ovvero quantificare i costi per la compliance ed il possibile ritorno finanziario, potrebbe sembrare un esercizio superfluo: lo scopo del Regolamento, infatti, è quello di proteggere i diritti fondamentali delle persone e, proprio per tale ragione, l’adeguamento alle disposizioni previste rappresenta un’azione obbligatoria per enti ed imprese.
Bisogna anche considerare, tuttavia, che l’economia digitale odierna si fonda sulla gestione dei dati personali. Lo sviluppo dell’economia digitale è direttamente condizionato dalla fiducia dei cittadini, che è garantita e alimentata solo da un elevato livello di protezione dei dati.
Il GDPR, quindi, ha implicazioni economiche significative, a prescindere dalla natura obbligatoria o facoltativa dei relativi adempimenti. Per questa ragione, riporta la CNIL (Commissione francese per la protezione dei dati) in un recente comunicato, a distanza di cinque anni dall’entrata in vigore del Regolamento gli economisti stanno cercando di approfondire l’impatto del GDPR su crescita, innovazione e concorrenza.
Non solo costi
Molti degli studi condotti finora sull’impatto del GDPR per enti ed imprese si sono soffermati sui relativi costi di attuazione. Questi costi rappresentano una spesa comune ed inevitabile: le norme del GDPR impongono alle organizzazioni di tutta Europa (e non solo) l’implementazione di misure essenziali per il perseguimento degli scopi del Regolamento, ovvero per proteggere i diritti e le libertà fondamentali delle persone fisiche e favorire la libera circolazione dei dati personali. La compliance, in primo luogo, è una responsabilità collettiva europea che deve necessariamente essere assunta.
Al tempo stesso, però, il GDPR ha la peculiarità di disciplinare l’uso dei dati personali, oggetto economico molto specifico che ha visto il proprio valore crescere esponenzialmente di anno in anno, sino a diventare il “petrolio dell’era digitale”, combustibile che alimenta i più recenti e innovativi sistemi di intelligenza artificiale.
In tale contesto, la regolamentazione fornita da norme quali il GDPR e l’AI Act, garantisce il benessere delle persone contro trattamenti illeciti e abusi (la CNIL riporta l’esempio della cessione dei dati a terze parti che, se non controllata, può condurre a forme di spam particolarmente invasive). La compliance, quindi, non deve essere vista solo come un costo, ma anche come un beneficio per la collettività, in grado di generare un ritorno economico – e, quindi, un beneficio – anche per enti ed imprese. In che modo?
Benefici per gli individui e per le imprese
A distanza di cinque anni dalla data in cui il GDPR è divenuto applicabile, i benefici per i consumatori sono divenuti evidenti. I cittadini europei ora hanno un maggiore controllo sui propri dati, sono in grado di misurare meglio i rischi associati alla loro condivisione, sono sempre più attivi, consapevoli ed interessati a comprendere come enti ed imprese garantiscono la privacy.
I benefici per le imprese sono costituiti dai ritorni sugli investimenti nella conformità al GDPR, in termini di reputazione agli occhi di clienti e partner, di sicurezza informatica, di prevenzione di possibili data breach, di garanzie in termini di continuità d’impresa e di recupero dei dati in caso di incidente, di risparmi operativi e ottimizzazione dei processi, etc. Gli studi condotti finora, tuttavia, si sono basati su un approccio prettamente qualitativo. La domanda sorge spontanea: è possibile quantificare questi guadagni per effettuare un’analisi costi-benefici più completa del GDPR?
La tecnica del ROI
Per rispondere a questa domanda è necessario calcolare il “ROI” (Return On Investment).
Il ritorno sull’investimento è una metrica utilizzata per comprendere la redditività di un investimento. Il ROI confronta quanto si è speso per un determinato investimento (i costi) con quanto si è guadagnato (i profitti), per determinare l’efficienza dell’investimento.
La formula è la seguente:
ROI = (Profitto netto / Costo dell’investimento) x 100
ROI = (Valore attuale – Costo dell’investimento / Costo dell’investimento) x 100
Per calcolare il ritorno sull’investimento è, quindi, necessario dividere l’importo guadagnato attraverso un investimento – spesso chiamato “profitto netto” – per il costo dell’investimento e moltiplicarlo per 100. Il risultato è rappresentato in percentuale. Ad esempio, supponiamo di aver investito 8.000 euro nell’acquisizione di una società lo scorso anno e di aver venduto le azioni per 8.500 euro quest’anno. Ecco come calcolare il ROI per questo investimento:
ROI = (8.500 – 8.000 / 8.000) x 100
Il ritorno sull’investimento nell’acquisto della società è stato pari al 6,25%. Il valore percentuale generato consente di confrontare l’investimento con altri, per determinare quale di questi offre o ha offerto il rendimento più elevato.
Il ROI applicato al GDPR: quali elementi considerare?
Il calcolo del ROI relativo all’adeguamento al GDPR può trasformare la percezione della compliance agli obblighi normativi da una semplice passività ad un beneficio concreto, in quanto vantaggio economico competitivo. Il processo di valutazione del ROI consente, infatti, di quantificare i benefici finanziari derivanti dalla conformità al GDPR, rispetto ai costi sostenuti per la sua implementazione e gestione. Quali fattori considerare?
ESEMPIO COSTI | ESEMPIO PROFITTI |
1. Consulenza legale 2. Acquisto di software per la compliance 3. Test di vulnerabilità dei sistemi informativi e penetration test 4. Investimenti in sicurezza IT, in sistemi cloud sicuri, in infrastrutture aggiornate 5. Formazione avanzata del personale che gestisce la privacy, formazione per sensibilizzare tutto il personale 6. Costi di revisione/ aggiornamento e monitoraggio periodico della conformità (audit periodici e reportistica) | 1. Numero di clienti / utenti aggiuntivi che hanno scelto il servizio in considerazione delle garanzie fornite in materia di data protection (fattore fondamentale in grado di orientare le scelte di consumo, come dimostrano la maggior parte degli spot televisivi di Apple) 2. Vantaggio reputazionale 3. Risparmio in termini di ottimizzazione dei processi di raccolta e gestione dei dati (aumenta l’efficienza operativa) 4. Risparmio in termini di liberazione di archivi / risorse informatiche occupate da dati inutili o obsoleti 5. Risparmio in termini di prevenzione da perdite derivanti da violazioni (data breach) 6. Risparmio in termini di prevenzioni da sanzioni per non conformità |
Sebbene il ROI sia una metrica comprensibile e facilmente calcolabile, richiede la commisurazione esatta di molteplici fattori (alcuni di questi esemplificati nella tabella sopra riportata). Operazione sicuramente non facile ma che rappresenta una valida soluzione per determinare il ritorno nell’investimento.
Il valore della compliance
Il ritorno nell’investimento può dare esiti estremamente differenziati, in considerazione sia dei fattori considerati che della natura dell’impresa stessa (ad esempio, in alcuni settori l’attenzione dei consumatori alla privacy è massima, in altri settori ha una rilevanza percepita minore). Anche in quest’ottica la valutazione quantitativa attraverso il ROI può rivelarsi uno strumento utile, per tarare meglio il peso dell’investimento. In ogni caso, ottimizzare i benefici derivanti dall’adeguamento al GDPR è fondamentale per generare un maggiore ritorno economico.
Se desideri supporto per valorizzare il processo di compliance alle norme scrivici, il nostro Team di consulenti saprà indirizzarti verso le migliori soluzioni per la conformità normativa.
