GDPR: quanto spendono le grandi aziende UK e USA

Quando media o siti specializzati affrontano temi legati agli aspetti economici del GDPR, alludono quasi sempre alle sanzioni che saranno applicabili a partire dal 25 maggio 2018: multe fino a 20 milioni di euro o 4% del fatturato globale.

E’ un aspetto della nuova normativa che, per forza di cose, preoccupa le aziende. Paradossalmente si parla molto meno di quale possa essere il costo della compliance, ossia dell’esborso preliminare che il Regolamento UE 2016/679 richiede, di fatto, alle imprese affinché si riduca al minimo il rischio di incorrere in quelle sanzioni. L’assenza di indicatori di massima non è casuale.

Quanto costa adeguarsi al GDPR? E’ una domanda a cui è impossibile rispondere in termini generali. L’azienda che vorrà mettersi in regola dovrà spendere in ragione delle proprie dimensioni strutturali, del tipo di dati che raccoglie e da come li tratta, dal livello di security già in essere, da quanto ha già fatto in passato in termini di privacy compliance (che sia magari in qualche modo fruibile o “convertibile in formato GDPR”), e da molti altri fattori contestuali.

Oltre a questo, ci sono le variabili legati ai prezzi praticati dagli specialisti. Generalmente, quando viene emanata una nuova regolamentazione – ed, ancor più, quando la deadline si avvicina – l’offerta di mercato diventa sclerotica e difficilmente interpretabile. Con riguardo al GDPR, questo stato di incertezza e volubilità è stato – ed è tuttora – acuito da almeno due fattori:

  • il testo della normativa è stato pubblicato due anni prima della data in cui le regole saranno enforceable, dando così tempo – anche ai consulenti più sprovveduti in materia – di organizzare una qualche forma di offerta;
  • la compliance di privacy è uno scenario di business che periodicamente (ricordate i tempi dell’introduzione dell’obbligo di redazione annuale del Documento Programmatico sulla Sicurezza?) ingolosisce tutta una serie di operatori che, pur non avendo mai assistito un cliente in materia, credono di poter offrire questo tipo di supporto specialistico perché già erogano servizi che percepiscono in qualche modo affini alla consulenza privacy (una percezione spesso errata o arbitraria).

Il panorama è estremamente variegato. Lato legal consulting, si va dalle firme multinazionali o grandi studi che praticano prezzi elevati, agli specialisti dell’ultima ora che vendono a basso costo servizi privacy (che magari non hanno mai eseguito prima in vita loro). Lato security, lo scenario è simile: rispetto ai pochi tool utili e dal prezzo equilibrato, ci sono costosissime soluzioni pro GDPR (talvolta sovradimensionate rispetto alle esigenze reali o soggettive) oppure programmini di utilità parziale (magari preesistenti, all’uopo “riverniciati” e riproposti per pochi euro come nativi GDPR).

Per le aziende che si interessano solo ora al problema sono dunque scarse le indicazioni affidabili. Per farsi un’idea non rimane che organizzare un survey chiedendo preventivi a diversi operatori di settore (sperando di trarne un quadro affidabile) oppure cercare di capire cosa fanno i propri consimili. Ma riguardo i comportamenti delle altre aziende non è affatto facile reperire notizie: quali somme ha stanziato chi si è già mosso per raggiungere la compliance o per impostare un percorso di avvicinamento alla stessa?

Le informazioni liberamente disponibili riguardanti i budget ipotizzati o accantonati dalle imprese italiane sono praticamente assenti. E poco si conosce riguardo le stime approntate dalle aziende europee. Ed allora, al momento, non rimane che far riferimento al panorama internazionale laddove – quantomeno in riferimento alle imprese più rilevanti – qualche indagine è stata condotta.

Uno studio di TrustArc (la ex TRUSTe) di pochi mesi orsono ha interpellato oltre 200 privacy professionals (referenti IT, legali, compliance) di aziende strutturalmente medio/grandi (minimo 500 dipendenti) soprattutto statunitensi (92%) interessate dall’impatto del GDPR. Gli esiti hanno rivelato che:

  • l’83% prevede di spendere almento 100.000 USD;
  • il 17% ritiene che i costi supereranno il milione di USD;
  • IL 42% delle imprese con più di 5.000 dipendenti ha già pianificato di spendere oltre 500.000 USD.

Settimana scorsa, lo studio legale internazionale Paul Hastings ha pubblicato i risultati di una ricerca condotta su:

  • 100 General Counsel o Chief Security Officer delle aziende elencate nel FTSE 350 (indice azionario delle 350 società più capitalizzate quotate al London Stock Exchange);
  • 100 General Counsel o Chief Security Officer delle aziende elencate in Fortune 500 (lista pubblicata dal Fortune delle 500 maggiori imprese statunitensi misurate sulla base del loro fatturato).

Le prime prevedono in media di spendere in tecnologia pro GDPR 486.000 euro, le seconde oltre 860.000 euro (1 milione di USD). Al momento, solo il 10% delle compagnie britanniche e il 9% delle statunitensi ha incominciato a investire tali cifre.

Per quanto concerne il personale da assumere per gestire uno o più aspetti legali, organizzativi o informatici del GDPR, il 40% delle aziende FTSE ha già stanziato tra i 260.000 e i 450.000 euro, mentre il 34% di quelle contemplate in Fortune 500 sta allocando tra 500.000 e 1 milione di USD.

Infine, gran parte delle compagnie intervistate prevedono di dover spendere per avere un supporto legale esterno: solo il 17% delle aziende UK e il 22% di quelle USA non prevedono budget a ciò destinato.

Fonte: Privacy.it

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL