Una dintre întrebările pe care le tot primim la Tudor Galoș Consulting este „cât mă costă?”. O întrebare legitimă, mai ales în aceste vremuri când din diverse motive – unele obiective, altele subiective, foarte multe puerile (AI) – se taie fonduri de peste tot. Hai să facem un pas în spate și să punem întrebarea aia dureroasă.
Un proiect de conformitate la GDPR este un cost sau o investiție?
Diferența dintre cost și investiție este una semnificativă, deși în ambele cazuri bagi bani. Cheltuielile ce intră la „costuri” de obicei nu generează venit, în timp ce rolul investițiilor este să genereze extra venituri. Adică incrementale, nu „canibalizate” (muți vânzările de la un produs sau serviciu la alt produs sau serviciu, fără a avea neapărat creștere). Și atunci întrebarea aia grea este – unde încadrăm un proiect de conformitate la GDPR: la costuri sau la investiții?
Din păcate, 90% din aceste proiecte – o cifră pe care o arunc absolut la întâmplare – sunt costuri care nu generează absolut niciun venit incremental. Tragic este că multe chiar afectează negativ veniturile, mai ales dacă sunt făcute cu specialiști căliți prin cărți și cursuri și care au văzut business-uri doar în slide-uri și pe la conferințe. Genul acela de consultant ce îți va spune „nu se poate”, urmat de „nu am nicio alternativă” (bine, sunt cazuri când chiar nu ai alternative, mai ales dacă o prelucrare încalcă drepturi fundamentale ale omului).
Cum mutăm GDPR de pe linia de „costuri” pe linia de „investiție”?
Acum peste 10 ani, când lucram la corporație, am mers la un client Enterprise, eu lucrând în Consumer (dar având alți 10 ani în spate de Enterprise). Și CTO-ul, nervos și plictisit de slide-uri cu bullshit corporatist, pune întrebarea asta: „în P&L-ul meu, voi sunteți la linia costuri. Veniți ASAP cu o propunere să vă pot muta de pe costuri pe investiții, sau tai cu totul costurile cu voi”. Punctual, după câțiva ani s-a reușit treaba asta, dar mi-a rămas în minte această întrebare, mai ales când mi-am pornit business-ul: cum fac să nu reprezint un cost ci o investiție?
Sunt câțiva pași prin care poți demonstra rapid return-on-investment-ul unui proiect de GDPR – noi facem aceste calcule, le arătăm clienților, le dezbatem și apoi ne asigurăm de extinderea investițiilor. Însă da, conformitatea cu GDPR îți aduce bani, și acum vom vedea cum se face acest lucru.
Pasul 1: Guvernanță și documentare.
Foarte puține organizații din România – mici, medii, mari – au o guvernanță. Adică modus operandi documentat, reguli, politici și proceduri, SOP-uri, protocoale etc. Modul în care se întâmplă lucrurile. Chestia asta, cum spune și Elena Badea de la Valoria, unul dintre cei mai buni consultanți de management pe care îi cunosc, duce inevitabil la ancorarea organizației în operațional, versus un focus pe strategie și viziune. Firmele românești se duc „înainte”, fără a ști ce înseamnă „înainte”.
Deci pasul 1 – cunoaște-ți business-ul. Revizuiește-ți modus operandi: pun pariu că vei găsi, alături de consultanții tăi (sper că buni) politici și proceduri (nu GDPR) ce se bat cap în cap. Inevitabil vei găsi. De acolo pleacă multe dintre baiurile pe care le ai.
Pasul 2: Fluxurile de business.
Cartografierea datelor personale înseamnă de fapt documentarea fluxurilor de business. De unde vin datele (vezi mai târziu dacă sunt sau nu personale), cine are ownership pe ele (să vezi aici discuții), unde se duc, ce se întâmplă cu ele, la cine se mai duc, când se distrug. Totul presărat cu o tonă de „de ce”.
Aici este etapa cea mai dureroasă, fiindcă noi, consultanții, punem întrebarea „de ce faceți așa? Se poate și altfel” și primim răspunsul „fiindcă așa s-a făcut”. Aici vedem o tonă de procese de business ineficiente, costisitoare, ce deja pot fi optimizate.
Pasul 3: Risk management.
Management-ul riscului în GDPR se face față de oameni, față de „persoana vizată” – ce i se poate întâmpla? Un consultant bun va identifica însă și ce se poate întâmpla rău business-ului. Practic face un risk management dual și identifică toate riscurile, dar le și prioritizează – de obicei, în funcție de probabilitatea de manifestare și impact.
Apropo, când vorbim de inteligența artificială, eu mai adaug o „dimensiune”: capacitatea și viteza de manifestare. Că una este să ai un risc cu o probabilitate redusă, impact pe business/oameni redus, dar care poate scala la 1 milion de useri.
Tot aici recomandăm să se facă și cuantificarea monetară a riscului pentru organizație. Dincolo de amenzi, deloc mici, există riscuri reputaționale, riscuri de business (afectarea vânzărilor), riscuri structurale (compania nu mai poate opera). La orice proiect european, la orice investiție publică sau privată, se cere harta riscurilor. Se cere demonstrarea factuală a conformității la GDPR, adică cu dovezi. Și foarte important, vând vin consultanții într-un due diligence, dacă vrei investiții de la un fond sau VC, vor găsi și vor cuantifica toate aceste riscuri: liabilities. Și vei dori să nu fie mari fiindcă afectează direct valoarea companiei tale. Deci da, cuantificarea monetară a riscurilor este importantă.
Pasul 4: Risk treatment.
Toate riscurile trebuie adresate cu măsuri tehnice și organizaționale. Aceste măsuri vin cu niște costuri/ investiții. Aici mulți consultanți greșesc, venind cu „avioane” – investiții în tehnologie, în oameni, în orice. Însă și aceste investiții pot fi optimizate, etapizate și un bun consultant va lucra cu alți consultanți (cum facem și noi) pentru a identifica și surse de investiții – fonduri europene, credite bancare etc.
În urma aplicării acestor măsuri, probabilitatea riscurilor trebuie să scadă semnificativ. Însă este nevoie și de măsuri de tipul „what if”, adică să știi ce să faci când te lovește pocinogul. Noi insistăm să facem scenarii de „data breach” complexe pentru a studia timpii de răspuns. De obicei, aceștia sunt tragici și de aici începe reorganizarea proceselor interne. Trebuie să știi ce să faci când te lovește pocinogul.
Pasul 5: Implementarea măsurilor
Aici este nevoie de un plan de implementare și de monitorizarea efectelor. Noi insistăm ca angajații să poată să dea feedback dacă anumite proceduri sau politici nu funcționează bine, pentru a le optimiza din mers. De obicei aici se vede rapid impactul măsurilor în business, prin optimizarea proceselor documentate la pasul 2. Scad costurile, banii vin mai repede, firma crește. Dar da, este nevoie de monitorizarea implementării, de project management.
La Tudor Galoș Consulting, noi oferim ceva special: partea de suport pentru implementare timp de un an (garanția „No Matter What”) de la finalizarea livrării setului de măsuri tehnice și organizaționale ce trebuie implementate pentru a adresa riscurile identificate privind prelucrările de date, plus documentație. Suport înseamnă asistarea clientului să răspundă la cereri de audit din partea unor parteneri, investitori, beneficiari, autorități de protecție a datelor, la cereri de acces din partea persoanelor vizate etc. Tot. În acest an, facem și partea de knowledge transfer, creștem niște oameni la client care să poată rezolva problemele simple operaționale, ca după un an să oferim consultanță de suport orară, doar pe spețe grele.
Pasul 6: Monitorizare continuă
Recomandăm revizuirea cel puțin trimestrială a conformității; ce KPI-uri urmărim de obicei: numărul de incidente de securitate, numărul de neconformități identificate, numărul de cereri de acces și ștergere (un număr mare clar identifică o problemă gravă), intrări în registrul prelucrărilor de date, numărul de furnizori cu care s-au semnat acorduri de date, transferuri internaționale, numărul de interacțiuni cu autoritățile, feedback de la oameni etc.
Parte a acestei monitorizări se trece și prin DPIA-uri, pentru a vedea dacă s-au schimbat condițiile de conformitate. Se analizează noile scenarii, noile amenințări, se modifică execuția din mers.
Atenție, review-ul recurent de conformitate la GDPR nu este un review legal sau tehnic; este unul de business. Neconformitățile aduc liabilities care scad valoarea business-ului!
Și totuși, unde sunt banii?
Îmi amintesc, nu cu drag, cum în momentul în care România se lăuda cu excedent bugetar (am avut și așa ceva), aveam politicieni ce răcneau „unde sunt banii?”. Este o întrebare legitimă, mai ales când vrei să îți faci o vilă în sudul Franței sau pe malul lacului Como.
Acești pași nu garantează că vei vedea banii, dacă nu lucrezi cu consultanți experimentați. Însă lucrând cu ei și ascultându-i, dându-le acces la date, colaborând strâns cu ei, îi vei vedea. De unde? În primul rând, din partea de guvernanță a datelor – vei ști ce date intră în organizație și ce faci cu ele. Să fiu mai explicit: care dat produc bani și care date nu produc bani. Ce produse de date se pot face astfel încât angajații să le folosească pentru a produce bani sau pentru a reduce costuri.
Guvernanța datelor duce la strategia de business, duce la data-driven business. Cel mai valoros output al unui proiect de conformitate la GDPR, făcut bine, este partea de guvernanță a datelor – să știm ce date avem, ce putem face cu ele și cum facem bani cu ele.
Fiindcă da, în cazul GDPR, conformitatea poate aduce bani. Conformitatea cu GDPR este o investiție, prin prisma guvernanței datelor ce duce la un data-driven business. And data is the new oil.
