Privacy e data protection come fattori di crescita per le imprese. Ecco da dove cominciare per presentarsi in modo distintivo sul mercato, andando oltre la compliance
A diversi anni dall’uscita del GDPR, privacy e data protection continuano a essere le discipline intorno alle quali si concentra l’attenzione del legislatore (nazionale ed europeo), delle Autorità indipendenti, delle Agenzie nazionali per la sicurezza, degli organi giudiziari e delle persone, sempre più sensibili al rispetto dei limiti di trattamento sui propri dati personali. Se il GDPR lascia ancora oggi tantissime questioni irrisolte nei settori economici impattati, la produzione normativa dell’ultimo periodo e le pronunce delle Autorità indipendenti, possono risultare di difficile comprensione per le organizzazioni che non si sono mai avvicinate alla materia, con un crescente rischio di compliance, perdendo interessanti potenzialità di mercato e l’ennesimo treno per la loro crescita. Dall’altro lato, il mercato, le filiere produttive e chi acquista, pretendono sempre di più alti standard di sicurezza per il trattamento dei dati e attribuiscono a ogni attore responsabilità specifiche che richiedono una seria governance, pena – per esempio – la perdita di quote di mercato, difficoltà ad accedere alle gare o scioglimento dei contratti nei casi di incidenti informatici.
La gestione dei dati e delle informazioni che afferiscono alla nostra identità è uno dei principali driver di sviluppo del sistema economico europeo e, per questo, impatta direttamente sulla configurazione delle filiere produttive: è ormai impensabile immaginare un’economia che non tenga conto dei trattamenti di dati personali. Il tempo ha confermato questa impostazione e milioni di imprese oggi sono impegnate nella vendita di prodotti e servizi, ma quante di loro sono consapevoli del prezioso patrimonio che stanno trattando e delle opportunità o rischi legati ai dati? Ogni device che utilizziamo sfrutta le informazioni sul nostro comportamento per offrire esperienze digitali e social sempre più immersive, i dati personali sono il focus di ogni servizio: le imprese sanno proteggerli e valorizzarli? È importante che ogni organizzazione, piccola o grande che sia, svolga un’analisi delle proprie attività individuando quali processi trattano dati personali e come, considerando anche le caratteristiche dei presidi di compliance già presenti (per esempio, i contratti con i clienti o fornitori, le policy pubblicate sui siti web, le informative privacy…).
Privacy e data protection richiedono infatti un articolato apparato di governance che assicuri consapevolezza, presidio di ogni rischio e una rappresentazione dei trattamenti fedele ai processi aziendali. I rischi saranno più elevati se la privacy non viene considerata nella fase di disegno dei processi di trattamento: trattare i soli dati strettamente necessari, definire processi di cancellazione e avere un metodo per valutare i data breach sono solo alcuni esempi su quanto lavoro si debba e si possa fare per rendere più robusti e competitivi i propri prodotti e servizi. Sono numerose le sinergie derivanti dallo sviluppo di prodotti in ottica privacy by design, alcune inattese come l’ottimizzazione dell’uso delle risorse energetiche legato alla minimizzazione nell’utilizzo dei dati.
Naturalmente, occorre investire in un nuovo approccio aziendale, cercando di creare quella cultura sulla protezione e valorizzazione dei dati, spesso non scontata proprio per il timore che richieda un eccessivo dispendio di risorse. Mettere i dati personali al centro dei processi aziendali (e, di conseguenza, le persone) significa ripensare significativamente l’organizzazione delle attività, ma contemporaneamente investire nella loro sicurezza, gestendo con efficacia i normali rischi di impresa e offrendo ai propri stakeholder elementi concreti per essere sicuri dei propri acquisti.
Serena Contu Consiglio Direttivo CLUSIT
