Estate turbolenta, questa, per le aziende, al centro – loro malgrado – di eventi che, uniti dal fil rouge della protezione dei dati personali di clienti e consumatori, richiedono riflessioni ulteriori che toccano il nucleo stesso delle attività aziendali.
A fine giugno, una imponente operazione, denominata Operazione Data Room, della Polizia Postale e delle Comunicazioni, coordinata dalla Procura di Roma, rivela che un milione e 200 mila dati riservati delle utenze telefoniche Tim venivano venduti ogni anno da dipendenti a call center compiacenti. Il bottino, pari a svariate migliaia di euro, veniva poi spartito tra quelli che sono stati definiti “operatori infedeli” e i rivenditori di dati.
A metà luglio, il Garante Privacy(1) comunica la notizia delle proprie attività di controllo nei confronti degli operatori telefonici sulla scia delle numerosissime segnalazioni ricevute da consumatori esasperati dalle operazioni di “marketing selvaggio” delle compagnie telefoniche medesime. Gli accertamenti che ne conseguono mettono in luce diversi gravi illeciti nella filiera dei partner commerciali degli operatori, anche con impropria attivazione di contratti o uso di dati personali acquisiti illegittimamente (per esempio, senza consenso).
È del 16 luglio, infine, l’attesa pronuncia della Corte di Giustizia Europea che invalida il Privacy Shield(2), ossia la decisione di adeguatezza 2016/1250 della Commissione Europea sulla protezione offerta dal “regime dello scudo” UE-USA per la privacy. La sentenza lascia un vuoto di protezione per i trasferimenti oltreoceano dei dati personali di cittadini europei: che cosa accadrà nel prossimo futuro ancora non è chiaro. Nel mentre, le aziende europee che si avvalgono di applicazioni o servizi forniti da imprese statunitensi finora rientranti sotto il Privacy Shield vivono un momento di forte incertezza.
Partiamo dal primo caso, l’Operazione Data Room. Quello che potrebbe sembrare solo un danno, per quanto vistoso, alla privacy e protezione dei dati personali degli utenti oggetto di compravendita, nasconde in realtà notevoli insidie per l’azienda. Oltre al non trascurabile danno di immagine, si profilano all’orizzonte ingenti danni economici difficili da calcolare nell’immediato, ma che non tarderanno di presentare il conto nei prossimi mesi: i dati venduti hanno portato o porteranno alla conclusione di contratti con compagnie telefoniche concorrenti, che sottrarranno clienti e le relative entrate. Perdite non indifferenti che, per le circostanze in cui si sono verificate, mettono l’accento sull’importanza di adottare adeguate misure di sicurezza, tecniche e organizzative, oltre che di formare i propri dipendenti.
Le misure di sicurezza sono intese principalmente in ottica di prevenzione: l’azienda dovrebbe porre in essere tutti gli accorgimenti utili ad evitare che si verifichino trattamenti non autorizzati o illeciti e perdita, distruzione o danno accidentali («integrità e riservatezza», secondo l’art. 5, par. 1, lett. f del GDPR). Rientrano in questa categoria le nomine a responsabili del trattamento che individuano i soggetti (interni, e non) autorizzati ad accedere ai dati personali (in primis, ma non solo, gli amministratori di sistema).
Quante aziende sanno dire con certezza a quali dati personali accedono i propri dipendenti, con quali privilegi e nell’ambito dello svolgimento di quali mansioni? Vi è consapevolezza del rilievo di tali informazioni anche ai fini di “cura”, quando cioè una situazione pericolosa potrebbe essersi verificata (ad esempio, in caso di sospetto data breach)?
Gli altri due avvenimenti mostrano, similmente, come il governo della propria catena di fornitura sia importante ben al di là di quanto richiesto dal GDPR. Ricordiamo infatti che la responsabilità dell’azienda titolare del trattamento nei confronti dei soggetti interessati, la cosiddetta accountability, si estende all’intera supply chain e si traduce nella necessità di scegliere fornitori che diano garanzie in materia di protezione dei dati personali, con i quali stipulare accordi per il trattamento dei dati, impartire istruzioni per il trattamento e, in particolare, richiedere l’adozione di misure di sicurezza adeguate. La mappatura dei fornitori serve a valutare e mitigare il rischio privacy che questi rappresentano per l’azienda, soprattutto se si tratta di fornitori critici per il business (pensiamo ai sistemi di gestione di CRM). Oltre a garantire l’accountability del titolare, è anche il primo passo per presidiare il perimetro esteso dell’azienda: in altre parole, per conoscere bene i rischi e predisporsi per il loro possibile contenimento. Questa attenzione alla supply chain è dunque essenziale sia per avere sotto controllo i touchpoints che sono mediati da fornitori e che espongono maggiormente l’azienda, sia per sapere se i dati dei propri clienti, trattati da fornitori, vengono trasferiti in Paesi che non garantiscono un livello di protezione equivalente a quello europeo.
Quante aziende hanno riconosciuto e colto, negli adempimenti richiesti dal GDPR, l’opportunità data dall’avere il controllo della propria catena di fornitura, soprattutto in termini di prevenzione di e protezione dai rischi, anche di natura economica? Non si tratta forse di un, seppur indiretto, vantaggio competitivo?
In tutti e tre i casi sopra esposti, è dunque in gioco la sostenibilità stessa dell’azienda che, tenuta ad una corretta gestione dei dati personali attraverso la conformità alle prescrizioni normative (ad es., la somministrazione di informative e la tenuta dei registri del trattamento aggiornati), è incoraggiata a prendere in mano il governo del proprio territorio: flussi di dati e informazioni, attori interni ed esterni con diversi ruoli e responsabilità (board, dipendenti, fornitori, clienti, autorità, istituzioni), strategie e tattiche, processi e tecnologie. Tutti questi elementi, interagendo, compongono l’ecosistema aziendale, che, come gli ecosistemi naturali, è alla continua ricerca di un equilibrio tra atteggiamenti di chiusura e protezione (di asset, strategie, mercato) e atteggiamenti di apertura e di condivisione e collaborazione (stimolate dalla trasformazione digitale).
Ecco dunque che, a due anni dall’entrata in vigore del GDPR, il governo dei dati personali si presenta solo in parte come una questione di diritti e libertà delle persone. La realtà è che il regolamento europeo fornisce indirettamente alle aziende modi per tornare in controllo di dati e informazioni, per esercitare responsabilmente il potere decisionale, per stabilire strategie sostenibili sul lungo termine, per coinvolgere le proprie persone attraverso la formazione e l’assunzione di responsabilità nello svolgimento delle mansioni, per stabilire e alimentare un rapporto trasparente e basato sulla fiducia con i propri clienti, per porre maggiore attenzione al perimetro aziendale che si estende ben al di là delle mura dell’ufficio.
Solo le aziende che terranno conto di tutte queste dimensioni, riusciranno ad essere flessibili in tempi di grandi cambiamenti e a governare l’innovazione, partendo dai processi e dai rapporti con dipendenti, clienti e fornitori.
Photo 1 by Javier Allegue Barros on Unsplash; Photo 2 by Patrick Hendry on Unsplash.