Il 2019 di Google in Europa s’è aperto, com’è ben noto, con la stangata da 50 milioni di euro inflitta dalla Cnil-Commission nationale de l’informatique et des libertés, l’autorità nazionale francese per la protezione dei dati. Una sanzione comminata per inadempienza nei confronti di alcuni obblighi prescritti dal GDPR, e, in particolare, per la mancanza di una valida base giuridica per trattare i dati personali degli utenti a fini pubblicitari mirati. Da questo esempio si rileva quale possa essere il significato del GDPR per imprese e organizzazioni…
“E se la Cnil avesse invece vietato a Google il trattamento dei dati personali? – è la domanda che si è posto Sergio Fumagalli, membro del Comitato scientifico del Clusit-Associazione italiana per la sicurezza informatica, nel Convegno di presentazione dei dati dell’Osservatorio Information Security & Privacy del Politecnico di Milano – Quale sarebbe stato l’andamento del gruppo americano in Borsa? Non è detto, insomma, che la sanzione pecuniaria sia sempre il provvedimento peggiore per le aziende”.
GDPR e imprese: l’accountability dell’azienda e la consapevolezza dell’imprenditore
L’entrata in vigore del GDPR ha significato per le imprese essere di fronte a tutta una nuova serie di rischi legati a una malagestione del trattamento dei dati personali dei propri utenti in rete, che siano fornitori, clienti o consumatori. Cosa devono quindi fare le aziende per essere realmente compliant con il GDPR?
Un’eccessiva sottovalutazione degli obblighi di compliance al regolamento europeo sulla privacy può trasformarsi in una minaccia per la competitività aziendale, oppure provocare cause giudiziarie o comportare danni reputazionali e finanziari, oltre che operativi.
“Soprattutto in una PMI– ha sottolineato Fumagalli –, l’approccio più o meno equilibrato per affrontare questi rischi deriva dall’atteggiamento dell’imprenditore, e dalla sua consapevolezza: di fronte all’Autorità garante della privacy funzionano senz’altro meglio la buona fede, la determinazione ad agire correttamente, a non sottrarsi anche alle carenze che vengono a galla e a lavorare proattivamente. In sintesi, l’accountability dell’azienda deve andare di pari passo alla consapevolezza del titolare, che va reso edotto dei rischi che corre e delle responsabilità che deve assumersi affinché ne possa rispondere”.
Il rischio giudiziario per le imprese
Ben diverso è il rischio giudiziario, in cui l’azienda ha come referente la figura del giudice, anziché l’Autorità garante della privacy.
“Un giudice – ha ricordato Fumagalli – agisce sul fatto e applica la legge vigente. L’obiettivo del Garante, per lo più, è di fare in modo che i dati personali vengano effettivamente protetti nell’operatività quotidiana del mondo reale, delle aziende così come sono, con i vincoli che di fatto hanno, per grandi o piccole che siano. E quindi interviene su un’azienda anche in una logica di miglioramento, e magari preferisce inviare un’ingiunzione prima ancora di sanzionare. Il giudice, invece, si trova di fronte a due parti – una che si dichiara lesa e l’altra, potenzialmente, che ha operato un danno – e deve decidere, in base alla normativa in vigore, chi ha ragione e chi ha torto. Il rischio giudiziario si fa più elevato in caso di class action”.
Un’eventualità da tener presente da parte delle aziende che operano nei mercati internazionali, dov’è più diffusa che in Italia, e soprattutto nei Paesi di tradizione anglosassone e in Nord Europa. “Inoltre – ha proseguito Fumagalli – in questo caso, l’onere della prova è invertito: a rendere conto del danno in questione dev’essere l’accusato, e non chi l’ha subìto. Per prevenire questo tipo di rischio, bisogna salvaguardare innanzitutto i contatti con gli utenti interessati. Qui sta il punto-chiave da presidiare: la denuncia può partire da un interessato che ha subìto un danno per opera di un trattamento mal fatto o comunque non rispondente ai principi normativi. Bisogna quindi ridurre la probabilità che qualcuno degli utenti si senta danneggiato, allineando le attività di tutti coloro che in azienda si occupano della gestione dei contatti in digitale, dalla comunicazione al marketing alle vendite”.
La normativa del GDPR non pregiudica la possibilità di profilare gli utenti: ha il significato, semmai, di porre dei vincoli su come farlo, su come gestire i rapporti con le persone che vengono profilate, su come presidiare la sicurezza dei loro dati. “Bisogna quindi restare all’erta non appena qualche interessato manifesti il proprio ‘fastidio’ e chieda all’azienda di attivarsi in proposito (per esempio: di cancellarlo dalla distribution list) perché magari può essere un primo segnale di reazione, che, se sottovalutato o trascurato, può anche sfociare in un ricorso all’autorità giudiziaria”.
GDPR e obblighi per le imprese: la responsabilità della supply chain
L’articolo 28 del GDPR ha un importante significato perché introduce il seguente cambiamento: la contrattualizzazione delle responsabilità reciproche del titolare e del responsabile del trattamento e la responsabilità solidale di entrambi in alcuni casi
“Si tratta – ha notato Fumagalli – di una potentissima spinta a investire gli altri componenti della supply chain della parte di responsabilità che compete a loro. Non va considerata soltanto come una forma di autoprotezione del titolare ‘principale’, ma va vista anche in quest’altra logica: non ci si può esimere dal collaborare insieme per far crescere l’ecosistema in cui si lavora. Partendo, per esempio, già a livello d’iscrizione all’albo nella selezione dei fornitori, e operando poi in termini proattivi anche nei confronti della filiera”.
In parallelo, e viceversa, ogni componente della filiera si deve porre il problema dell’adeguamento al GDPR anche nei confronti degli altri stakeholder, perché prima o poi l’incapacità di corrispondere agli obblighi contrattuali sul fronte della compliance che un cliente pone a un fornitore, rischia di estromettere quest’ultimo dal mercato. “Soprattutto per le PMI – ha aggiunto Fumagalli – è quindi una fortissima spinta alla crescita della capacità organizzativa. Ed è una strada da cui non ci si può allontanare. Perché non c’è più solo l’effetto GDPR : è evidente a tutti, ormai, che la sicurezza di un’azienda dipende dalla sicurezza della filiera, che la responsabilità del trattamento dei dati privati di un’impresa dipende anche dalle altre aziende della supply chain e che tutto il sistema deve funzionare”.
Cosa significa per le imprese non essere conformi al GDPR
Ma il rischio maggiore, forse, è un altro. Nell’era digitale, la perdita di reputazione sul fronte di Internet porta più velocemente di un tempo a una diminuzione di valore degli asset aziendali. Basti pensare all’operazione di acquisizione di una quota importante di Yahoo nel 2016 da parte di Verizon per 4,8 miliardi di euro, destinata a chiudersi nel marzo 2017. Prima della conclusione della cessione, la diffusione della notizia di un data breach subìto da Yahoo nel 2014 riaprì le trattative sul prezzo, che registrò un calo di 350 milioni di dollari. La perdita di reputazione è stata immediatamente monetizzata.
“L’opinione pubblica, la grande platea dei consumatori e utenti – ha rimarcato Fumagalli – mostra una sensibilità crescente rispetto ai temi della privacy. Magari è ancora nebulosa e incerta, ma sempre più diffusa e le aziende devono imparare a rapportarcisi, anche perché è destinata soltanto ad aumentare e a rafforzarsi. Rispetto al Garante della privacy e al giudice, però, l’opinione pubblica mostra una caratteristica molto particolare: non deve rispondere a nessuno, e quando emette una sentenza, lo fa nell’immediato e senza possibilità di appello. Quando nell’immaginario collettivo un’azienda è collegata a un fatto negativo, la ‘macchia’ non si toglie più, o comunque ci vuole un gran lavoro per eliminarla. Il giudizio dell’opinione pubblica tende, insomma, a essere immediato, irrazionale e definitivo”.
Il caso di Cambridge Analytica è emblematico anche in tal senso: una volta crollata la sua reputazione, ha chiuso il prima possibile, evitando così anche ogni eventuale sanzione e causa giudiziaria per danni.
“Tra le prime dieci società per capitalizzazione alla Borsa di New York – ha sottolineato Fumagalli – sette hanno come core business i dati personali: hanno saputo cogliere al volo le opportunità di guadagno offerte in questo periodo di Far West mondiale sul trattamento della privacy dei dati. Ormai anche qualsiasi azienda manifatturiera, di beni industriali e di consumo, raccoglie più dati possibili su ogni aspetto dell’utilizzo dei propri prodotti e servizi. Del resto, come ha fatto presente Ruth Porat, Chief Financial Officer di Google, i dati dei consumatori, più ancora che come il petrolio del XXI secolo, sono come la luce del sole, perché sono illimitati e rinnovabili”.
Quindi, un titolare dell’azienda e del trattamento dei dati non dovrebbe occuparsi dei soggetti i cui dati sono da tutelare solo perché altrimenti rischia una sanzione, ma perché sono il suo business, e se compromette il rapporto con loro, può venire meno anche il suo business. “Non a caso, fin dall’origine, il cuore del Gdpr è parso l’articolo 25, dedicato alla protection by design: perché pensare all’innovazione in quest’ottica innesca una maggiore capacità di preoccuparsi dei dati dei clienti che comporta investimenti che vanno al di là dell’acquisto di un software, di un device o di una consulenza, ma riguardano l’adeguamento della propria organizzazione. Non c’è modo per le imprese di essere conformi al GDPR se non investendo complessivamente sull’organizzazione, il significato di questa affermazione è che quindi il modo di operare nel quotidiano, la propria struttura, la cultura aziendale, le competenze delle persone, il rapporto con i clienti. In modo da conquistarsi la fiducia di tutti coloro di cui tratto i dati e di mantenerla nel tempo”, ha concluso Fumagalli.