Dopo qualche anno di rodaggio, finalmente nelle aziende più strutturate inizia ad entrare a sistema la cultura della compliance in materia di protezione dei dati personali, lungo tutta la cosiddetta supply chain.
Scriviamo “inizia ad entrare…” perché i nobili – e per una volta molto concreti – intenti del GDPR per ora si estrinsecano per lo più in adempimenti più o meno formali: istruzioni riportate nei data processing agreements, sempre più frequenti moduli di prequalifica dei fornitori/partners, sempre meno rari audit concentrati, spesso, sulle misure tecniche poste a difesa del perimetro cibernetico.
Protezione dei dati personali: l’evoluzione delle aziende italiane in tema di compliance
Le basi, insomma.
In soldoni, quindi, le aziende italiane si stanno finalmente attivando (a “soli” cinque anni e mezzo dalla piena efficacia del GDPR) per garantirsi la conformità rispetto ad aspetti legati prevalentemente alla accountability, al fine di non incorrere in sanzioni. Lato positivo, si stanno sempre di più orientando sulla implementazione di soluzioni e misure che impattano sulla sicurezza delle informazioni personali trattate direttamente o in via delegata.
Dalla nostra esperienza “sul campo” possiamo testimoniare la seguente evoluzione.
Fino ad un paio di anni fa inviare una nomina a responsabile ex art. 28 ad un partner portava spesso a dover gestire curiose fasi interlocutorie per convincere il fornitore della doverosità della incombenza e di vari altri aspetti a corollario.
Oggi, in realtà, a parte qualche ciclico dubbio rispetto ai ruoli privacy effettivamente ricoperti, le problematiche appena citate sembrano essere un retaggio del passato, con qualche strascico di mancata restituzione del DPA sottoscritto o cose del genere.
Robetta, insomma, rispetto alla “guerra” dei primi due o tre anni di GDPR che tutti abbiamo vissuto.
Ma siamo ancora lontani dal vero spirito del GDPR
È però evidente a chiunque operi come privacy specialist, che si è ben lontani da quel rapporto di delega efficace, “tailor made” e ben monitorata che, invece, è richiesto dal GDPR.
Sono davvero poche le strutture che riescono ad auditare i responsabili del trattamento, in una qualunque forma e periodizzazione che sia diversa da un modulo di autovalutazione una tantum (anche esso non scontato né particolarmente diffuso).
Ulteriore “step” apprezzato da chi con le aziende lavora gomito a gomito ogni giorno, è l’inserimento di moduli di prequalifica all’interno delle piattaforme di procurement o di iscrizione ad albo fornitori.
Anche esse, in realtà, spesso si rivelano ancora un timido adempimento formale, cui molto molto raramente segue un reale assessment o un audit di verifica rispetto a quanto dichiarato.
Per farla breve, per la maggior parte delle aziende, la compliance in materia di protezione dei dati personali propria e della supply chain è ormai sempre più avvertita come una necessità, ma è tutt’ora vissuta in chiave di “mera” accountability.
Come accade in moltissime situazioni, è forse utile, però, osservare la strada imboccata da chi si è imposto come “innovatore”, nel mercato. La strada di chi, storicamente e con risultati incontestabili, è sempre stato “avanti”.
Aziende come Apple e Samsung hanno cambiato il loro approccio al marketing.
Sino a pochissimi anni fa, le loro pubblicità esaltavano solo le qualità tecniche dei loro devices.
Ultimamente abbiamo invece assistito ad un cambiamento epocale: si parla di capacità di proteggere le informazioni personali che gli utenti affidano ad essi.
La privacy come leva per conquistare la fiducia dei propri clienti
Ma c’è chi è andato ancora oltre.
Se i players sopra citati (e molti altri) puntano sul concetto di “affidateci i vostri dati e noi sapremo proteggerli al meglio”, altri hanno scelto una strada ancora più audace: “siete voi a scegliere se e quali informazioni affidarci. Noi vi informeremo al meglio e vi daremo il controllo di ciò che ci affidate. La possibilità di cambiare la vostra scelta in qualsiasi momento”.
L’esempio di Ikea
È, ad esempio, il messaggio di IKEA che, in un celebre video, illustra quella che da quel momento in poi è diventata la sua nuova politica in materia di trasparenza.
Questa politica, tra le altre cose, si è concretizza nella sostituzione della sua piattaforma di acquisti online con una nuova release disegnata in chiave di privacy by design con totale controllo, da parte dell’utente, della quantità di informazioni rilasciate durante la navigazione e dei trattamenti in corso.
Anche chi viene percepito, da sempre, come “dal lato oscuro della forza” ha in realtà fatto passi in avanti non indifferenti e, potremmo dire, pionieristici, rispetto alla trasparenza.
Le scelte di Meta e Google
Meta, con il suo “perché vedi questa inserzione” o la scelta, recente, di agevolare ulteriormente agli utenti l’opposizione all’utilizzo dei propri dati personali per l’addestramento di sistemi di intelligenza artificiale.
Senza contare il pionieristico studio rispetto all’utilizzo dei #dati sintetici e non dati personali per l’addestramento di tali sistemi.
Google, con le sue politiche volte a garantire una navigazione più sicura per gli utenti di ogni età.
E l’elenco, fortunatamente, si allunga sempre di più.
Tutte queste realtà imprenditoriali hanno iniziato a puntare – in modo più o meno coerente, ma sicuramente netto ed evidente – sul conquistare la fiducia dei consumatori utilizzando come leva la capacità di proteggere i dati personali che essi decidono di affidare e di offrire loro trasparenza e controllo su tali dati.
Quali partner sceglieranno queste imprese per far parte della loro supply chain?
Probabilmente quelli che condivideranno un approccio simile al loro.
Quelli che sapranno andare oltre la compliance intesa come mera incombenza da sostenere per non incorrere in sanzioni.
La privacy come leva di business: come fare e da dove iniziare
Quelli che sceglieranno di fare della “privacy” una leva di business.
Come farlo
Sicuramente non con una azione di mera facciata o, come si suol dire, di puro marketing.
Probabilmente pochi “fails” sono così “epic” come quelli che consistono nel tradire la fiducia dei propri clienti in merito ad aspetti su cui ci si era vantati di essere “al top”.
Se si decide di fare della capacità di proteggere le informazioni che ci vengono affidate (da committenti o da utenti/clienti) un nostro punto di forza e di voler pubblicizzare questo punto di forza, allora occorre essere certi di aver fatto davvero tutto il possibile…by design e by default.
Da dove iniziare
Da un Modello Organizzativo Privacy fatto di procedure e policies non solo efficaci ma anche efficienti (che, quindi, non si rivelino bloccanti, ingessanti, inapplicabili) e che assicuri il rispetto di tutti i principi e gli obblighi di legge.
Dal raggiungimento di un elevato livello di awarness (consapevolezza) di tutta la struttura rispetto al contenuto di tali policies e procedure.
Da un modello di gestione del flusso di istruzioni (data processing agreements, comunicazioni in caso di data breach o ricezione di istanze di esercizio dei diritti da parte di interessati) che, lungo tutta la filiera del trattamento, assicuri interlocuzioni agevoli e veloci.
Da un modello di gestione delle verifiche passive (quindi imposte dai titolari che delegano i dati) e attive (quindi imposte a chi tratta dati per nostro conto) che sia efficace nel garantire i livelli di conformità imposti.
Oltre alla formazione di cui sopra, sarà bene anche “catechizzare” con attenzione, rispetto ai livelli di compliance raggiunti, quelle figure che, in azienda, sono preposte a “pubblicizzare” i punti di forza (area commerciale ed area marketing).
Conclusioni
Il tutto senza dimenticare le basi di funzionamento di qualsiasi processo, dettate, tra gli altri, dal famoso ciclo di Deming che prevede, al fine specifico di promuovere una cultura della qualità che è tesa al miglioramento continuo dei processi e all’utilizzo ottimale delle risorse, che ciascun processo segua i seguenti step: pianificazione del processo, attivazione del processo, controllo del processo, azioni correttive sul processo.
