Il settore privato presenta un’ampia varietà di progetti di trasformazione digitale, i quali inevitabilmente coinvolgono attività di trattamento dei dati personali, per cui l’apporto del DPO può essere un elemento strategico di successo se è in grado di assumere il ruolo di facilitatore.
La protezione dei dati personali per una trasformazione digitale sostenibile
I progetti di trasformazione digitale del settore privato, dal momento che realizzano la libertà di iniziativa economica propria del mondo delle imprese, sono accomunati dal presentare un’ampia gamma di spunti, opportunità e rischi che si collegano allo sviluppo e all’applicazione continua di nuove tecnologie, strumenti e metodi. L’innovazione tecnologica, infatti, proprio in ragione di una naturale rapidità di evoluzione, certamente non può essere preveduta ma deve in qualche modo essere governata perché possa trovare un impiego sostenibile innanzitutto dal punto di vista dei diritti umani. Infatti, vista la molteplice varietà di scenari che vengono offerti, è importante tenere conto non tanto di quale possa essere la tecnologia dei mercati futuri ma che la tendenza porta verso orizzonti sempre più data-driven per cui è necessario affrontare il tema di una sostenibilità non più limitata all’ambito dell’impatto ambientale o economico. Ciò comporta dunque l’estensione del concetto di sostenibilità dell’innovazione all’ambito dei diritti umani, tanto nella protezione che nella ridefinizione degli stessi per effetto dei nuovi modelli cooperativi uomo-macchina già proposti dall’industria 4.0 e ancor più rafforzati nei propositi dell’industria 5.0.
Il diritto che viene emblematicamente coinvolto in questi processi è l’identità personale, da doversi considerare nella più ampia e completa accezione possibile e che dunque va a comprendere anche la dimensione digitale o digitalizzata. Qui convivono cause ed effetti, dal momento che tanto ciò che agisce sul digitale quanto ciò che proviene dal digitale ha la capacità di comportare effetti, distorsioni ed evoluzioni. E così, la protezione dei dati personali, nel suo operare un continuo bilanciamento fra diritti e libertà fondamentali reciprocamente contemperati secondo proporzionalità[1], svolge un ruolo essenziale proprio nel mantenere ogni innovazione al servizio dell’uomo.
Rischi e opportunità del trattamento dati nel settore privato
Rispetto all’ambito pubblico, è noto che l’iniziativa imprenditoriale del settore privato gode di una maggiore agilità nell’approccio all’innovazione e alla sperimentazione. Similmente all’ambito pubblico, però, anche il privato rischia di innovarsi – o meglio: ritenere di innovarsi – per strumenti e non per processi. Spesso, seguendo un hype tecnologico e non un vero e proprio progetto di trasformazione. Tutto ciò non fa altro che alimentare l’assenza di consapevolezza del top management, il quale si troverà vittima di decisioni assunte in assenza di una strategia chiara e fondata su analisi di rischi e di contesto. Come è noto, ogni mancanza a livello di governance produce effetti sull’intera organizzazione così come sui beni e sui prodotti che offre o che intende presentare sul mercato.
Se questo è il principale rischio, l’opportunità sta ovviamente nei contrappesi che possono essere predisposti a tale riguardo e che possono far acquisire un vantaggio competitivo a beni e servizi che vengono presentati sul mercato. Fra questi, è proprio la maggiore attenzione all’impiego dei dati personali, la trasparenza nei confronti degli interessati e la capacità di gestione del rischio dei trattamenti possono essere dei fattori critici di successo dell’organizzazione all’interno degli scenari della data economy dal momento che comportano un aumento della fiducia da parte degli stakeholder. Inoltre, tanto la data maturity quanto la compliance sono considerati all’interno delle operazioni di M&A, ad esempio, e dunque impattano significativamente sul valore stesso dell’organizzazione.
La privacy by design nei tavoli di lavoro
Il percorso virtuoso verso un’attuazione il principio di privacy by design non deve pertanto essere assunto solo come parametro di controllo bensì come una vera e propria integrazione del modello di business, soprattutto nel momento in cui vengono affrontati dei percorsi di trasformazione digitale. Insomma: deve essere assunto come una vera e propria “abitudine”. Questa maggiore attenzione alla data protection richiama l’esigenza di coinvolgere nei tavoli di lavoro i professionisti della privacy non solo per ridurre i rischi legali – e dunque comportare comunque un aumento di valore globale degli asset dell’organizzazione – ma anche e soprattutto per individuare e conseguire dei vantaggi competitivi.
La direzione dei lavori del project manager deve così tenere conto della compresenza di diversi esperti ed essere in grado di generare sinergie e contaminazioni reciproche, tenendo bene a mente l’idea di sviluppare progetti innovativi sostenibili dal punto di vista dell’impiego dei dati personali in una continua ricerca di un equilibrio fra gli obiettivi di business e la compliance GDPR. Integrare già in fase di pianificazione un ragionamento orientato al rispetto della normativa in materia di protezione dei dati personali consente infatti di ridurre sensibilmente i costi di sviluppo e attuazione, andando a ridurre azioni correttive successive e, soprattutto, consentendo agli investitori di avere già evidenza di tutti i presidi che si intendono adottare ed implementare.
I tavoli di lavoro così costituiti è bene che siano poi mantenuti anche nelle fasi di realizzazione del progetto e anche successivamente, in modo tale da assicurare un monitoraggio continuo tanto a quanto realizzato, anche mediante ricezione di feedback e apportare i dovuti correttivi se del caso. Per massimizzare l’efficacia dei feedback interni il presupposto essenziale è che sia stata data attuazione ad una politica di sensibilizzazione in materia di protezione dei dati personali, in modo tale che il personale che partecipa alle attività di trattamento sia in grado di segnalare eventuali criticità o anomalie rilevate prima che queste comportino impatti maggiori.
Non è infrequente però che tali attività possano generare conflitti o forti contrapposizioni soprattutto nella definizione di un livello di rischio accettabile per quanto concerne l’impatto nei confronti degli interessati. E qui la presenza del DPO può giocare un ruolo fondamentale in quanto tale figura si può porre come facilitatore del progetto di trasformazione, senza mai snaturare la propria funzione fondamentale di sorveglianza della compliance GDPR e di tutela degli interessati.
Il ruolo di facilitatore del DPO
Dal momento che il DPO gode di una posizione di indipendenza funzionale può – anzi: deve – essere visto come il punto di riferimento per ottenere un chiarimento su tutte le questioni che riguardano le attività svolte sui dati personali, prevenendo così un conflitto fra un comitato privacy e il team di sviluppo, ad esempio. All’interno dei tavoli di lavori non può infatti in alcun modo contribuire a determinare mezzi e finalità del trattamento, ma il rilascio della sua second opinion è un’azione utile per contribuire al gruppo senza però ergersi a leader.
Non solo: l’attività di sorveglianza può così essere efficacemente svolta per apportare correttivi ulteriori e proporre spunti di miglioramento nell’intero corso di formazione del progetto, sollecitando se del caso lo svolgimento di una valutazione d’impatto privacy e monitorandone lo svolgimento. Il rendiconto di tutta l’attività di consulenza e monitoraggio svolta dal DPO è opportuno che sia acquisito da parte dei vertici dell’organizzazione, così da fornire evidenza agli interventi di rafforzamento dell’accountability predisposti e attuati anche in caso di richiesta da parte degli stakeholder esterni per avere conoscenza dello stato dei lavori.
Stante il suo ruolo pivotale, può essere facilmente destinatario degli eventuali feedback non indirizzati ai tavoli di lavoro e avere così la possibilità di condure – o agevolare – tutte le azioni opportune per intervenire sulle criticità segnalate facendo ricorso a evidenze oggettive nonché, soprattutto, alla propria posizione di terzietà e possibilità di richiedere risorse adeguate per lo svolgimento dei compiti in tal senso.
Per svolgere questa tipologia di interventi, ovviamente, il DPO deve possedere non solamente le conoscenze richieste dall’art. 37 GDPR ma anche una serie di abilità trasversali quali la capacità di mediazione e collaborazione, competenze comunicative, iniziativa e gestione dello stress, ad esempio. Infine, è bene ricordare che anche lo svolgimento di questo ruolo deve comunque essere declinato nei modi indicati dall’art. 39 par. 2 GDPR considerando debitamente i rischi inerenti del trattamento, pertanto questo comporta per il DPO l’esigenza di attenzionare con maggiore enfasi tutti quegli ambiti valutati come maggiormente critici nell’intero percorso di trasformazione digitale intrapreso.
Note
[1] Come da considerando n. 4 GDPR.
