Negli ultimi anni, con il Green Deal europeo, l’UE ha tracciato un percorso ambizioso verso la sostenibilità, puntando a un futuro in cui la crescita economica non dipenda dall’uso intensivo di risorse e l’impatto ambientale sia ridotto al minimo.
La transizione verso un’economia a basse emissioni, equa e resiliente, richiede però un approccio che vada ben oltre il solo aspetto ambientale. Oggi, la sostenibilità si misura, infatti, su tre pilastri fondamentali: ambientale, sociale e di governance (ESG).
Le imprese sono quindi chiamate a rispondere a una nuova serie di aspettative, non solo in termini di riduzione delle emissioni, ma anche nel garantire trasparenza, etica e responsabilità sociale, adottando una visione di lungo termine che includa la gestione sostenibile delle risorse, la tutela dei diritti umani e la creazione di strutture di governance capaci di affrontare i rischi globali.
Per promuovere appunto trasparenza e responsabilità in questi ambiti, il legislatore europeo ha recentemente emanato, tra le altre normative, anche la Corporate Sustainability Reporting Directive (Direttiva (UE) 2022/2464, nota come “CSRD”), recepita in Italia con il D.lgs. n. 125/2024, che impone a grandi imprese, gruppi societari e PMI quotate (escluse le microimprese) di rendicontare non solo le proprie performance economiche, ma anche l’impatto sociale, ambientale e di governance. A partire da quest’anno, e fino al 2028, le aziende soggette a tale direttiva dovranno predisporre rapporti di sostenibilità, in alcuni casi anche consolidati, per rispondere agli obblighi di trasparenza e monitoraggio.
All’interno di questo quadro complesso, e in considerazione di un’economia sempre più digitalizza, anche la gestione dei dati, inclusi i dati personali, assume una rilevanza specifica per migliorare il profilo ESG delle imprese.
Il presente contributo si pone l’obiettivo di riassumere brevemente i motivi di questa crescente importanza, con un’attenzione particolare ai criteri sociali e di governance contemplati dalla normativa e ai collegamenti che una gestione responsabile dei dati ha con gli stessi in termini di sostenibilità aziendale.
Ma facciamo chiarezza prima su alcuni concetti chiave.
ESG: di che cosa si tratta?
La sostenibilità si fonda su tre fattori, noti come fattori ESG (Environmental, Social, Governance) che comprendono una serie di informazioni da raccogliere e che corrispondono, rispettivamente, alle tre componenti dell’acronimo:
- “Environmental”: concerne l’impatto di un’impresa sull’ambiente, valutato secondo criteri quali l’impronta ecologica dell’azienda;
- “Social”: attiene all’impatto e alla responsabilità sociale dell’impresa, esaminando criteri come la diversità, il rispetto dei diritti umani, l’assenza di discriminazioni, le relazioni con i dipendenti, la responsabilità verso la comunità (ad es. consumatori e/o utilizzatori finali soggetti a impatti rilevanti causati dalle operazioni proprie o lungo la catena del valore);
- “Governance”: coinvolge la struttura di governance dell’azienda, la trasparenza, l’etica e la lotta alla corruzione.
Ma perché la privacy è importante in ambito ESG e in che modo i due concetti sono tra loro collegati?
ESG e protezione dei dati personali: aspetti complementari
Per valutare il livello di sostenibilità delle imprese, gli investitori sono sempre più chiamati a prendere in considerazione dei rating ESG volti a fornire un parere sul profilo ESG di un’impresa, valutandone l’esposizione ai rischi per la sostenibilità, nonché l’impatto sulla società e sull’ambiente. Il fatto che un’impresa arrivi ad ottenere un punteggio ESG favorevole comporta infatti diversi vantaggi, quali migliori relazioni con investitori e partner commerciali, una maggior consapevolezza del proprio brand, nonché una maggiore fiducia da parte di clienti, dipendenti e, in generale, della società.
Il rating ESG risulta essere uno strumento di valutazione sempre più diffuso nel mondo degli investimenti e valuta la sostenibilità di un’azienda non solo per quanto riguarda l’impatto dell’impresa sull’ambiente, ma anche sotto gli altri due fattori, quello social e quello di governance.
Di contro, la rendicontazione di sostenibilità formalizza l’impegno delle imprese a comportarsi in modo etico con i loro clienti e dipendenti, nei confronti della società e dell’ambiente, richiedendo alle stesse di procedere ad un’analisi accurata dei rischi e delle libertà. Tra tali rischi rientra anche quello relativo alla privacy e alla protezione dei dati personali (si pensi, ad esempio, agli attacchi informatici), in grado di incidere – oggi ancor più negativamente a causa del diffondersi delle tecnologie dell’intelligenza artificiale (IA) – su ciascuno dei fattori ESG.
Collegamento con il pilastro “Sociale”
La protezione dei dati personali, riguardando la tutela dei diritti e delle libertà individuali, rappresenta una questione sociale significativa. Infatti, una buona gestione dei dati offre ai clienti, consumatori e, in generale, a tutti gli stakeholder di godere di un maggiore controllo sui propri dati, favorisce una maggiore trasparenza e aumenta la fiducia, il valore del brand e l’accountability.
Dal punto di vista sociale, si evidenzia che gli standard EFRAG per la rendicontazione di sostenibilità delle tematiche sociali comprendono anche informazioni connesse ai consumatori e/o utilizzatori finali di servizi che potrebbero avere un impatto negativo sui loro diritti alla riservatezza, sulla protezione dei dati personali, sulla libertà di espressione e di non discriminazione.
Il tema della protezione dei dati personali è di fondamentale importanza nel panorama attuale e la sua centralità all’interno di un’organizzazione è un indicatore chiaro di un approccio responsabile e attento alla tutela dei diritti degli individui.
Quando un’organizzazione pone al centro il trattamento dei dati personali, dimostra infatti un forte impegno verso:
- la conformità alla normativa, mediante l’adozione di misure concrete volte al rispetto delle normative vigenti in materia di protezione dei dati personali, come il Regolamento (UE) 679/2016 (“GDPR”) in Europa;
- la trasparenza, mediante un’informazione chiara e completa nei confronti degli interessati (utenti, dipendenti, clienti, fornitori) sulle modalità di raccolta, utilizzo e conservazione dei loro dati personali;
- la sicurezza, mediante l’implementazione di misure tecniche e organizzative adeguate a proteggere i dati personali da accessi non autorizzati, perdite, distruzioni o alterazioni.
In tal senso, è evidente che, se le imprese affrontano le questioni relative alla privacy e alla protezione dei dati personali, aderendo ai principi sanciti dal GDPR, tali iniziative possono avere un impatto positivo sul proprio rating ESG.
Per fare un esempio, una violazione significativa del GDPR, come un data breach causato da un errore umano, può avere un impatto rilevante sulla reputazione di un’azienda e, di conseguenza, sul suo rating ESG, in quanto una violazione dei dati personali:
- incide direttamente sulla sfera sociale, minando la fiducia dei clienti e dei dipendenti. Un’azienda che non è in grado di proteggere i dati personali dei suoi utenti dimostra infatti una scarsa attenzione ai diritti fondamentali delle persone e può essere percepita come socialmente irresponsabile;
- evidenzia carenze nei sistemi di controllo interno e nella gestione dei rischi. Gli investitori, sempre più attenti ai fattori ESG, tenderanno, in questo caso, a evitare aziende con una governance debole.
Oltre all’impatto reputazionale, un data breach potrebbe anche comportare sanzioni economiche significative. Questi fattori potrebbero incidere negativamente sulla performance finanziaria dell’azienda e, di conseguenza, sul rating ESG.
Collegamento con il pilastro “Governance”
L’ulteriore fattore da prendere in considerazione per il calcolo del rating ESG ha a che fare con la governance aziendale. Si tratta dell’insieme di processi e di regole aziendali che caratterizzano una società. In questo caso, gli elementi che vengono presi in considerazione possono essere i più differenti quali, a titolo esemplificativo e non esaustivo, il livello di trasparenza, la diversità del consiglio, la presenza di efficaci sistemi per la gestione del rischio, la promozione di una forte etica aziendale e lo sviluppo di una cultura organizzativa di qualità.
Infine, programmi avanzati di governance dei dati, quali policy di sicurezza informatica volte a tutelare l’integrità, la riservatezza e la disponibilità dei dati e delle informazioni, compresa una migliore gestione dei diritti degli interessati, rafforzano la conformità e l’approccio alla gestione dei rischi e dei controlli e riducono l’entità e la rilevanza dei danni in caso di incidenti. Inoltre, in un’ottica di accountability, tali policy devono necessariamente essere accompagnate da misure tecniche e organizzative adeguate, volte a monitorare e controllare attivamente tali attività.
Collegamento con il pilastro “Ambiente”
Sebbene il collegamento tra protezione dei dati e ambiente non sia diretto, esistono tuttavia delle implicazioni indirette. La raccolta, gestione, elaborazione e archiviazione di un numero sempre più elevato di dati è in grado di determinare, infatti, un elevato impatto ambientale dovuto all’esigenza di un consumo sempre maggiore di energia. Ciò è evidente se si pensa all’addestramento dei modelli di IA generativa, i cui algoritmi necessitano di un ampio quantitativo di dati.
Ad esempio, è stato dimostrato che per l’addestramento di ChatGPT-3 sono stati utilizzati 3 milioni e mezzo di litri d’acqua, consumando 1.3 gigawatt all’ora[1]. Si tratta di numeri particolarmente elevati, soprattutto se si tiene in considerazione che il modello è stato addestrato utilizzando data center statunitensi particolarmente efficienti.
In tale ottica, sarà dunque necessario automatizzare i processi, ricorrere ad attività di audit e di razionalizzazione, così da ridurre il numero dei dati archiviati e conseguentemente, generare un minor impatto sull’ambiente.
Principi e adempimenti del GDPR che possono venire in rilievo
Attualmente non esistono principi univoci e sufficientemente chiari su ciò che le imprese dovrebbero ricomprendere nella propria rendicontazione di sostenibilità in merito ai dati personali. Si pensi, ad esempio, allo standard 418, denominato “Privacy dei clienti”, definito dal Global Reporting Initiative (“GRI”), un’organizzazione no-profit internazionale che fornisce standard univoci, che vengono utilizzati dalle organizzazioni di tutto il mondo, per misurare la compliance ESG delle aziende e, pertanto, per misurare e comunicare (con la massima trasparenza) la performance in termini di sostenibilità. Gli standard forniti dal GRI vengono richiamati anche dalla CSRD.
In particolare, il GRI 418 richiede all’organizzazione di esaminare le informazioni relative al numero totale di reclami fondati ricevuti in merito a violazioni della privacy dei clienti, nonché il numero totale di casi accertati di violazioni, furti o perdite di dati personali dei clienti.
È evidente che ciò non possa essere considerato sufficiente al fine di garantire il rispetto del GDPR, il quale impone il rispetto di diversi principi, obblighi e adempimenti.
Nello specifico, ai fini che qui interessano e, dunque, per poter avere un impatto positivo sul rating ESG di un’impresa dovranno essere presi in considerazione:
- il principio di trasparenza (art. 5, paragrafo 1, lett. a) del GDPR), in base al quale le imprese devono fornire a tutti i soggetti interessati informazioni chiare su come vengono trattati i loro dati personali. Da tale principio, discendono, dunque, precisi obblighi informativi volti ad accrescere la fiducia dei clienti, dei dipendenti e degli stakeholder, generando conseguentemente un impatto positivo sul rating ESG;
- il principio di minimizzazione dei dati (art. 5, paragrafo 1, lett. c) del GDPR), in base al quale possono essere trattati solo dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Il rispetto di tale principio, di fatto riducendo il quantitativo di dati che possono essere oggetto di trattamento, in ambito ESG, può ridurre l’impronta di carbonio dell’impresa, migliorando la gestione, l’archiviazione dei dati e la loro sicurezza;
- il principio di limitazione del periodo di conservazione dei dati (art. 5, paragrafo 1, lett. e) del GDPR), in base al quale i dati devono essere conservati in modo tale da consentire l’identificazione degli interessati per un arco temporale non superiore al conseguimento delle finalità per le quali sono trattati.
Ciò implica che, qualora tali dati non siano più necessari, essi dovranno essere cancellati. Anche questo principio consente di ridurre l’impatto ambientale dell’impresa; cancellando i dati non più necessari, risulteranno ridotti sia i consumi relativi all’infrastruttura server sia i costi relativi ai servizi in cloud;
- la protezione dei diritti degli interessati e gestione delle relative istanze (artt. 15-22 del GDPR). Gli interessati godono di diversi diritti, quali il diritto di accesso, rettifica, cancellazione, limitazione di trattamento, portabilità e opposizione. La previsione di modalità automatizzate e di una procedura online attraverso cui inoltrare tali richieste potrebbe non solo ridurre il quantitativo di carta utilizzato, ma rendere i processi interni più efficienti impattando positivamente sui fattori social e governance;
- il principio di privacy by design e privacy by default (art. 25 del GDPR). In conformità a tali principi, al momento di determinare i mezzi del trattamento e durante il trattamento stesso, l’impresa – in qualità di titolare del trattamento – dovrà implementare misure tecniche e organizzative adeguate per (i) attuare efficacemente i principi di protezione dei dati e integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati; (ii) garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Implementando tali principi, le imprese prevengono potenziali usi impropri dei dati, incrementando così la fiducia di tutti gli stakeholder.
I principi elencati devono essere letti in un’ottica di accountability (artt. 5 e 24 del GDPR): le imprese devono essere in grado di dimostrare la conformità al GDPR. Ciò si traduce nella documentazione di pratiche e procedure di trattamento dei dati, volte a disciplinare la materia e a prevenire e mitigare i potenziali rischi. In tale ottica, ad esempio, sarà fondamentale dotarsi di una procedura di gestione delle violazioni di dati personali (c.d. data breach), in modo da garantire la capacità di minimizzare i rischi, rispondere rapidamente e informare adeguatamente le parti interessate. Ciò potrà avere un notevole impatto sul rating ESG in quanto è in grado di rafforzare le pratiche di governance, promuovere la fiducia dei clienti, dipendenti e stakeholder e contribuire alla sostenibilità ambientale, potendo potenzialmente ridurre interventi correttivi complessi e dispendiosi.
Inoltre, uno strumento utile sia in materia di protezione dei dati personali che di sostenibilità potrebbe essere la valutazione d’impatto sulla protezione dei dati ex art. 35 del GDPR (Data Protection Impact Assessment – “DPIA”). In ambito ESG, infatti, la DPIA potrebbe rendersi utile poiché (i) migliora la conformità e la trasparenza, che costituiscono aspetti cruciali della governance, (ii) protegge i diritti e le libertà degli individui, rafforzando la responsabilità sociale dell’impresa, e (iii) contribuisce alla riduzione dell’impatto ambientale attraverso una gestione dei dati efficiente e sostenibile.
Il framework ESG e la DPIA possono essere utilizzati come strumenti per rendere trasparenti e misurabili gli sforzi di un’azienda in materia di sostenibilità. In questo modo, l’azienda può infatti dimostrare ai propri stakeholder di essere impegnata a operare in modo responsabile e rispettoso dell’ambiente e delle persone.
Infine, per migliorare il rating ESG, sarà altresì necessario verificare e garantire che la protezione dei dati personali sia assicurata lungo tutta la catena del valore dell’impresa titolare del trattamento. Ciò in quanto, ai sensi della normativa applicabile, la rendicontazione di sostenibilità non riguarda solo l’impresa che la predispone ma richiede di includere anche informazioni sugli impatti, i rischi e le opportunità rilevanti legati all’impresa attraverso i suoi rapporti commerciali, sia diretti che indiretti, lungo la catena del valore, a monte e a valle. In termini pratici, ciò corrisponde, ad esempio, all’adozione di una procedura di prevalutazione dei fornitori che con cui l’impresa intende avviare rapporti commerciali.
Il possibile impatto dell’utilizzo di sistemi di IA
La dilagante diffusione dei sistemi di IA ha portato il legislatore europeo ad adottare, lo scorso 24 maggio 2024, il Regolamento (UE) 2024/1689 sull’intelligenza artificiale (“AI Act”). Seppur i tempi di applicazione dell’AI Act siano lunghi e, quindi, le società abbiano tempistiche diverse per adeguarsi alla normativa (sulla base di diversi fattori, tra cui il livello di rischio individuato), molte società hanno già iniziato a porre in essere le attività necessarie per conformarsi alla normativa.
Uno degli strumenti introdotto dall’AI Act è la valutazione d’impatto sui diritti fondamentali per i sistemi di IA ad alto rischio (Fundamental Rights Impact Assessment – “FRIA”), finalizzata a garantire che lo sviluppo e l’utilizzo dei sistemi di IA avvenga nel pieno rispetto dei diritti fondamentali delle persone.
Da questo punto di vista, l’AI Act, la CSRD e il GDPR, ma anche la Direttiva (UE) 2024/1760 relativa al dovere di diligenza delle imprese ai fini della sostenibilità (“CSDDD”), si concentrano sulla protezione dei diritti fondamentali.
La CSDDD, ad esempio, mira ad affrontare gli impatti negativi delle attività aziendali sui diritti umani (e sull’ambiente), assicurando che le imprese dell’Unione europea operino in modo responsabile sia nell’ambito delle proprie attività che nelle attività dell’intera catena del valore. In particolare, la CSDDD – che si applica anche al settore tecnologico privato – impone alle imprese interessate l’obbligo di effettuare una due diligence sui diritti umani al fine di identificare, valutare e gestire i rischi di violazione dei diritti umani.
L’importanza di un approccio olistico
Alla luce delle considerazioni esposte, emerge con chiarezza come la protezione dei dati personali rappresenti un elemento imprescindibile nella valutazione della sostenibilità aziendale. L’integrazione dei principi del GDPR all’interno delle strategie ESG non solo risponde a un obbligo normativo, ma rappresenta un’opportunità per le imprese di rafforzare la propria reputazione e competitività sul mercato globale.
La sinergia tra normative come il GDPR, la CSRD, l’AI Act e la CSDDD sottolinea l’importanza di un approccio olistico che contempli la tutela dei diritti fondamentali, la responsabilità sociale e la sostenibilità ambientale. In particolare, la gestione etica e responsabile dei dati personali si rivela fondamentale per costruire rapporti di fiducia con gli stakeholder e per mitigare i rischi associati a potenziali violazioni.
Le imprese sono dunque chiamate a sviluppare sistemi di governance dei dati avanzati, adottando misure tecniche e organizzative adeguate che garantiscano trasparenza, sicurezza e conformità lungo l’intera catena del valore.
Note
[1] Making AI less “thirsty”: uncovering and addressing the secret water footprint of AI models, di P. Li, J. Yang, M. A. Islam, S. Ren, ottobre 2023, in PICCASO PRIVACY LABS, White paper – Explaining the role of privacy in ESG.
