Uso, protezione, circolazione e valorizzazione dei dati – anche diversamente detta “privacy” – oggi anche in relazione allo sviluppo dell’intelligenza artificiale, e sostenibilità ambientale sono mondi sempre più legati e che sempre più richiedono di essere considerati congiuntamente. Per farlo, il coinvolgimento dei Dpo (Data protection officer) nei comitati di sostenibilità deve essere il primo punto nelle agende di aziende ed enti pubblici, sensibilizzando in primis i Consigli di Amministrazioni ed i vertici istituzionali di enti e pubbliche amministrazioni.
È questa una delle più importanti lezioni tratte dallo “State of Privacy 2023”, l’evento organizzato dall’Autorità Garante per la protezione dei dati personali qualche settimana fa, dedicato al dibattito e al confronto attorno a tematiche di assoluta importanza nell’ambito della data economy. Tra queste c’era anche il rapporto tra privacy e sostenibilità. E dal tavolo di lavoro che ho avuto il piacere di moderare, grazie al contributo dei colleghi e professionisti presenti, è emersa la grande importanza, etica e strategica, di trovare un efficacie connubio tra trattamenti di dati e sostenibilità ambientale, per ridurre con adeguati piani di governance e azioni mirate l’impatto sull’ambiente dei trattamenti di dati.
Un’occasione per parlare dei temi che ruotano intorno al mondo Esg, sigla con cui da tempo si indica l’impatto di un business partendo dall’ambiente, la società e la gestione d’impresa (Environmental, Social, Governance). Da diversi anni e sempre con maggior attenzione, richiesta anche dall’Europa, le imprese sono chiamate a rendere conto non solo dei loro bilanci finanziari, ma anche del loro impatto nel mondo. Se l’ambiente è sicuramente il punto su cui molte aziende concentrano i propri sforzi, gli altri due temi sembrano, solo in apparenza, degni di meno attenzione.
L’evoluzione normativa
A livello normativo oggi si guarda alla direttiva europea 2022/2464 sul reporting di sostenibilità aziendale (Crsd, Corporate Sustainability Reporting Directive). È notizia di qualche tempo fa che benché la Commissione stia pensando di concedere alle 50.000 aziende interessate più spazio per scegliere cosa includere nel report, ciò non dovrebbe avere un impatto sulla veridicità di tali report, specialmente quando si tratta di report legati a dati tangibili e misurabili, come quelli delle emissioni.
Intanto, però, è in lavorazione, proposta nel febbraio del 2022, anche una Direttiva sulla due diligence di sostenibilità delle imprese. Dice la Commissione europea: “L’obiettivo di questa direttiva è quello di promuovere un comportamento aziendale sostenibile e responsabile e di inserire le considerazioni sui diritti umani e sull’ambiente nelle operazioni delle aziende e nella governance aziendale. Le nuove norme garantiranno che le imprese affrontino gli impatti negativi delle loro azioni, anche nelle loro catene del valore all’interno e all’esterno dell’Europa”. Nell’idea della Commissione, non c’è solo l’aspetto “burocratico”, tanto che si prevede una responsabilità civile per i danni che un mancato rispetto di quanto promesso possa arrecare. Si mette, insomma, nero su bianco, che i danni ambientali e i danni derivanti da una violazione dei diritti umani (privacy inclusa), deve essere risarcito. Al momento la proposta è in via d’approvazione da parte del Parlamento europeo, per poi passare alla fase dei triloghi.
La protezione dei dati personali nei report Esg
Potrà sembrare strano, ma la protezione dei dati, ruolo che in azienda interessa in modo particolare i Dpo e le funzioni cosidette privacy interne, legal e compliance, ha una sua presenza in tutte le parti dei report ESG. Se prendiamo la tutela dell’ambiente, conosciamo bene come colossi come Google ed Apple ci tengano a farci sapere che fanno di tutto perché i loro data center siano carbon neutral, ovvero che abbiano emissioni pari a zero. Come recita il famoso meme, infatti, “il cloud è solo il computer di qualcun altro”, e, pertanto, più dati mettiamo nel cloud, maggiore sarà l’impatto ambientale, nostro o dei nostri fornitori. Applicare dunque il principio della minimizzazione dei dati personali, unito ad appropriate policy di data retention, è un modo per ridurre tale impatto, oltre ovviamente ai benefici derivanti dalla riduzione dei rischi in caso di data breach.
Ma sicuramente l’impatto maggiore che una mancata protezione dei dati personali può causare è quello sulla società. Le persone, e quindi i clienti, sono sempre più attenti non solo all’ambiente, ma anche a come le aziende gestiscono i loro dati personali. Non è un caso, infatti, che ciò che le aziende temono, soprattutto le grandi, nei casi di una indagine di una Autorità garante, non è tanto, o meglio solo, la sanzione pecuniaria, quanto il danno reputazionale. Ogni volta che c’è una sanzione, la notizia di questa farà la sua strada sui motori di ricerca quando si cerca il nome dell’azienda online. Se un’azienda come Apple ha fatto della privacy parte essenziale della sua value proposition e delle sue campagne di comunicazione e pubblicità, non si vede perché anche le aziende europee non debbano fare altrettanto.
Il ruolo dei Dpo
Ma perché il lavoro dei Dpo non resti solo sulla carta, e abbia davvero un impatto anche su queste metriche, occorre che sia maggiormente coinvolto dai board e dal management, e soprattutto ascoltato – e nel caso sia esso esterno ed indipendente – anche adeguatamente remunerato. Servirà poi implementare delle modalità di reporting che siano misurabili, con Kpi che possano offrire una reale comprensione dei risultati positivi portati in azienda. Se pensiamo alla formazione del personale, ad esempio, si potrà mostrare come siano sempre più i dipendenti coinvolti nel trattamento dei dati che abbiano conseguito una certificazione come quelle proposte da Iapp (che da questo mese ha anche lanciato la prima certificazione al mondo in materia di AI), oppure come l’azienda si sia impegnata ad ottenere la recente certificazione ISO 31700 che dimostra il rispetto dei principi di privacy by design, oppure come l’azienda aderisca a dei codici di condotta. Sul piano della cybersicurezza si potrà tenere traccia del numero decrescente di incidenti e segnalazioni e dell’assunzione di più esperti o del positivo esito di penetration test e audit esterni.
Questo tipo di approccio sarà ancor più necessario quando l’AI Act entrerà in vigore per chi avrà necessità di dimostrare la propria compliance per ottenere, e mantenere, la fiducia dei propri clienti.
