Servizio e Prodotto non sono più imprescindibili dai requisiti di credibilità in materia di Responsabilità sociale, etica aziendale e sostenibilità di un’impresa. Le persone si affidano sempre di più ad organizzazioni che qualificano i propri processi e attestano le proprie azioni di Responsabilità Sociale. Gli Interessati o stakeholder – rappresentati dal sistema creditizio, le istituzioni pubbliche e private di riferimento, i partner, i clienti, i dipendenti, i fornitori, i clienti, i consumatori – sono più disposti a relazioni (di lavoro, di acquisto, vendita, ecc.) con aziende attente anche alla gestione delle informazioni e dei dati.
Nella società dell’informazione, i “dati” rappresentano spesso uno dei beni più preziosi posseduti da un’impresa, sia essa di grandi o piccole dimensioni.
Possono essere di tipo commerciale, rappresentare il portafoglio degli attuali clienti o di quelli futuri, raccontare l’organizzazione interna e l’attività di ricerca e sviluppo.
Qualunque manager ne conosce l’importanza e cerca di usarli al meglio.
Non bisogna dimenticare, però, che le potenzialità economiche dei dati sono direttamente proporzionali alla liceità del loro trattamento: raccoglierli nel rispetto della privacy e poterne quindi liberamente usufruire, significa creare valore per l’azienda. È bene, tra l’altro, che la leadership di un’azienda sia ben consapevole della differenza esistente tra i vari tipi di dati. Alcuni infatti possono essere utilizzati senza particolari problemi, altri necessitano di apposite garanzie e protezioni.
Nello spirito di collaborazione con il mondo imprenditoriale, il Garante della privacy ha evidenziato già da tempo una selezione di “best practice” che possono migliorare non solo l’immagine dell’impresa, come soggetto attento al principio di “responsabilità sociale”, ma anche la capacità di business a parità di costi sostenuti, aumentando la fiducia di utenti e consumatori nella serietà e affidabilità dell’impresa.
Un’impresa competitiva, che desidera sviluppare buone relazioni con la clientela e con le controparti, risponde con velocità e completezza alle richieste che giungono al customer care o agli altri uffici competenti. Più in generale, le buone prassi che si evidenziano in questo decalogo possono contribuire a rafforzare la capacità dell’impresa nel gestire al meglio i dati personali che le sono affidati, e al tempo stesso la fiducia dei clienti e del pubblico nell’affidabilità e modernità della struttura aziendale.
Il patrimonio informativo di un’azienda è un valore da tutelare e promuovere alla stregua di ogni altro asset e può trasformarsi in una risorsa competitiva e di immagine.
Attenzione particolare deve essere riposta quindi nel rispetto dei seguenti principi e regole:
Diritti della persona interessata
E’ riconosciuto la facoltà a colui che ha fornito i propri dati all’azienda, di inoltrare richieste di informazione in merito al trattamento effettuato con i propri dati personali: le stesse devono essere gestite adeguatamente. La normativa sulla privacy, garantisce alla persona interessata – ad esempio dipendente, cliente, fornitore o utente – specifici diritti come quello di conoscere quali siano i dati che lo riguardano in possesso dell’impresa e per quale motivo siano stati raccolti e come siano elaborati. Può richiedere l’estrapolazione e la messa a disposizione in modo intelligibile dei dati personali che lo riguardano e, se ne ha interesse, il loro aggiornamento, la rettifica o l’integrazione. In caso di violazione di legge, può anche esigere il blocco, la cancellazione o la trasformazione in forma anonima di queste informazioni.
Tra l’altro si rammenta che, in linea generale, un dato personale non deve essere conservato per sempre, ma solo fin quando è necessario per lo scopo per il quale i dati sono stati raccolti.
Qualora non sia indicato per legge un preciso termine di conservazione, occorre comunque prevederlo.
Una risposta puntuale e completa da parte dell’azienda è sempre un indicatore positivo di efficienza e trasparenza all’utenza e contribuisce a rafforzare la fiducia dei clienti/dipendenti oltre ad evitare un intervento del Garante da cui possano derivare provvedimenti inibitori, prescrittivi o anche sanzionatori per il mancato rispetto dei diritti dell’interessato.
Distruzione o perdita di dati personali
Le imprese dovrebbero reagire con prontezza e trasparenza ogni volta in cui dovessero accorgersi di violazioni dei dati personali trattati. In questi casi, al di là delle opportune valutazioni in termini di responsabilità civile e penale, sarebbe sempre opportuno avvisare gli interessati del problema riscontrato, anche per consentire loro di adottare misure che limitino i possibili pregiudizi alla persona che possono derivare, ad esempio, da un furto di identità o il danno alla reputazione che può discendere dall’utilizzo di dati inesatti o non aggiornati.
Alcuni dei settori più esposti in tal senso sono quello bancario, assicurativo, della sanità e delle telecomunicazioni. Per garantire maggiori tutele ai consumatori, il Regolamento UE 2016/679 impone alle società telefoniche, ai fornitori di servizi bancari, assicurativi e in generale a tutte le realtà fortemente digitalizzate un vero e proprio obbligo di comunicare al Garante della privacy, e in certi casi anche agli utenti stessi, eventuali gravi “violazioni di dati personali” subite dalle loro banche dati (i cosiddetti data breaches) che dovessero comportare perdita, distruzione o diffusione indebita di dati.
In caso di attacchi informatici o di eventi avversi, quali incendi o altre calamità, l’impresa avrà non solo l’obbligo ma anche l’opportunità di dimostrare la propria efficienza e capacità di reazione.
Formazione e sensibilizzazione
La dimostrazione da parte delle imprese, di aver istituito e attivato un sistema virtuoso di formazione, coinvolgimento e consapevolezza nella gestione del trattamento dei dati personali, a favore di tutti i propri stakeholder (clienti e fornitori) sui temi della protezione dei dati, della tutela delle persone, permette inoltre di ottenere delle possibili “attenuanti” negli eventuali provvedimenti da parte delle Autorità scaturiti da sinistri privacy, ovvero possibili riduzioni delle sanzioni pecuniarie amministrative.
Raffaella Sella
Risk & Privacy Advisor – CSR Consultant