Privacy, dati e governance: intervista all’Avv. Eugenia Canistro

Privacy, dati e governance:perché oggi non basta più “essere in regola”

Abbiamo il piacere di condividere l’intervista che B.More ha pubblicato su LinkedIn con l’Avv. Eugenia Canistro, Corporate legal & Compliance counsel in CONFORME. Nel dialogo si sono toccati temi centrali per le organizzazioni di oggi: privacy, gestione dei dati e governance, affrontati con uno sguardo pratico e orientato alla responsabilità. 

 INTERVISTA

Negli ultimi anni la gestione dei dati è passata da semplice adempimento a tema di governance aziendale. Perché la privacy riguarda l’organizzazione d’impresa?

R. La compliance, in generale, è diventata una questione organizzativa. Fino a qualche anno fa essere un bravo imprenditore significava ottenere buoni numeri, oggi non basta più. Ormai saper garantire un adeguato assetto organizzativo per la propria impresa è un aspetto di governance indispensabile. Questo passa attraverso una serie di adempimenti che impattano direttamente sulla gestione aziendale. Sono gli amministratori, in primo luogo, a essere responsabili nel dare struttura all’organizzazione e nel definire ruoli e responsabilità.

D’altra parte, pur essendo la privacy è un adempimento obbligatorio, può essere letta come un’opportunità. La tutela dei dati personali è importante non solo per evitare sanzioni, ma anche per proteggere il know-how aziendale. Se proteggo correttamente il dato personale, spesso proteggo anche il dato aziendale.

La cybersicurezza è fondamentale non solo per il dato in sé, ma anche per la continuità dell’attività aziendale. I dati, oggi più che mai, sono un asset aziendale fondamentale, se un’impresa possiede un database, è importante che possa anche dimostrare che quei dati sono stati raccolti secondo la normativa. È quindi importante garantire la qualità del dato.

Quando iniziate a lavorare con un’azienda su questi temi, quali sono gli aspetti organizzativi che emergono più spesso?

R. Molto spesso emerge innanzitutto la parte documentale del modello organizzativo privacy. I clienti sono preoccupati di avere la documentazione aggiornata: il registro dei trattamenti, le nomine, le informative. Tuttavia sottovalutano quello che sarebbe il beneficio più grande, cioè la strutturazione dell’organizzazione e di un vero organigramma privacy. Chi si occupa davvero della gestione della privacy in azienda?

Entriamo spesso in realtà molto focalizzate sul business e, comprensibilmente, la gestione evoluta della privacy non è percepita come “priorità”. Per questo cercano un “bollino”, l’adempimento documentale, ma in realtà dietro quel bollino spesso non c’è nessuna struttura strategica e nessun organigramma reale di gestione della privacy.

Un altro tema molto caldo è la cybersicurezza, che ancora oggi viene fortemente sottovalutata. Eppure è un tema all’ordine del giorno: il problema non è se un’azienda riceverà un attacco informatico, ma quando. Per questo la sicurezza è un tema strategico: significa allocare risorse, economiche e umane, per proteggere la postura informatica dell’impresa. Così facendo, non si adempie solo al GDPR ma si protegge la continuità aziendale, si preservano i posti di lavoro, si tutelano le obbligazioni contrattuali assunte con clienti, fornitori e partner, nonché la responsabilità degli amministratori in termini di adeguati assetti organizzativi. Inizialmente può sembrare un dispendio di denaro inutile ma in realtà consiste in un grande risparmio.

 

Quali sono gli errori e le minacce più comuni che incontrate in un’azienda che pensa di essere “a posto” con la privacy?

R. Le minacce hanno una duplice natura. Da una parte ci sono gli attacchi esterni, dall’altra gli errori umani dei dipendenti. E qui si apre un altro tema cruciale: la formazione, che è altrettanto necessaria e spesso molto sottovalutata.

Quali sono gli adempimenti necessari riguardati la privacy, l’utilizzo dell’AI, l’ottenimento e la gestione di dati sensibili?

R. Molto spesso le aziende confondono le tematiche. Un conto è la privacy e la protezione del dato personale; un altro conto è la regolamentazione dell’utilizzo dell’intelligenza artificiale in azienda. Le due dimensioni possono incrociarsi: per esempio, se utilizzo applicativi di AI per valutare candidature, ho contemporaneamente un tema di intelligenza artificiale e un tema di trattamento di dati personali.

Diventa quindi necessario capire il percorso dei dati per elaborare tutti gli adempimenti richiesti. Se l’applicativo utilizza server ubicati in cloud, magari fuori dall’Europa, come faccio a sapere quali garanzie offre davvero il fornitore?

Oggi gli adempimenti privacy, da soli, non bastano più a garantire la conformità. Occorre fare valutazioni del rischio e uno studio degli strumenti utilizzati in azienda. Alla luce di questa analisi bisogna mettere in campo contromisure specifiche: policy, procedure, documenti autorizzativi. Tutto questo comporta certamente più lavoro e più produzione documentale, ma questi strumenti vanno letti come un percorso reale di tutela in grado di garantire la possibilità di dare evidenza di ciò che l’azienda ha implementato per tutelare il proprio patrimonio informativo.

 

Quali rischi corre un’azienda che non cura adeguatamente gli adempimenti?

R. Quando, ad esempio, ci si affida a documenti standardizzati, validi teoricamente per tutti, senza alcuna personalizzazione, il rischio è paragonabile a quello di non avere alcun adeguamento privacy, rendendo inutile anche l’eventuale investimento allocato. Per questo è fondamentale avere modelli organizzativi privacy che siano realmente calati sulla realtà aziendale. Questo consente anche l’utilizzo concreto di quella documentazione, l’efficacia concreta delle misure di sicurezza implementate e la tutela reale dell’impresa.

Il volume dei dati trattati dalle imprese cresce continuamente. Come cambia il modo di gestire la privacy in azienda?

R. Vivendo nell’era della digitalizzazione è normale che i processi aziendali che comportano il trattamento di dati risultino più complessi, non complicati, ma “complessi”. I dati sono sempre di più e raccontano sempre di più delle persone e di ciò che fanno. Per questo ogni impresa ha anche una profonda responsabilità sociale che presuppone sensibilità e consapevolezza circa il proprio patrimonio informativo.  Questa responsabilizzazione impone che ciò che viene fatto in azienda con i dati sia pensato, valutato e strutturato. È il cambiamento più grande che mi sento di rilevare.

 

Quale può essere in questo contesto il ruolo di un consulente? Quali vantaggi può portare ad un’organizzazione?

R. L’esternalizzazione del servizio è spesso una soluzione efficace, soprattutto in un contesto normativo che cambia rapidamente. Anche per noi consulenti è complesso restare al passo di un legislatore che subisce anche influenze internazionali; in questo contesto, per l’imprenditore, giustamente impegnato sul business, diventa ancora più sfidante riuscirci.

A fronte di un investimento economico, più o meno rilevante, c’è spesso un grande risparmio di risorse interne, che possono continuare a concentrarsi sul proprio lavoro. C’è poi un tema di professionalità: sono materie estremamente complesse, che richiedono competenze estremamente specialistiche e trasversali, spesso ibride tra competenze giuridiche e tecnologiche.

Inoltre, sono ferma sostenitrice del vantaggio della “terzietà” dei consulenti esterni. Ritengo, infatti, che sia molto più semplice per un soggetto che non appartiene all’organico aziendale evidenziare anche eventuali criticità organizzative a cui è doveroso porre rimedio per tutelare l’impresa.  

C’è un aumento o una diminuzione dell’attenzione riguardo a queste tematiche?

R. L’utente esterno è sempre più consapevole in tema di privacy. L’impressione è che questa maggiore consapevolezza si stia trasformando anche in richieste specifiche. Le persone iniziano a chiedere e a pretendere una gestione più attenta e più trasparente dei dati da parte delle aziende.

Di conseguenza, anche dal punto di vista civilistico, questa maggiore consapevolezza potrebbe tradursi in un aumento del contenzioso.