Lo sviluppo della GDPR nelle aziende

David Sneyd - 06/02/2019 10:36:04 (updated 02/09/2019 11:52:01)

La tecnologia è ormai parte integrante delle nostre vite. Da come effettuiamo i nostri acquisti al monitoraggio della nostra salute, fino a come ci teniamo in contatto con i nostri cari, questa ci permette di essere più connessi, più produttivi e più informati rispetto a prima.

Tutto questo si basa su una quantità consistente di dati personali che è diventata una componente critica per le realtà di oggi, tanto da diventare di fatto una commodity vera e propria.

L’evoluzione della tecnologia e dell’utilizzo di dati personali per il suo funzionamento è stata molto più rapida dell’aggiornamento della normativa sulla riservatezza dei dati, il che significa che gli individui non possono più essere sicuri di chi ha informazioni personali su di loro, in che modo vengano utilizzate o se siano protette in maniera adeguata. È di fatto inevitabile quindi che a volte le società commettano degli errori, come testimoniano i casi di intrusione nei sistemi o gli scandali legati alla privacy che sono finiti sulle prime pagine dei giornali in tempi recenti. Ciò ha contribuito a mettere in discussione il potere detenuto dai giganti della tecnologia tanto da parte delle autorità di regolamentazione quanto dagli utenti finali.

L’evoluzione normativa più significativa a livello mondiale è stata l’introduzione della legislazione europea sotto forma di Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, o GDPR). Entrata in vigore nel maggio 2018, la GDPR si pone l’obiettivo di offrire un maggiore controllo sui propri dati personali ai cittadini dell’UE. A differenza di molte altre normative simili, quest’ultima ha inoltre una portata extraterritoriale esplicita, il che significa che qualsiasi società che utilizza dati dei cittadini dell’UE deve rispettarne i dettami. Molti altri Paesi, tra cui il Canada, l’Argentina e il Brasile, nonché lo Stato della California, hanno recentemente introdotto nuove leggi o rafforzato la normativa preesistente riprendendo elementi del modello introdotto dalla GDPR.

Nell’ultimo anno abbiamo visto come l’introduzione della GDPR sia stata una spinta per le società a diventare più trasparenti e ad aggiornare il modo in cui vengono gestiti i dati personali, per garantire che queste procedure siano adatte allo scopo. Rispecchiando le ampie richieste della normativa, questo lavoro va oltre il solo dipartimento IT, estendendosi alla supervisione del consiglio di amministrazione sul tema, al modo in cui la conformità continua ad essere monitorata da un responsabile della protezione dei dati (Data protection officer, DPO), alla cultura tra i dipendenti per dare priorità alla riservatezza dei dati e ai rapporti con i fornitori.

Per comprendere meglio la sfida rappresentata dall’attuazione di misure di sicurezza e riservatezza dei dati coerenti con la GDPR, ci siamo confrontati con 28 società globali operanti in settori che, secondo noi, trattano quantità significative di dati personali dei cittadini dell’UE nell’ambito del loro modello di business, e in particolare società fanno parte dei settori tecnologico, farmaceutico, finanziario e dei consumi.

Una sola impresa ha dichiarato di essere “pienamente conforme” alla GDPR al momento della sua entrata in vigore. Quasi tutte le società hanno ammesso di aver adottato un approccio basato sul rischio per adeguarsi alla normativa, concentrandosi cioè sugli ambiti più sensibili che presentavano il rischio più elevato. Le aree ancora irrisolte erano tendenzialmente i contratti con fornitori terzi e l’adeguamento di sistemi operativi (software e sistemi ormai “obsoleti” ancora utilizzati per ragioni di costi o di efficienza) per permettere l’utilizzo di nuove funzionalità per le quali non erano stati progettati, come la cancellazione dei dati.

In generale, le società hanno affermato che gli aspetti più restrittivi della GDPR, come la richiesta di un consenso esplicito e la riduzione al minimo dei dati, non hanno impedito loro di continuare a garantire la fornitura dei prodotti o servizi principali seppure con maggiori costi. Un caso a parte è quello di una società che ha commentato di ritenere di essere svantaggiata rispetto alle loro controparti americane, a causa di restrizioni sul modo in cui si possono monetizzare ulteriormente i dati dei clienti al di là degli scopi stabiliti.

La GDPR prevede che le aziende abbiano uno o più responsabili della protezione dei dati. Queste figure, i già citati DPO, devono operare in modo indipendente, fungendo da interlocutore principale con le autorità di vigilanza e con le persone che cercano informazioni sul modo in cui i loro dati vengono conservati o utilizzati.

Il ruolo di vigilanza sul rispetto della GDPR di una società è stato spesso attribuito al Comitato per il controllo interno del Consiglio di Amministrazione, che svolge la funzione di monitoraggio del processo di gestione dei rischi aziendali. Tuttavia, sembra che solo poche società abbiano fornito una formazione specifica agli amministratori per aiutarli a gestire una questione che può essere complicata e tecnica, e ancor meno hanno identificato chiaramente chi ha le competenze rilevanti all’interno del consiglio per garantire un controllo efficace.

La GDPR richiede alle aziende di assicurarsi che la riservatezza dei dati sia trattata con la massima attenzione e che non vengano raccolti più dati personali di quanto sia realmente necessario. Parlando con società di un’ampia gamma di settori, questo diventa non solo un aspetto di adeguamento normativo, ma anche una sfida più profonda a livello di cultura aziendale, in particolare in industrie scientifiche come quella farmaceutica, dove la raccolta massiva di dati è sempre stata una pratica standard.

L’impressione generale che abbiamo avuto dalle nostre conversazioni con le aziende è che la riservatezza dei dati venga considerata seriamente e che l’introduzione della GDPR abbia portato a significativi investimenti nel miglioramento dei processi e nel controllo del modo in cui vengono gestiti i dati personali. Allo stesso tempo, data l’entità del compito da svolgere nel pieno rispetto di GDPR, questa trasformazione non è ancora completa. Ci aspettiamo che il processo venga concluso nel corso di quest’anno, con la piena conformità raggiunta anche negli aspetti di rischio più basso.

David Sneyd – Responsible Investment Team – BMO Global Asset Management

Lo sviluppo della GDPR nelle aziende

Cristina MelchiorriMente e denaro

Naviga le onde del pregiudizio: le donne consulenti finanziarie sono autorevoli?

I Due Lupi nell’anima della finanza

L’impazienza della mente che getta benzina sul fuoco in tempo di crisi

Allena la tua Money Mind con Warren Buffet

8 nemici invisibili delle nostre decisioni finanziarie

Sala Stampa

Clinic Medical Beauty lancia i Clinic Bar. Dagli Stati Uniti la nuova tendenza della medicina estetica

Mirabaud Asset Management lancia una strategia obbligazionaria a scadenza a cinque anni

Lombard Odier sigla una partnership con Robeco per l’offerta di un nuovo fondo PrivilEdge

Comunicati stampa

Strategie di ADATTAMENTO, COMUNICAZIONE e MITIGAZIONE per diminuire gli impatti dei CAMBIAMENTI CLIMATICI al centro di CLIMATE TECH e AQUALITY FORUM

La sfida di Skift: far crescere le imprese rispettando l’ambiente. A Bologna i partner del progetto europeo per l’economia sociale

WEBBOH – GEN Z e mobilità del futuro: green e sicurezza al primo posto