Parlando schiettamente, uno dei motivi per cui molte aziende e professionisti sottovalutano gli adempimenti in materia di dati personali (ai sensi del Codice in materia, il D.Lgs. 196/2003) è senz’altro quello di avere una visione riduttiva: si tende, infatti, a considerare la privacy solo come onere, come trafila burocratica, come spesa ingiustificata e via declinando il fastidio dell’ennesima sfilza di regole opprimenti… Atteggiamento auto-riduttivo, a ben considerare, perché la materia offre piuttosto risvolti di valore, tutt’altro che trascurabili per un’azienda. Più i vantaggi che gli svantaggi, se vogliamo metterla su un piano di costi-benefici.
Premesso che – sempre e comunque – il rispetto della normativa privacy è anzitutto rispetto degli altri e dei diritti a loro spettanti (e quindi del valore sociale, prima ancora che giuridico, rivestito dalla tutela dei diritti altrui), gioverebbe (ri)pensare la privacy sotto un’ottica di benefici e vantaggi di impresa. Di seguito vediamo alcuni buoni motivi per cui la giusta attenzione a queste tematiche può rivelarsi sorprendente e, perché no, proficua per un’impresa.
1) Privacy come libertà
Un pensiero piuttosto diffuso oggi è che attorno ai dati personali, a voler ottemperare a tutta la normativa, ruotino solo divieti e ostacoli. Insomma, che non si possa fare quasi nulla, per cui tanto vale non fare nulla in partenza… Mito da sfatare: è vero, piuttosto, che rispettando la normativa e le indicazioni del Garante un’azienda può svolgere i più svariati trattamenti. Magari non tutto quanto si desidera, però i margini di movimento sono molto più ampi di quanto comunemente si ipotizzi (si pensi ad es. a una conoscenza superficiale del Codice della Privacy, ove si impone la notifica al Garante del trattamento di dati sensibili in azienda, come quelli dei lavoratori: solo dalla lettura dell’Autorizzazione generale del Garante in ambito lavorativo sappiamo essere non dovuta tale notifica).
2) Privacy come valore e bene commerciale
Ovvio: se i dati personali sono utilizzati dall’azienda anche come bene con un valore commerciale di scambio (oggetto di cessione, licenza oppure per supportare altre attività economiche), allora si può addirittura costruire un’attività commerciale di trattamento dei dati personali. È sotto gli occhi di tutti come i dati personali siano davvero il “petrolio” della new economy e come vengano sfruttati dalle più avanzate società di IT per fare profitti e sviluppare un mercato.
Attenzione però: l’uso di dati a livello commerciale, ad es. effettuando profilazioni degli interessati (quindi aumentando il valore di mercato dei dati trattati, non più grezzi bensì “raffinati” e processati) oppure cedendo le proprie liste clienti a terzi, deve essere attentamente pianificato fin dall’inizio per poter essere lecitamente realizzato. Vanno rispettati diversi adempimenti preventivi (ad es. corretta informativa e acquisizione del consenso, notificazione al Garante del trattamento, ecc.), potrebbe essere problematico o impossibile regolarizzarli in seguito.
3) Privacy come reputazione e professionalità
Oggi conta come mai prima (anche in ragione della maggior “viralità” dell’informazione, della rapida e pervasiva diffusione su social network e blog di news e commenti) avere una reputazione aziendale di tutto rispetto. Una macchia circa l’aver ricevuto sanzioni o comunque compiuto irregolarità in ambito di trattamento dei dati personali può – in varia misura a seconda dell’attività svolta dall’azienda – recare danni d’immagine e ripercussioni professionali quanto mai gravi, forse irreversibili. Non da ultimo perché il Garante potrebbe comminare come sanzione da violazioni la pubblicazione di un’ordinanza-ingiunzione su giornali (art. 165 del Codice Privacy). Meglio, dunque, evitare tale rischio pesando di più e meglio l’importanza degli adempimenti privacy, così da poter provare in ogni momento di essere assolutamente in regola.
Quanto alla professionalità, quale può essere la diversa stima con cui si valuta sul mercato un’azienda che – per quanto visibile al pubblico – sfoggia documenti e politiche aziendali in materia privacy di assoluto livello, comprovando un’attenzione non comune per temi di grande attualità, ad es. pubblicando sul suo sito web non solo informative ben redatte bensì anche documenti non soggetti a pubblicazione per legge, come il Documento Programmatico sulla Sicurezza, oppure la policy aziendale di gestione delle risorse, ecc.?
4) Privacy come difesa verso responsabilità civili e penali
Si pensi ad es. alla possibilità che amministratori o sindaci subiscano un’azione di responsabilità da parte di un’azionista che ravvisi una grave omissione nella corretta gestione e tutela aziendale nella mancanza di adempimenti circa i dati personali. Implementando, invece, le corrette procedure, ritagliate anche sulle dimensioni ed esigenze del caso specifico (determinati adempimenti facoltativi possono essere troppo gravosi e di fatto inutili in piccole realtà, come ad es. la redazione del Documento Programmatico sulla Sicurezza, oggi depennato dalle misure minime di sicurezza, mentre possono dirsi a dir poco opportuni, per non dire imprescindibili, in realtà maggiormente strutturate o con trattamenti complessi dei dati personali), nessuno potrà contestare una la correttezza nella gestione dell’attività.
5) Privacy come tutela dell’attività aziendale
Avere dipendenti, procedure e organizzazione interne tali da rispettare le misure (minime e idonee) di sicurezza imposte per la privacy – soprattutto dopo un adeguato percorso formativo – comporta una maggior tutela dei beni aziendali, riducendo di molto gli altrimenti elevati rischi di negligenza ed errori, dimenticanze e atti dolosi. La maggior professionalità e consapevolezza dei lavoratori non può che portare a una dinamica, nei rapporti aziendali, più attenta agli effetti di ciò che si fa in azienda e per l’azienda (pensiamo a procedure tanto semplici quanto disattese nella prassi, come la corretta custodia delle password, l’uso non improprio di Internet, ecc.). Oltretutto ciò si riverbera positivamente in altri campi: se dobbiamo tutelare un segreto aziendale (come richiesto dall’art. 98 D.Lgs.30/2005), provare che siano adottate misure adeguate a mantenere l’informazione segreta (come richiesto per avere tutela) sarà senz’altro più semplice e senza grandi sorprese per chi avrà dedicato tempo e impegno alla corretta implementazione delle misure di sicurezza.
E maggiore tranquillità potrà avere l’azienda che ha correttamente disciplinato l’uso degli strumenti aziendali, così da evitare ad es. che il dipendente in fase di licenziamento cancelli dati e informazioni vitali presenti nei dispositivi informatici d’azienda che deve restituire.
6) Privacy come risparmio di spesa
Prevenire, come si sa, è meglio che curare. Il costo di una consulenza privacy oggi, con relativo impiego di risorse e tempo, è inferiore alle possibili sanzioni amministrative irrogabili dal Garante (ad es. una banalità come un’informativa privacy inidonea può comportare sanzioni pecuniarie da 6.000 a 20.000 euro, per limitarci a uno dei casi minori) oltre che da costi, tempi e risorse più ingenti che si dovranno mettere in campo per attuare adempimenti da realizzare fin dall’inizio dell’attività. Se anche le ipotesi di sanzioni sul trattamento dei dati possono sembrare remote, ricordiamo che basta un ex-dipendente vendicativo oppure un concorrente aggressivo al corrente di una falla nel sistema privacy per avviare le procedure di accertamento presso il Garante e ricevere, così, una temuta ispezione della Guardia di Finanza.
7) Privacy come tassello della miglior compliance aziendale
All’interno dell’azienda numerose sono le normative (e non solo) a cui ottemperare: disciplina dell’igiene e della sicurezza sul lavoro, responsabilità penale d’impresa, norme ambientali, vari standard ISO, data protection, ecc. La disciplina privacy si interseca inevitabilmente con alcune di queste (in particolare, con la normativa giuslavoristica) e il giusto coordinamento tra le varie istanze permette di avere effetti positivi in tutti gli ambiti lambiti dalla tematica, oramai onnipervadente.
Oltretutto, proprio come accade con le procedure per la Certificazione Qualità (ISO e affini), mettersi in regola comporta sì uno sforzo, un apprendimento iniziale che però viene ripagato dalla successiva miglior organizzazione aziendale. Difatti l’acquisizione e attuazione di un know-how privacy permette di ridurre, in tutti gli altri ambiti tangenti, tempi e costi di gestione dell’insieme, dall’altro lato la corretta applicazione delle altre normative e regole migliorerà il trattamento dei dati personali: in sede di ispezione sul trattamento dei dati, il titolare ad es. fornirà presto e meglio documenti redatti e gestiti rispettando le prescrizioni ISO/IEC 27001.
8) Privacy come mezzo di controllo della produttività
L’uso attento e consapevole di dati personali in azienda può fornire strumenti di valutazione interna assolutamente di pregio circa le attività aziendali e il loro andamento. Il tutto nel rigoroso rispetto delle procedure: senza nemmeno tirare in ballo le ipotesi particolari di controllo dei lavoratori, implementare in azienda regolamenti interni di trattamento dei dati (comprensivi di scelta e uso di password, uso degli strumenti informatici, ecc.) con relativo controllo del loro rispetto garantisce di per sé la miglior difesa contro eventuali reati dei dipendenti (diffusissimi sono ad es. i reati informatici, pure reati-presupposto ai sensi del D.Lgs. 231/2001), potendo fornire – nei periodici monitoraggi e verifiche – eventi-sentinella che fanno intuire che qualcosa non va (pensiamo ad es. all’inusuale backup di massicce quantità di dati praticato da un dipendente al di fuori delle sue usuali mansioni e competenze).
9) Privacy come futuro
Non dimentichiamo che prima o poi (pare entro il 2016) verrà approvato e poi entrerà in vigore il Regolamento Europeo sulla privacy: farsi trovare in quel momento già allineati con la normativa pregressa (comunque base fondamentale di moltissimi degli adempimenti che torneranno nel Regolamento) comporterà certamente un lavoro minore di compliance rispetto al partire da zero o quasi. Inoltre sembra realistico che le fattispecie attinenti alla tutela della privacy possano essere introdotte nella lista dei reati-presupposto del D.Lgs. 231/2001 sulla responsabilità penale d’impresa (stava per capitare già nel 2013, solo all’ultimo si è fatta marcia indietro): di nuovo, meglio farsi trovare pronti e vigili sul tema.
Altro risvolto sul futuro di un’azienda: un domani l’azienda potrebbe essere oggetto di una due diligence per arrivare a una sua cessione o acquisizione. Ebbene, il peso degli adempimenti circa i dati personali è rilevante, potrebbe essere una falla nel sistema tale da far persino sfumare l’occasione di vendita. Specie se pensiamo alle tempistiche per regolarizzare un’impresa sotto il profilo qui trattato: potrebbe volerci molto tempo e con un impiego di risorse già impegnate in altre occorrenze cogenti.
10) Privacy perché ce lo chiede l’Europa
A vanvera si nominano, in vari ambiti, presunti impegni dettati all’Italia dall’Unione Europea. In materia privacy si tratta di verità: vi sono diverse direttive (menzioniamo la principale, la 95/46/CE) che impongono al nostro Paese gli adempimenti, poi “reinterpretati” nel Codice della Privacy, nostro recepimento delle direttive in una legge del 2003. Diciamo che per un’azienda che tratta con l’estero (sia import che export) essere in regola con le norme comunitarie fa certamente risaltare la maggior professionalità e competenza. E vale quanto già menzionato: arriverà presto il nuovo regolamento comunitario della Privacy, con norme valide per tutto il territorio europeo, per cui sarà ancor più importante lavorare con l’estero e all’estero rispettando le regole condivise. Insomma, l’Unione Europea considera con assoluta serietà e consapevolezza il tema dei dati personali: fare la propri parte nel rispetto di libertà fondamentali come quelle coinvolte nella privacy non potrà che spiccare nel mercato comune.
Auspichiamo in definitiva che la privacy sia sempre più un fiore all’occhiello piuttosto che oggetto di scandalo, ripensando a quanto affermava in altro ambito Gandhi: “i diritti aumentano automaticamente per chi compie debitamente i propri doveri”. Non fa eccezione il trattamento dei dati personali.