Il tema del trattamento dei dati personali è ormai parte essenziale e imprescindibile di una qualsiasi attività d’impresa. Non è una questione al di sotto o al di sopra di noi, materia esclusiva delle grandi internet companies. Che lo si voglia o meno siamo immersi in un’infosfera digitale, con tutto ciò che ne consegue, in positivo e in negativo. La domanda che ci si pone è se sia possibile una governance sostenibile di questa dimensione: se vogliamo avere un ruolo passivo, ereditandone acriticamente gli schemi e i concetti, oppure esserne parte attiva contribuendo in prima persona a una sua evoluzione.
Interpretare in modo nuovo le relazioni digitali
I dati, da cui derivano le informazioni su ogni singolo aspetto della nostra vita, condizionano, consapevolmente o inconsapevolmente, il nostro modo di essere e di agire. Minimizzarne l’effetto va contro i nostri stessi interessi. Eppure, il rischio che si sta correndo è confinare la privacy a materia specialistica o disquisirne soltanto in modo semplicistico e stereotipato. Nulla di più sbagliato. Ci si deve convincere che la privacy, nella sua accezione più generale, è il presupposto per stabilire le regole del gioco che definiscono il rapporto tra le parti che interagiscono all’interno di un sistema digitale. Come tale, deve essere un tema centrale poiché da esso dipende la qualità della nostra vita.
La privacy non è solo una questione di compliance
Si dirà: ma esiste il GDPR, il firewall europeo che preserva ogni tipo di abuso e manipolazione della data economy. Non è così. Le aziende possono prendere atto del perimetro normativo all’interno del quale è consentito agire e trovare le soluzioni più adatte per essere “compliant”. Ma ragionare in questi termini è riduttivo e limitativo. Si rischia di assumere un comportamento difensivo: vedere il GDPR come puro atto amministrativo, che vincola le azioni soltanto in funzione di un rischio sanzionatorio.
Cambiare tutto per non cambiare nulla
Se guardiamo a come le imprese hanno implementato il regolamento europeo ci accorgiamo che il modo in cui si è passati all’execution evidenzia un pregiudizio di fondo: considerare la privacy un ostacolo al raggiungimento dei propri fini commerciali, un impedimento insomma. Gli sforzi sono stati prevalentemente orientati a trovare un exit strategy: essere ufficialmente compliant, ma continuare, sotto traccia, a perseguire tutte quelle azioni che possano dare il potere di valorizzare i dati a fini di business, comunque e sempre.
Servono linee guida per garantire trasparenza e sviluppare fiducia
Il trattamento dei dati va visto come un’occasione per creare un nuovo rapporto con il consumatore, impostato sulla trasparenza e sulla fiducia reciproca. Molto spesso ci si rende conto che una volta entrati in un’ecosistema ne diventiamo ostaggio, la nostra libertà non esiste ed è limitata. Uscirne diventa pressoché impossibile, se non a caro prezzo. Come cambiare? Possono esistere tutte le leggi di questo mondo ma se etica e responsabilità sociale non diventano le linee guida del modo di essere sul mercato, tutto perde di significato. Rendere sostenibile l’esercizio digitale, è sempre più complicato, anche per coloro ispirati alle più buone intenzioni. E qui si arriva al nodo della questione: la risoluzione dei problemi che riguardano la trasformazione digitale non può ridursi alla presenza di un digital protection officer. In questo modo si vincola il tutto a una mera questione di conformità e si agisce secondo una logica difensiva: tutto quello che faccio lo faccio per gestire un rischio.
Andare oltre la “pure compliance”
La data policy aziendale dovrebbe diventare parte integrante del modello di business ed essere espressione che deriva dall’assunzione di un principio etico di responsabilità sociale. Ecco, quindi, la necessità di coordinare tutto lo sviluppo delle relazioni digitali in base a criteri che devono essere condivisi trasversalmente a tutte le aree aziendali. Per fare questo il DPO non può essere l’uomo della “pure compliance” ma parte integrante di una strategia digitale che deve essere declinata attraverso la compartecipazione di un numero più ampio di soggetti all’interno dell’azienda.
Trattamento dati come base della strategia digitale d’impresa. Il Gdpr non è un fine ma un mezzo
Trattamento dati, quindi, non come componente accessoria dell’impresa digitale, ma come leva per cogliere tutte le opportunità che possono nascere da una relazione trasparente e non invasiva, nella consapevolezza che è solo questo il modo attraverso il quale gettare le basi per una vera sostenibilità d’impresa. Come dire, il Gdpr non deve essere visto come un fine, ma come un mezzo. Non è un qualcosa che si esaurisce nel rispetto delle normative. Serve piuttosto per interpretare la data economy ponendo al centro il valore della persona.
Fare innovazione implica quindi un cambiamento delle regole del gioco: trasformazione digitale può essere una grande opportunità purché la si intenda come occasione per definire sistemi aperti nei quali le persone possano assumere responsabilmente delle decisioni.
Obiettivo Privacy by Design: servono strumenti e metodologie
Perseguire questi obiettivi non può però essere frutto di un’improvvisazione. Servono strumenti e metodologie che permettano di creare interazioni efficienti, che non deprimano o irrigidiscano l’esperienza utente. E servono soluzioni per valorizzare il patrimonio aziendale delle informazioni, la loro sicurezza e la loro protezione. Insomma, serve tutto quanto è utile per determinare un’autonomia operativa e strategica nel rispetto della privacy e della cybersecurity, mirando sì a ottenere un vantaggio competitivo ma coerente con una logica di fondo improntata alla responsabilità sociale. Fare in modo che le policy aziendali possano essere implementate secondo una logica di servizio “privacy by design” fruibile e implementabile in modo semplice ed esteso da tutti coloro che a vario titolo sono coinvolti nella digitalizzazione dell’impresa.
Photo by Erik Mclean on Unsplash