Il Regolamento generale sulla protezione dei dati[1], meglio noto con l’acronimo inglese GDPR, ha apportato tante e nuove regole, generali e non specifiche, per la gestione delle informazioni all’interno di ogni tipologia di organizzazione. Tale approccio è un evidente tentativo del regolatore europeo di fornire uno strumento adattabile ad ogni contesto, che possa rimanere valido stante le evoluzioni tecnologiche di mercato, ma anche rispetto alla pachidermica e macchinosa reattività dell’iter legislativo europeo (la precedente direttiva al GDPR risale al 1995, con l’introduzione di regole per l’economia digitale, per mezzo dell’ePrivacy Directive, nel 2002).

GDPR e dati personali
Con il GDPR cambia il modo di trattare i dati personali e la loro “considerazione”, ora bene aziendale di valore.

Fino al maggio 2018, i dati personali gestiti dalle organizzazioni erano utilizzati e scambiati con molta più leggerezza rispetto ad oggi, complici diversi fattori, tra cui un set di regole da tempo noto e ben definito (anche minimo, nel caso delle misure tecniche di sicurezza) dall’allora quadro normativo, il relativo regime sanzionatorio applicabile, più contenuto, rispetto ai milioni di euro paventati dal GDPR. Congiuntamente, la scarsa probabilità di essere perseguiti dal Garante, portavano all’erronea convinzione che la “privacy” fosse prevalentemente un orpello burocratico. In poche parole, molta carta e poca sostanza.

Con l’introduzione dell’obbligo di responsabilizzazione imposto dal GDPR, che ha ribaltato sulle realtà imprenditoriali la scelta delle misure idonee di conformità al Regolamento stesso, nonché l’inasprimento delle sanzioni tale da essere difficilmente accantonabile a budget in un’analisi costi-benefici, il mercato dei dati personali e i progetti ad esso legati hanno subito un generale rallentamento.

I dati personali come bene aziendale di valore

Oggi, i dati personali gestiti dall’azienda nel suo complesso non possono che essere rivalutati, non rappresentando più solo un asset inteso come voce attiva di bilancio, ma come elemento a doppia faccia: il dato è fonte sia di possibili ricavi sia di possibili perdite, esattamente come un bene aziendale di valore, la cui perdita, o utilizzo improprio e inefficiente può comportare la riduzione del valore del bene stesso, dei ricavi ad esso collegato o l’aumento di costi (incluse sanzioni, amministrative e civilistiche, voci indeducibili in bilancio). Viceversa i dati personali possono portare un vantaggio competitivo reale all’economia dell’impresa che li gestisce.

Nel Maggio 2018 si è assistito al più eclatante caso di creazione e distruzione del valore aziendale per mano dei dati personali gestiti da un’azienda, l’epilogo di Cambridge Analytica, con la chiusura per bancarotta della società di analisi e consulenza politica, il cui modello di business era fortemente imperniato sui dati personali degli utenti online del più grande Social Network esistente, Facebook. Il caso fu emblematico, dimostrando a tutto il mondo imprenditoriale e finanziario le potenzialità dell’asset “dato” all’interno di un’organizzazione, in senso dualistico; laddove competenze tecniche, e non solo hanno saputo sfruttare l’enorme capacità dei dati di generare valore, mediante una gestione audace ma fraudolenta delle informazioni carpite, di contro, gli stessi tecnici ne hanno subito successivamente la contropartita, un volta che l’illecito è stato scoperto, con perdite e costi (anche legali) talmente elevati da annientare l’intero business multimilionario da poco creato.

Il dato personale è dunque un bene prezioso ma insidioso, è un asset strategico da gestire con maggiori cautele rispetto al passato. Il GDPR pone al centro del proprio ambito di azione i diritti degli interessati (le persone a cui si riferiscono i dati) ed impone alle organizzazioni che, nell’ambito della gestione delle proprie attività, i processi organizzativi garantiscano tali diritti, adottando delle misure idonee e concrete. Se tutto ciò è fatto proprio da parte dell’Azienda, la stasi post GDPR può essere superata ed il percorso verso la valorizzazione del dato sarà nuovamente percorribile.


[1] Regulation (Eu) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).



La tua opinione per noi è molto importante.
Commento su WhatsApp
Siamo una giovane realtà editoriale e non riceviamo finanziamenti pubblici.
Il nostro lavoro è sostenuto solo dal contributo dell’editore (CuDriEc S.r.l.) e dagli introiti pubblicitari. I lettori sono la nostra vera ricchezza. Ogni giorno cerchiamo di fornire approfondimenti accurati, unici e veri.
Sostieni Moondo, sostieni l’informazione indipendente!


Ora anche su Google News, clicca qui e seguici



Diego Padovan
Ingegnere gestionale e Data Protection Officer, da anni ricopre il ruolo di privacy & regulatory advisor a Roma e Bruxelles, nonché Responsabile per la Protezione dei Dati (DPO) per primarie società italiane ed internazionali, con incarico di docenza presso il master di II livello in Tutela della Privacy e Data Protection Officer del Dipartimento di Giurisprudenza dell’Università di Roma “Tor Vergata”. Formatosi all’Università degli Studi di Roma “La Sapienza”, ha portato a termine importanti traguardi accademici, tra cui l’Executive Programme della London Business School e l’Annual Training Course on Communications & Media Regulation dell’European University Institute. È certificato in ambito protezione dei dati personali presso il TÜV Italia, con la certificazione CDP e a livello internazionale con l’International Association of Privacy Professionals (IAPP), con la certificazione CIPP/E. Dirige la Società di consulenza DPO Compliance Consulting, con la quale ha ottenuto importanti riconoscimenti anche a livello europeo, con la partecipazione in progetti H2020, ed è partner dell’Università degli Studi di Messina. Collabora attualmente alla redazione di guide e manuali tecnici con l'associazione italiana Federprivacy e la rivista online CyberSecurity360.

LASCIA UN COMMENTO

Inserisci un commento
Inserisci il tuo nome: