I dati personali sono ancora un asset aziendale?

Il Regolamento generale sulla protezione dei dati[1], meglio noto con l’acronimo inglese GDPR, ha apportato tante e nuove regole, generali e non specifiche, per la gestione delle informazioni all’interno di ogni tipologia di organizzazione. Tale approccio è un evidente tentativo del regolatore europeo di fornire uno strumento adattabile ad ogni contesto, che possa rimanere valido stante le evoluzioni tecnologiche di mercato, ma anche rispetto alla pachidermica e macchinosa reattività dell’iter legislativo europeo (la precedente direttiva al GDPR risale al 1995, con l’introduzione di regole per l’economia digitale, per mezzo dell’ePrivacy Directive, nel 2002).

Fino al maggio 2018, i dati personali gestiti dalle organizzazioni erano utilizzati e scambiati con molta più leggerezza rispetto ad oggi, complici diversi fattori, tra cui un set di regole da tempo noto e ben definito (anche minimo, nel caso delle misure tecniche di sicurezza) dall’allora quadro normativo, il relativo regime sanzionatorio applicabile, più contenuto, rispetto ai milioni di euro paventati dal GDPR. Congiuntamente, la scarsa probabilità di essere perseguiti dal Garante, portavano all’erronea convinzione che la “privacy” fosse prevalentemente un orpello burocratico. In poche parole, molta carta e poca sostanza.

Con l’introduzione dell’obbligo di responsabilizzazione imposto dal GDPR, che ha ribaltato sulle realtà imprenditoriali la scelta delle misure idonee di conformità al Regolamento stesso, nonché l’inasprimento delle sanzioni tale da essere difficilmente accantonabile a budget in un’analisi costi-benefici, il mercato dei dati personali e i progetti ad esso legati hanno subito un generale rallentamento.

I dati personali come bene aziendale di valore

Oggi, i dati personali gestiti dall’azienda nel suo complesso non possono che essere rivalutati, non rappresentando più solo un asset inteso come voce attiva di bilancio, ma come elemento a doppia faccia: il dato è fonte sia di possibili ricavi sia di possibili perdite, esattamente come un bene aziendale di valore, la cui perdita, o utilizzo improprio e inefficiente può comportare la riduzione del valore del bene stesso, dei ricavi ad esso collegato o l’aumento di costi (incluse sanzioni, amministrative e civilistiche, voci indeducibili in bilancio). Viceversa i dati personali possono portare un vantaggio competitivo reale all’economia dell’impresa che li gestisce.

Nel Maggio 2018 si è assistito al più eclatante caso di creazione e distruzione del valore aziendale per mano dei dati personali gestiti da un’azienda, l’epilogo di Cambridge Analytica, con la chiusura per bancarotta della società di analisi e consulenza politica, il cui modello di business era fortemente imperniato sui dati personali degli utenti online del più grande Social Network esistente, Facebook. Il caso fu emblematico, dimostrando a tutto il mondo imprenditoriale e finanziario le potenzialità dell’asset “dato” all’interno di un’organizzazione, in senso dualistico; laddove competenze tecniche, e non solo hanno saputo sfruttare l’enorme capacità dei dati di generare valore, mediante una gestione audace ma fraudolenta delle informazioni carpite, di contro, gli stessi tecnici ne hanno subito successivamente la contropartita, un volta che l’illecito è stato scoperto, con perdite e costi (anche legali) talmente elevati da annientare l’intero business multimilionario da poco creato.

Il dato personale è dunque un bene prezioso ma insidioso, è un asset strategico da gestire con maggiori cautele rispetto al passato. Il GDPR pone al centro del proprio ambito di azione i diritti degli interessati (le persone a cui si riferiscono i dati) ed impone alle organizzazioni che, nell’ambito della gestione delle proprie attività, i processi organizzativi garantiscano tali diritti, adottando delle misure idonee e concrete. Se tutto ciò è fatto proprio da parte dell’Azienda, la stasi post GDPR può essere superata ed il percorso verso la valorizzazione del dato sarà nuovamente percorribile.

[1] Regulation (Eu) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).