La protezione dei dati come responsabilità sociale d'impresa
Nell’attuale economia globale fortemente basata sullo scambio, l’analisi e la monetizzazione dei dati, le imprese (specialmente quelle di grandi dimensioni e multinazionali) devono considerare la protezione dei dati e la cybersecurity come fondamentali asset al fine di rimanere competitivi sul mercato, piuttosto che come semplici obblighi di conformità legale.
La necessità di un approccio socialmente responsabile all’utilizzo dei dati
L’economia globale è fortemente basata sullo scambio, l’analisi e la monetizzazione dei dati. Al contempo le normative volte a regolare il trattamento, lo scambio e la sicurezza di tali dati stanno proliferando. Sicuramente fino ad ora il Regolamento generale sulla protezione dei dati (General Data Protection Regulation “GDPR”) ha sancito non solo le regole d’ingaggio per trattare dati in maniera legittima e corretta nell’Unione Europea ma è utilizzato come fonte ispiratrice di simili legislazioni in molteplici paesi a livello mondiale. Il GDPR, che adotta un approccio volto a alla protezione dei dati personali basato sulla tutela dei diritti e delle libertà fondamentali, è appunto considerato una delle leggi in materia più articolate, complete e tutelanti al mondo. Con specifico riferimento all’impatto per l’Unione Europea, il GDPR fornisce regole chiare per le imprese e contribuisce alla riduzione della frammentazione normativa. Tuttavia, nonostante le indubbie pregevoli e ambiziose intenzioni del legislatore, osservando l'attuale stato di implementazione da parte delle imprese e analizzando la giurisprudenza (in termini di decisioni delle Autorità di controllo – che al 30 novembre 2023, hanno emesso oltre 2.140 decisioni [cfr. ICT Legal Consulting Global Privacy News, 2023]), risulta chiaro che questo strumento legislativo (e in generale la legislazione in sé) da solo non è sufficiente a garantire una società dei dati equa, rispettosa e sostenibile.
Partendo da queste premesse, dal 2020, presso lo European Centre on Privacy and Cybersecurity dell'Università di Maastricht (“ECPC”), Paolo Balboni e Kate Francis hanno lavorato insieme a folto gruppo di Stakeholder (che includono anche Autorità di controllo sulla protezione dei dati personali e sulla cybersecurity di vari paesi del mondo) al fine di sviluppare il primo framework sistematico, misurabile e auditabile di Data Protection as a Corporate Social Responsability (cfr. Maastricht University [UM]-DPCSR Framework, Balboni & Francis 2023).
La ricerca condotta dal Centro europeo (ECPC) conferma come, in un mercato basato sullo scambio, l’analisi e la monetizzazione dei dati, sia una necessità per le imprese di considerare la protezione dei dati e la cybersecurity come fondamentali asset al fine di rimanere competitivi sul mercato, piuttosto che come semplici obblighi di conformità legale. Sul punto, una molteplicità di studi hanno già dimostrato che un approccio strategico e rigoroso alla protezione dei dati e alla cybersecurity può generare un significativo ritorno sugli investimenti (ROI) (cfr. Cisco 2020 Data Privacy Benchmark Study, 2020) per le imprese nonché migliorare il loro score ESG (Environmental, Social and Governance) (cfr. PWC, 2022). E’ quindi chiaro che le imprese che svilupperanno i propri business gestendo i dati non solo in conformità alle normative applicabili ma anche in maniera equa, socialmente responsabile e sostenibile verranno sempre più premiate con maggiori investimenti e rendimenti e quindi avranno un vantaggio competitivo nell'economia digitale basata sui dati.
Questa ricerca e il relativo output, ossia il UM-DPCSR Framework, sono quindi volti a stimolare un approccio strategico e rigoroso alla protezione dei dati e alla cybersecurity, da considerare come asset aziendali, nonché a colmare quel limite legislativo sopra accennato attraverso 5 (cinque) principi e 25 (venticinque) regole volte a garantire una società dei dati più equa, rispettosa e sostenibile.
Sul punto è interessante osservare come i consumatori, soprattutto quelli più giovani, prestino sempre più attenzione alla responsabilità sociale e alla sostenibilità delle imprese dalle quali acquistano prodotti e servizi, che diventano vieppiù elementi determinanti nelle loro scelte di consumo (cfr. Versace & Abssy, 2022; Wood, 2022). Concrete azioni volte a dimostrate la responsabilità sociale d'impresa (Corporate Social Responsibility “CSR”) e più in generale nel dominio “ESG” (Environmental, Social and Governance) comprovate anche dal relativo ESG score, stanno acquisendo incrementale importanza non solo nell’opinione pubblica ma anche con riferimento alle valutazioni finanziarie e d’investimento (cfr. London Stock Exchange Group, n.d.). Negli ultimi anni, infatti, i principali fondi di investimento hanno costantemente ampliato i loro portafogli “sostenibili” (cfr. United Nations, 2021; Morgan Stanley Institute for Sustainable Investing, 2020). Comprovabili azoni di responsabilità sociale e un elevato ESG score sono dunque elementi estremamente rilevanti anche per consigli di amministrazione, azionisti e investitori. Al contempo, e coerentemente coi trend e le necessità sopra delineate, l'Unione Europea si sta muovendo per regolamentare meglio la sostenibilità attraverso iniziative legislative come la Corporate Sustainability Reporting Directive (cfr. Direttiva [EU] 2022/2464) e la Corporate Sustainability Due Diligence Directive (cfr. Proposta di Direttiva del Parlamento europeo e del Consiglio relativa al dovere di diligenza delle imprese ai fini della sostenibilità e che modifica la direttiva (UE) 2019/1937).
Cosa sono CSR e ESG?
La responsabilità sociale d'impresa può essere definita come la responsabilità che le imprese si assumono rispetto al loro impatto sulla società (cfr. European Commission, n.d.). Sul punto, la Commissione Europea precisa che, aderendo alle normative e integrando nelle condotte, nei processi e nelle strategie aziendali aspetti etici, di rispetto sociale e ambientale, le imprese possono comportarsi in modo responsabile. L'obiettivo della CSR è quindi quello di impattare positivamente sulla società, perseguendo interessi economici nel rispetto dei valori e delle esigenze socio-ambientali.
Impegnarsi nella CSR per una impresa significa assolvere agli obblighi di conformità legale come baseline e indirizzare poi azioni volte ad impattare positivamente non solo il business ma anche i propri dipendenti, clienti/consumatori (più in generale gli stakeholder coinvolti), nonché la società (intesa come dimensione sociale comune) nel suo complesso. Applicare questa logica alla protezione dei dati significa prendere come punto di partenza la legislazione applicabile in materia di protezione dei dati personali nonché di cybersecurity e basarsi su di essa per intraprendere attività di trattamento dei dati a vantaggio sia dell’impresa che della società nel suo complesso. Chiamiamo questo approccio Protezione dei dati come responsabilità sociale d’impresa (Data Protection as a Corporate Social Responsibility – DPCSR).
Il DPCSR si basa sui principi della CSR e dell’ESG per colmare il vuoto normativo lasciato dall’attuale legislazione sulla protezione dei dati, secondo il principio di “do good with data or, at the very least, to not harm individuals as a result of processing their data” sancito nel Digital Pact for Privacy and Cybersecurity to be Regarded as Social Responsibilities siglato a Maastricht il 6 settembre 2023 da decine degli Stakeholders che hanno partecipato al Progetto di Ricerca.
Questo approccio è volto a garantire una reale protezione dai dati dei soggetti interessati, una maggiore tutela dei loro diritti e libertà fondamentali nonché a supportare le imprese nel perseguire i propri obiettivi economici in una maniera responsabile e sostenibile, migliorando coerentemente anche il proprio ESG score.
Il Framework sulla protezione dei dati personali come responsabilità sociale d’impresa
Il Maastricht University Data Protection as a Corporate Social Responsibility Framework (UM-DPCSR Framework) sviluppato da Paolo Balboni e Kate Francis ha portato all'identificazione di 5 (cinque) principi, 25 (venticinque) regole e 44 (quarantaquattro) controlli che possono essere integrati dalle imprese che desiderano perseguire i propri obiettivi economici trattando i dati in una maniera responsabile e sostenibile. In sostanza, il UM-DPCSR Framework traduce principi etici teorici sul trattamento dei dati in chiari principi, regole pratiche e controlli azionabili (si veda di seguito la Figura 1 che riflette i primi due livelli – Principi e regole del UM-DPCSR Framework).
Adottando il UM-DPCSR Framework le imprese possono contribuire positivamente allo sviluppo di una economia data-driven responsabile e sostenibile al fine di sviluppare una società digitale democratica e rispettosa dei diritti e delle libertà’ fondamentali. In particolare, il UM-DPCSR Framework fornisce alle imprese gli strumenti necessari per promuovere la trasparenza (sul punto si veda l’applicazione delle icone sviluppate all’interno del progetto e applicate dalla Agenzia per la cybersicurezza nazionale: www.acn.gov.it/privacy-policy), la responsabilità, l'equità, la sicurezza delle attività di trattamento dei dati e la loro circolazione in una maniera che è altresì in linea con il principio di responsabilizzazione/accountability sancito nel GDPR.
Il concetto di DPCSR trasforma fondamentalmente la protezione dei dati in una nuova forma di responsabilità sociale d'impresa inserendola altresì all’interno del più ampio dell’ESG. Le imprese, rispettando le normative applicabili e perseguendo i propri obiettivi economici in una maniera responsabile e sostenibile potranno infatti anche migliorare il proprio ESG score.
A questo punto, non stupisce che la ricerca svolta e il relativo output – UM-DPCSR Framework – abbiano trovato un ampio supporto da parte di un ampio gruppo di stakeholder tra cui non solo multinazionali ma anche Autorità di controllo sulla protezione dei dati personali e sulla cybersecurity di vari paesi del mondo.
Riferimenti
Balboni and Francis, Data Protection as a Corporate Social Responsibility, Edward Elgar, 2023 (pre-order); Balboni and Francis, UM-DPCSR Framework, 16 March 2022
Balboni and Francis, Data Protection as a Corporate Social Responsibility: From Compliance to Sustainability to Generate Both Social and Financial Value, 22 October 2020, Maastricht University Website
PWC, Want to advance on ESG? Cyber and privacy can help, while boosting trust in your brand, 20 October 2022
Cisco, Cisco Data Privacy Benchmark Study 2020, January 2020
ICT Legal Consulting Global Privacy News, 2023
Balboni and Francis, New ground-breaking framework for building a sustainable data-driven economy: Data Protection as a Corporate Social Responsibility, 16 March 2022, Maastricht University Website
|
