Una ricerca condotta da Ibm alla fine del 2011 indicava che nel mondo ogni giorno venivano generati 2,5 quintilioni di byte (2,5 miliardi di gigabyte) di dati nel mondo. Questi numeri sono naturalmente datati, ma le stime indicano che l’ammontare di dati e informazioni digitali si incrementa di 10 volte ogni cinque anni. La svolta tecnologica che si è concretizzata nel terzo millennio ha prodotto un panorama di business del tutto inedito, che le aziende di qualunque natura non possono più ignorare. Sono stati le numerose violazioni dei dati (data breach) e scandali informatici a guidare la sfida dell’informazione negli ultimi anni, sollevando il problema della necessità di politiche per la gestione dei dati, una tematica che per prima ha avvicinato anche i legali a un mondo da cui si sentivano distanti e riparati. Tuttavia la questione oggi appare molto più complessa e pone alle direzioni legali delle sfide assolutamente innovative. Gli studi legali, anch’essi nel proprio business investiti da quest’ondata, devono altresì attrezzarsi per rispondere alle minacce – ma soprattutto alle opportunità – derivanti da questo nuovo scenario competitivo. Come affrontarlo? “Information governance: arriva la sfida 4.0” è stato il titolo del Corporate Counsel Forum di TopLegal, che si è tenuto lo scorso 5 luglio a Palazzo Mezzanotte in Piazza Affari a Milano, a cui hanno partecipato in qualità di relatori Valentina Tonna, senior legal advisor di Pfizer, Valerio Bruno, direttore affari legali di Accenture e Dino Dima, partner dello studio Curtis Mallet-Prevost Colt & Mosle.
Un asset strategico
Per le aziende e per la professione legale il tema della governance dell’informazione è divenuto cruciale a causa: dei doveri connessi alla tracciabilità e alla protezione dei dati, della necessità di individuare l’informazione necessaria nel momento in cui se ne abbia bisogno e per fornire una spinta maggiore al business. Il caso americano, che regola il possesso e l’utilizzo dei dati diversamente da quanto accade in Europa, è stato emblematico per lo sviluppo, per esempio, di tanti servizi tecnologici che oggi fanno parte della nostra quotidianità. Per questo l’information governance può essere definita come quel processo che trasforma i dati da rischi e responsabilità in asset strategici e affidabili. Il successo di una tale operazione può essere ottenuto solo se la gestione attiene a tutto il ciclo di vita dell’informazione, dalla sua creazione, passando per l’uso, la conservazione e infine la distruzione. L’information governance dunque investe l’azienda nel suo complesso, e prevede un vero e proprio framework di policy, procedure, tecnologie, sistemi informativi e meccanismi di applicazione con l’obiettivo di garantire una compliance affidabile da parte di tutti gli attori della società. Il flusso delle informazioni, l’accesso, l’interazione, i rischi e le responsabilità sono ambiti che vanno definiti chiaramente per creare un sistema adeguato che distingua le diverse tipologie di informazioni basate sull’importanza per il business e il rispetto delle norme.
La rivoluzione in corso
Il parallelo tra Usa ed Europa è calzante perché oltre a offrire i presupposti culturali di due diverse impostazioni nell’affrontare la questione, chiarisce la direzione che prenderà il nostro Continente con il General data protection regulation (Gdpr), il regolamento (Ue) 2016/679 che va a normare la gestione delle informazioni, la protezione dei dati e in particolare la privacy. Entrerà in vigore il 25 maggio 2018, e se multinazionali come Accenture e Pfizer stanno già da tempo preparandosi a questa vera e propria rivoluzione, molte aziende nostrane appaiono invece ancora impreparate a un appuntamento così ravvicinato.
L’adeguamento alle nuove norme potrebbe invero rappresentare l’opportunità per le aziende di affrontare finalmente questa criticità e trarne vantaggio, ma il sentiment diffuso nel Paese è che la maggior parte non abbia ancora iniziato una delle azioni fondamentali previste dal Gdpr, ovvero identificare e categorizzare i dati personali all’interno dell’azienda. Un ritardo che nel lungo termine potrà rivelarsi costoso. Il principio chiave della riforma viene sintetizzato in privacy by design, ossia garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche. Si supera dunque l’approccio formale – fare quanto previsto dalla legge – per approdare a uno sostanziale, valutando la soluzione più adatta per ogni caso concreto. Impossibile pensare di non adeguarsi: le multe saranno salate, fino a 20 milioni di euro o il 4% del fatturato, con l’importo definito dal valore maggiore tra i due, e proporzionali alle misure adottate per proteggere i dati rispetto al previsto privacy impact assessment. Il regolamento sarà applicato a qualsiasi azienda che possegga dati di cittadini dell’Unione europea all’interno dei propri sistemi, pertanto sono incluse non solo le imprese dell’Unione, ma anche le aziende che si trovano al di fuori.
Un’occasione di crescita
Tra le ulteriori novità introdotte dal nuovo Regolamento c’è l’introduzione di una figura di supervisione, il data protection officer, responsabile della protezione dei dati, al quale spettano compiti di sorveglianza sulla corretta applicazione della legge. Deve essere dotato di spiccate conoscenze della normativa e delle prassi in materia di privacy, avrà ampia autonomia (non risponde in caso di inosservanza del Regolamento), e avrà il compito di monitorare e assistere il responsabile e il titolare nel trattamento e nella gestione dei dati.
Tra i papabili per ricoprire questo ruolo ci sono naturalmente, oltre ai professionisti dei dipartimenti Compliance, Risk e It, proprio i legali in house. Le esperienze di Bruno e Tonna raccontano finora di direzioni legali che sono state capaci di operare in maniera trasversale sul tema della gestione dei dati nelle proprie aziende. E se non si può certo pensare di gettare tout-court la complessa gestione dell’information governance sulle spalle dei legali, di certo tuttavia si può auspicare che questa occasione offra ulteriore spazio di crescita dei legali all’interno dei processi aziendali, assumendosi nuovi compiti di coordinamento su un tema così delicato ma altrettanto decisivo. La collaborazione con le altre funzioni aziendali, inoltre, può essere senz’altro la chiave per superare una visione di responsabilità settoriale e portare ancor di più di quanto accada oggi i legali su un terreno proattivo, che si confronti, perché no, anche con un’area apparentemente lontana come il marketing.
Di seguito, il video integrale della tavola rotonda:
L'articolo è stato pubblicato sul numero di agosto-settembre di TopLegal Review.