Siamo a un giro di vite sulla Privacy. Tanto che anche colossi del calibro di Google e Amazon non hanno esitato a dire sì all’Europa e alle sue richieste di adeguamento alla Gdpr, la General Data Protection Regulation che da maggio sarà il nuovo Codice europeo della privacy. A spingere in questa direzione, non ultimo, il recente caso di violazione dei dati Facebook che, scuotendo l’opinione pubblica e causando danni per milioni di dollari all’azienda di Zuckerberg, ha dimostrato che nessuno è indenne dalle trappole del cosiddetto data breach (violazione dei dati personali). Eppure, nonostante siano trascorsi già due anni dalla pubblicazione del Regolamento sulla Gazzetta Ufficiale dell’Unione Europea, ancora oggi sono in pochi a essere realmente pronti alla sfida del 25 maggio, giorno a partire dal quale le sue norme diventeranno definitivamente applicabili in tutti gli Stati membri dell’Unione europea.
In questi due anni le società avrebbero dovuto digerire i cambiamenti previsti e tramutarli in processi condivisi. Ma non solo. L’occasione offerta dal Gdpr era quella di creare una macchina capace di diffondere a raggera una “nuova cultura del dato”, in grado di trasformare gli investimenti fatti in questi mesi per adeguarsi alla normativa in volano di business. Ne è convinto Ugo Ettore Di Stefano (in foto), general counsel di Mondadori, scelto dal gruppo di Segrate come data privacy officer (Dpo). “Dare attuazione alla normativa comunitaria al solo fine di evitare le sanzioni che deriverebbero da un suo mancato recepimento sarebbe riduttivo – mette in guardia -. Accendere un faro sulla trasparenza nella gestione dei dati può rappresentare un volano di business anche in termini di engagement e fidelizzazione degli stakeholder. L’avvicinarsi del 25 maggio non può essere visto come un punto di arrivo (il limite massimo entro cui adeguarsi alle disposizioni comunitarie), ma deve rappresentare il kick-off per generare indotto positivo sui clienti, avvicinando le ragioni legali e commerciali verso punti di convergenza sempre più marcati, che pongano al centro dell’intera filiera gli interessi dei clienti e la trasparenza nei loro confronti”.
I nuovi obblighi
Il Regolamento prevede che ciascun titolare di una banca dati metta in campo tutte le misure per proteggerla, facendo un’analisi delle potenziali vulnerabilità: è il concetto della privacy by design e by default. Inoltre, deve tenere il registro dei trattamenti, uno strumento utile per fornire un quadro delle operazioni compiute con i dati personali. Deve, poi, nominare il data protection officer (il responsabile della protezione dei dati), una nuova figura a cui spetta garantire l’applicazione e il rispetto delle regole europee. Questi sono i passaggi dovuti, ma per cogliere appieno il significato che il legislatore comunitario ha dato alla normativa secondo Di Stefano bisognerebbe fare un passo in più.
Cosa ha fatto Mondadori
Mondadori ha colto la sfida, iniziando a lavorare sull’analisi di tutti i processi interni oltre un anno fa, attraverso un poderoso assesssment che lo stesso Di Stefano equipara per portata a una enorme due diligence. “È stato un lavoro capillare, in cui sono stati analizzati tutti i registri dei trattamenti dati per ogni unità di business – racconta a TopLegal – Esattamente come in caso di due diligence avevamo dei tempi da rispettare, faldoni di documenti da analizzare e processi da valutare per prendere le decisioni più efficaci sulla base delle evidenze emerse. Ed esattamente come in caso di una due diligence era indispensabile mettere in campo una squadra forte e coesa che potesse prendere in carico la sfida”.
Di fronte a questa grande riforma normativa, l’azienda ha deciso di non limitarsi a proclamare un presidio attraverso la sola nomina di un Dpo per il Gruppo (Di Stefano) e uno per la Francia, ma ha costituito un comitato con la presenza di rappresentanti di ogni singola unità di business, dell’internal audit e, naturalmente, della funzione legale. L’obiettivo fin da subito era chiaro: approcciare la questione in maniera organica in modo da creare una rete di ambasciatori interni, in grado di trasferire la nuova cultura del dato in ogni singola unità di business.
“Per trasformare una norma in volano di business servono presidi interni. Il primo passo da fare è fornire degli strumenti per la comprensione dell’opportunità che si può celare dietro un nuovo vincolo normativo. È per questo motivo che il data privacy officer dovrebbe anzitutto favorire la formazione interna, in modo da far percepire l’utilità dell’investimento sulla trasparenza”, sottolinea Di Stefano. Non negando che la scelta di inquadrare la nomina del Dpo sotto il cappello degli affari legali comporta certo uno sforzo in più. Quello di riorganizzare le risorse interne e creare una struttura a presidio, nonché quella di affrontare tematiche diverse dall’attività legale e societaria, entrando nei processi di It, nel marketing e ancor più nello sviluppo di tutti i progetti aziendali. Ma, proprio per questo, lo sforzo porta con sé una grande opportunità. Quella di armonizzare l’intera filiera aziendale, sfatando il vecchio mito dell’ostracismo normativo e della lontananza della funzione legale rispetto al business.
Il Regolamento Privacy, i suoi profili giuridici e gli aspetti operativi legati alla sua implementazione in azienda saranno oggetto di un evento in media partnership con TopLegal a cui prenderanno parte, oltre a Ugo Ettore Di Stefano, anche Andrea D'Agostino, responsabile Privacy di Mondadori e Luca Barlassina, senior legal counsel del gruppo. Tutti i dettagli dell'evento sono disponibili al seguente link.