di Annapaola Negri-Clementi
Il recente scandalo che ha coinvolto Facebook e Cambridge Analytica fa comprendere una volta di più a quali gravi abusi possano essere esposte le informazioni riguardanti dati personali, i quali costituiscono oggi un vero e proprio asset aziendale di inestimabile valore. L’impressione è che le istituzioni di tutto il mondo stiano già mettendo in atto misure drastiche al fine di arginare un utilizzo e una diffusione incontrollati dei dati personali degli utenti. In tale contesto, il ruolo e la responsabilità degli amministratori indipendenti possono diventare cruciali. L’indipendenza dalla gestione della società e dal capitale sociale concentrato, declinata nell’ambito della protezione dei dati personali, potrà essere richiamata in funzione di garanzia e tutela degli interessi di tutti gli stakeholder in gioco. E non si tratta solo dei soci di minoranza o dei dipendenti, ma anche di tutte le possibili controparti contrattuali che l’azienda può avere nello svolgimento della propria attività, o addirittura di qualsivoglia persona fisica con la quale l’azienda stessa entri in una relazione contrattuale.
Il Regolamento 2016/679/Ue, denominato General Data Protection Regulation (Gdpr) e applicabile dal prossimo 25 maggio, rappresenta in questo ambito una vera e propria rivoluzione rispetto alla disciplina previgente. Non si limita, infatti, a dettare una serie di adempimenti formali, ma introduce principi sostanziali che dovranno orientare i titolari del trattamento nella predisposizione di modelli idonei a garantire un’effettiva – e dimostrabile – protezione dei dati. Si tratta di una normativa che si inserisce a pieno diritto nei compliance program e tra i presidi di corporate governance.
Al fine di adottare un modello efficace, saranno necessari taluni fondamentali passaggi. In primo luogo la predisposizione di un adeguato sistema di deleghe. Le imprese (e i titolari) dovranno definire in modo chiaro e preciso i ruoli e le responsabilità dei soggetti adibiti, in concreto, al trattamento dei dati personali. Tale sistema, se ben attuato, potrà assicurare una serie di vantaggi. Permetterà, infatti, ai soggetti interessati di individuare con certezza gli interlocutori cui rivolgersi per richiedere informazioni ed esercitare i diritti sanciti dal Regolamento. Consentirà inoltre ai titolari del trattamento di provare con maggior facilità (anche di fronte a eventuali autorità di controllo) l’adeguatezza delle misure adottate per la protezione dei dati personali, limitando l’accesso ai dati e le operazioni di trattamento. I titolari saranno in grado, infine, di ripartire le competenze e, in caso di violazioni o negligenze, di delimitare le responsabilità, anche con riferimento all’applicazione delle sanzioni, che saranno particolarmente gravose (potranno arrivare fino a 20 milioni o il 4% del fatturato annuo).
In secondo luogo è doverosa una analisi integrata dei processi. Ciò si traduce, ad esempio, nella revisione della contrattualistica aziendale (contratti con fornitori, clienti e dipendenti) e nella messa a punto di sistemi gestionali che facilitino la tracciabilità delle operazioni di trattamento, la catalogazione dei dati in base alla tipologia, la modificazione e la rimozione dei dati, l’applicazione di misure di sicurezza adeguate (pseudonimizzazione, diversi livelli di codici di accesso, e così via).
Si rende dunque necessaria per le imprese l’adozione – e il costante successivo monitoraggio – di un modello di risk management adeguato alla tipologia di società, alla qualità/quantità di dati trattati, alle modalità di trattamento. In tale scenario, è opportuno che il consiglio di amministrazione, così come il comitato controllo e rischi, estendano le proprie competenze anche in materia di protezione dei dati personali e predispongano adeguati modelli di risk management e privacy governance conformi al Regolamento Europeo. È necessario, pertanto, che il consiglio di amministrazione si assicuri che tra le funzioni esecutive e le funzioni di controllo sia garantito un adeguato flusso di informazioni con riferimento – anche – alle attività e alle procedure costituenti il modello di privacy governance aziendale, nonché una tempestiva comunicazione di eventuali violazioni.
In conclusione, il nuovo Regolamento Gdpr – se ne si comprende correttamente la ratio sottostante – non potrà non avere impatto sul ruolo e sulle funzioni degli amministratori di società sia quotate che non. Nell’agenda degli organi di controllo, degli amministratori Indipendenti e del comitati controllo e rischi, pertanto, dovranno trovare inevitabilmente spazio i temi legati al controllo sulla gestione dei modelli di privacy governance adottati dalle società per conformarsi alla nuova normativa.
Tutto ciò rappresenta una vera e propria rivoluzione in ambito di protezione dei dati e dunque di protezione del valore delle informazioni sensibili di tutti noi. Inizia il conto alla rovescia per l’applicazione di una rigorosa normativa in materia di protezione dei dati personali. (riproduzione riservata)
Fonte: logo_mf