- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Rischio chimico: chi ha la responsabilità della compilazione delle SDS?
- Gli infortuni nel settore industria e servizi nel 2022
- Sulla responsabilità per infortuni presso macchine non conformi
- Salute e sicurezza nei luoghi di lavoro: un manuale per la prevenzione
- Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Amianto, Direttiva UE 2023/2668: nasce una nuova figura professionale Autore: Ufficio Stampa
- Agenti cancerogeni e mutageni: ambienti di lavoro e attività a rischio
- Quando il comportamento di un lavoratore è imprevedibile o abnorme
- La valutazione del rischio e la prevenzione della violenza in sanità
- App per diabetici: il Garante Privacy multa una società di dispositivi medici Aveva inviato in chiaro e-mail a centinaia di pazienti diabetici
- Data breach: il Garante sanziona UniCredit per 2,8 milioni di euro Multa di 800mila euro anche alla società incaricata di effettuare i test di sicurezza
- Telemarketing: il Garante privacy sanziona Enel Energia La società non aveva protetto le sue banche dati da accessi di procacciatori abusivi
- L’RSPP non è tenuto ad assicurarsi che il datore di lavoro adempia
- E-mail dei dipendenti, il Garante privacy avvia una consultazione pubblica
- Antivirus prometteva di proteggere la privacy degli utenti ma in realtà faceva l’esatto opposto, Avast sanzionata per 16,5 milioni di dollari
- Lavoro, Calderone: in prossimo Cdm provvedimento organico in materia di salute e sicurezza
La privacy nell’era della sostenibilità: “Coinvolgere i Dpo nei comitati pubblici e privati”
Bisogna sensibilizzare in primis Consigli di amministrazioni e vertici istituzionali di enti e pubbliche amministrazioni sul ruolo determinante dal Data protection officer.
Determinante trovare un efficacie connubio per ridurre, con adeguati piani di governance e azioni mirate, l’impatto sull’ambiente del trattamento dei dati.
Uso, protezione, circolazione e valorizzazione dei dati – anche diversamente detta “privacy” – oggi anche in relazione allo sviluppo dell’intelligenza artificiale, e sostenibilità ambientale sono mondi sempre più legati e che sempre più richiedono di essere considerati congiuntamente. Per farlo, il coinvolgimento dei Dpo (Data protection officer) nei comitati di sostenibilità deve essere il primo punto nelle agende di aziende ed enti pubblici, sensibilizzando in primis i Consigli di Amministrazioni ed i vertici istituzionali di enti e pubbliche amministrazioni.
È questa una delle più importanti lezioni tratte dallo “State of Privacy 2023”, l’evento organizzato dall’Autorità Garante per la protezione dei dati personali qualche settimana fa, dedicato al dibattito e al confronto attorno a tematiche di assoluta importanza nell’ambito della data economy.
Tra queste c’era anche il rapporto tra privacy e sostenibilità. E dal tavolo di lavoro che ho avuto il piacere di moderare, grazie al contributo dei colleghi e professionisti presenti, è emersa la grande importanza, etica e strategica, di trovare un efficacie connubio tra trattamenti di dati e sostenibilità ambientale, per ridurre con adeguati piani di governance e azioni mirate l’impatto sull’ambiente dei trattamenti di dati.
Un’occasione per parlare dei temi che ruotano intorno al mondo Esg, sigla con cui da tempo si indica l’impatto di un business partendo dall’ambiente, la società e la gestione d’impresa (Environmental, Social, Governance).
Da diversi anni e sempre con maggior attenzione, richiesta anche dall’Europa, le imprese sono chiamate a rendere conto non solo dei loro bilanci finanziari, ma anche del loro impatto nel mondo.
Se l’ambiente è sicuramente il punto su cui molte aziende concentrano i propri sforzi, gli altri due temi sembrano, solo in apparenza, degni di meno attenzione.
L’evoluzione normativa
A livello normativo oggi si guarda alla direttiva europea 2022/2464 sul reporting di sostenibilità aziendale (Crsd, Corporate Sustainability Reporting Directive).
È notizia di qualche tempo fa che benché la Commissione stia pensando di concedere alle 50.000 aziende interessate più spazio per scegliere cosa includere nel report, ciò non dovrebbe avere un impatto sulla veridicità di tali report, specialmente quando si tratta di report legati a dati tangibili e misurabili, come quelli delle emissioni.
Intanto, però, è in lavorazione, proposta nel febbraio del 2022, anche una Direttiva sulla due diligence di sostenibilità delle imprese.
Dice la Commissione europea: “L’obiettivo di questa direttiva è quello di promuovere un comportamento aziendale sostenibile e responsabile e di inserire le considerazioni sui diritti umani e sull’ambiente nelle operazioni delle aziende e nella governance aziendale.
Le nuove norme garantiranno che le imprese affrontino gli impatti negativi delle loro azioni, anche nelle loro catene del valore all’interno e all’esterno dell’Europa”.
Nell’idea della Commissione, non c’è solo l’aspetto “burocratico”, tanto che si prevede una responsabilità civile per i danni che un mancato rispetto di quanto promesso possa arrecare. Si mette, insomma, nero su bianco, che i danni ambientali e i danni derivanti da una violazione dei diritti umani (privacy inclusa), deve essere risarcito.
Al momento la proposta è in via d’approvazione da parte del Parlamento europeo, per poi passare alla fase dei triloghi.
La protezione dei dati personali nei report Esg
Potrà sembrare strano, ma la protezione dei dati, ruolo che in azienda interessa in modo particolare i Dpo e le funzioni cosidette privacy interne, legal e compliance, ha una sua presenza in tutte le parti dei report ESG. Se prendiamo la tutela dell’ambiente, conosciamo bene come colossi come Google ed Apple ci tengano a farci sapere che fanno di tutto perché i loro data center siano carbon neutral, ovvero che abbiano emissioni pari a zero.
Come recita il famoso meme, infatti, “il cloud è solo il computer di qualcun altro”, e, pertanto, più dati mettiamo nel cloud, maggiore sarà l’impatto ambientale, nostro o dei nostri fornitori.
Applicare dunque il principio della minimizzazione dei dati personali, unito ad appropriate policy di data retention, è un modo per ridurre tale impatto, oltre ovviamente ai benefici derivanti dalla riduzione dei rischi in caso di data breach.
Ma sicuramente l’impatto maggiore che una mancata protezione dei dati personali può causare è quello sulla società.
Le persone, e quindi i clienti, sono sempre più attenti non solo all’ambiente, ma anche a come le aziende gestiscono i loro dati personali.
Non è un caso, infatti, che ciò che le aziende temono, soprattutto le grandi, nei casi di una indagine di una Autorità garante, non è tanto, o meglio solo, la sanzione pecuniaria, quanto il danno reputazionale.
Ogni volta che c’è una sanzione, la notizia di questa farà la sua strada sui motori di ricerca quando si cerca il nome dell’azienda online.
Se un’azienda come Apple ha fatto della privacy parte essenziale della sua value proposition e delle sue campagne di comunicazione e pubblicità, non si vede perché anche le aziende europee non debbano fare altrettanto.
Il ruolo dei Dpo
Ma perché il lavoro dei Dpo non resti solo sulla carta, e abbia davvero un impatto anche su queste metriche, occorre che sia maggiormente coinvolto dai board e dal management, e soprattutto ascoltato – e nel caso sia esso esterno ed indipendente – anche adeguatamente remunerato.
Servirà poi implementare delle modalità di reporting che siano misurabili, con Kpi che possano offrire una reale comprensione dei risultati positivi portati in azienda.
Se pensiamo alla formazione del personale, ad esempio, si potrà mostrare come siano sempre più i dipendenti coinvolti nel trattamento dei dati che abbiano conseguito una certificazione come quelle proposte da Iapp (che da questo mese ha anche lanciato la prima certificazione al mondo in materia di AI), oppure come l’azienda si sia impegnata ad ottenere la recente certificazione ISO 31700 che dimostra il rispetto dei principi di privacy by design, oppure come l’azienda aderisca a dei codici di condotta.
Sul piano della cybersicurezza si potrà tenere traccia del numero decrescente di incidenti e segnalazioni e dell’assunzione di più esperti o del positivo esito di penetration test e audit esterni.
Questo tipo di approccio sarà ancor più necessario quando l’AI Act entrerà in vigore per chi avrà necessità di dimostrare la propria compliance per ottenere, e mantenere, la fiducia dei propri clienti.
Fonte: corrierecomunicazioni.it
Spiegare la privacy con i film: prendiamo esempio dagli aerei
L’indifferenza verso le istruzioni di sicurezza aeree ha spinto diverse compagnie a innovare con cortometraggi coinvolgenti.
Questa strategia, se applicata alla trasparenza dei dati personali, potrebbe rivoluzionare il modo in cui le aziende comunicano con i loro utenti.
e compagnie aeree hanno, ormai da qualche anno, un problema: i viaggiatori non seguono più le dimostrazioni e le informazioni di sicurezza che vengono date in fase di decollo.
Per contrastare questa pericolosa indifferenza e catturare l’attenzione dei passeggeri, le compagnie hanno allora pensato di “somministrare” le istruzioni di sicurezza aeree sottoforma di cortometraggi. Una strategia innovativa che potrebbe essere applicata alla trasparenza dei dati personali e rivoluzionare la comunicazione aziendale.
Per non parlare del pieghevole con le stesse informazioni che giace adagiato nella tasca del sedile di fronte: pochi, per non dire nessuno, lo prendono in mano e nessuno o quasi nessuno lo legge per davvero.
Eppure si tratta di informazioni e istruzioni la cui conoscenza in caso di emergenza può davvero fare la differenza.
Ma non c’è niente da fare la pigrizia del nostro cervello è più forte della paura e della prudenza messe insieme.
Le contromisure delle compagnie aeree
Ora le compagnie aree – almeno alcune di esse – hanno deciso di reagire e di non rassegnarsi all’inutilità di una formalità che sarà pure prevista dalla legge ma è importante e preziosa per davvero.
L’inglese British, l’americana United, l’argentina Aerolineas e la stessa ITA, tra le altre hanno quindi cominciato a far scrivere e produrre degli autentici cortometraggi con ambizioni cinematografiche per tradurre le informazioni di sicurezza obbligatorie in immagini e scene difficili da non guardare perché capaci di attirare l’attenzione del più distratto dei passeggeri.
Aerolíneas Argentinas
Uno degli ultimi esempi di questo nuovo genere è quello delle Aerolíneas Argentinas, compagnia di bandiera argentina, che qualche mese fa ha presentato un nuovo video di istruzioni che ha come protagonista l’allenatore e lo staff tecnico della nazionale di calcio campione del Mondo in Qatar.
Una cosa è non guardare una hostess o uno steward che allacciano e slacciano una cintura di sicurezza e una cosa è non guardare i campioni del mondo che, con il sorriso sulle labbra e movenze da attori compassati, facendo leva sulla loro fama globale, raccontano come si fa a arrivare preparati a emergenze che, naturalmente, nessuno di noi vorrebbe mai vivere.
Il precedente della compagnia aerea neozelandese
E la scelta della compagnia aerea argentina non è originale perché, una decina di anni fa, la compagnia neozelandese, aveva chiesto l’aiuto dei suoi campioni di rugby, i famosi All Blacks per la stessa impresa: risvegliare dal torpore i passeggeri dei propri voli con un video che evocava il celeberrimo film Men in Black.
E lo sport, peraltro, ritorna anche in analoghi esercizi della nostra compagnia di bandiera.
Il “corto” di Britich Airways
Tra le più attive, in questo esercizio, certamente la British Airways.
Dopo un primo esercizio datato 2017 con lo chef Gordon Ramsay e gli attori Thandie Newton, Rowan Atkinson e Ian McKellen, qualche mese fa, ha lanciato un meraviglioso corto nel quale scommette sui propri dipendenti nei panni di compassati attori, su tanta multietnicità e su un cast di personaggi del mondo dello sport e dello spettacolo di tutto rispetto da dalla tennista Emma Raducanu all’attore Ncuti Gatwa passando per l’imprenditore e star televisiva di origini nigeriane Steven Bartlett.
Impossibile resistere non solo a guardarlo la prima volta ma anche la seconda e la terza e difficile persino resistere alla tentazione di condividerlo con gli amici.
Insomma la battaglia dell’attenzione sembra vinta o, almeno, indirizzata alla vittoria e il tamtam sui social è un alleato prezioso.
Peraltro è uno straordinario win win – vince la trasparenza e vince il business – perché con la scusa di dare ai passeggeri per davvero le informazioni di sicurezza, le compagnie aree con questi mini gioiellini cinematografici si fanno, ovviamente, pubblicità.
Un esempio da seguire anche per gli obblighi di trasparenza
Il problema e, anche la soluzione, sembrano da approfondire anche a proposito degli obblighi di trasparenza che la disciplina europea sulla protezione dei dati personali impone ai titolari del trattamento, obblighi, sin qui, con poche eccezioni, adempiuti sommergendo l’utente da lenzuolate di parole destinate a essere ignorate dai più.
Che succederebbe se le big tech, le compagnie telefoniche, le società energetiche, gli editori di giornali, i grandi titolari del trattamento – Stato incluso – da domani iniziassero a produrre analoghi video, chiedendo aiuto al mondo dello sport e dello spettacolo, per raccontare, ma per davvero, agli utenti chi farà cosa con i loro dati personali e come esercitare i loro diritti?
Continueremmo a ignorare le informazioni in questioni e a rinunciare a ogni forma di controllo sui nostri dati personali o ne diventeremmo accaniti spettatori, vedendo rapidamente accresciuta la nostra consapevolezza in materia?
Viene da pensare che se i video fossero del livello di quelli ai quali fanno ricorso le compagnie aeree, saremmo disponibili anche a guardarci intere “serie” di cine-informative sulla privacy.
E, probabilmente, a quel punto cambierebbe davvero qualcosa.
L’importanza di essere informati sulla tutela dei dati personali
Perché alle scelte che contano in fatto di dati personali potremmo arrivare informati e preparati e chissà che non ci penseremmo una volta in più prima di dar via i nostri dati personali in cambio di una congerie sempre più ampia di servizi e/o se non ci impegneremmo più a fondo per sottrarci a forme sempre più pervasive di profilazione pubblica e privata.
Specie in un momento nel quale trasparenza significa anche e soprattutto spiegare il funzionamento di centinaia di algoritmi diversi dai quali dipendono letteralmente le nostre vite, passare dall’attuale trasparenza essenzialmente formale e, per dircela tutta, un po’ ipocrita, a una trasparenza affettiva sembra la cosa più giusta da fare.
Dalla trasparenza per adempiere un obbligo di legge, alla trasparenza per raggiungere davvero un target, farsi capire, informare e educare le persone.
Conclusioni
Probabilmente prima ancora che un obbligo di legge figlio dell’unica residua interpretazione possibile della disciplina vigente, si tratta di una responsabilità sociale alla quale, nella società dei dati, specie i più grandi, del pubblico e del privato, non dovrebbero potersi sottrarre.
Chi sarà il primo a partecipare alla notte degli Oscar con un’informativa privacy adattata a cortometraggio di livello hollywoodiano?
Gli altri, inesorabilmente, poi arriveranno proprio come accaduto nel caso delle compagnie aeree
Fonte: agendadigitale.eu
