La compliance al GDPR: costo o investimento? In una recente pubblicazione, la Commissione francese per la protezione dei dati (CNIL) ha esaminato l’impatto economico dell’adeguamento al GDPR su enti ed imprese. Dalla valutazione condotta sono emersi sia i benefici, in…

Mancata nomina di un responsabile: quali conseguenze e sanzioni? In seguito ad un reclamo per la pubblicazione di una graduatoria online da parte di un Comune, il Garante ha rilevato l’omessa regolamentazione dei ruoli privacy, in relazione alle funzioni affidate…

Come si realizza una DPIA su un sistema di Intelligenza Artificiale? La guida dell’ICO Lo scorso 19 giugno l’Information Commissioner's Office (“ICO”), Autorità Garante inglese per la protezione dei dati, ha pubblicato la decisione sul caso “My AI”, il chatbot…

Il Garante pubblica la relazione annuale. Cosa ci insegna il 2023? Spunti per il futuro    L’ultima relazione annuale del Garante per la protezione dei dati personali presenta delle peculiarità importanti. Oltre alla consueta sintesi dell’attività svolta dall’Autorità durante lo scorso…

Cosa inserire nelle istruzioni al personale? Fra accountability e best practices    L’articolo 29 del GDPR prevede l’obbligo, in capo ad enti ed imprese, di istruire tutti i soggetti che abbiano accesso a dati personali. In questo articolo abbiamo visto quali sono…

L’AI migliora l’efficienza del lavoro, ma è sempre necessaria una verifica    Secondo l'Osservatorio HR Innovation Practice del Politecnico di Milano, tre aziende su dieci utilizzano soluzioni di Intelligenza Artificiale (AI) per supportare i processi delle risorse umane. Queste soluzioni comprendono…

E-mail e metadati: le indicazioni definitive del Garante     Al termine di un iter oggetto di un’ampia discussione, il Garante per la protezione dei dati personali ha pubblicato il nuovo documento di indirizzo sui metadati. Seppure il provvedimento abbia…

Meta userà i tuoi dati per alimentare l’Intelligenza Artificiale: ti spieghiamo - step by step - come fare ad opporti Dal 26 giugno i dati personali di tutti gli utenti di Facebook e Instagram verranno utilizzati per addestrare i sistemi…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare…

Privacy e reporting di sostenibilità (ESG): il ruolo del DPO

In risposta alla domanda di mercato ed in ossequio alla normativa europea, nei prossimi anni la stragrande maggioranza di enti ed imprese si dovrà dotare di un sistema di reportistica su temi di sostenibilità. Sottovalutare l’importanza del c.d. “bilancio di sostenibilità” potrebbe ripercuotersi sul posizionamento di mercato dell’organizzazione e sul rapporto della stessa con clienti e istituti di credito. Quali elementi relativi alla protezione dei dati personali dovrebbero essere rendicontati nel bilancio? Che posizione riveste il DPO nel processo di rendicontazione?

 
Introduzione al bilancio di sostenibilità

Il bilancio di sostenibilità o framework “ESG” (Environmental, Social, and corporate Governance), consiste in un reporting non finanziario pubblicato da un ente o impresa, che illustra gli impatti economici, ambientali e sociali collegati alle sue attività: presenta i valori dell’organizzazione, il suo modello di governance e il legame tra la sua strategia, i rischi, le politiche e gli impegni nel lungo termine per la sostenibilità. La sua redazione aiuta a misurare, comprendere e comunicare le prestazioni economiche, ambientali, sociali e di governance, quindi a fissare obiettivi e gestire i cambiamenti in modo più efficace.

Il bilancio di sostenibilità stimola, inoltre, tutte le organizzazioni ad assumersi la responsabilità (accountability) nei confronti degli interlocutori, sia interni sia esterni, rispetto agli impatti generati. Per “impatti” si intendono gli effetti, positivi o negativi, che l’organizzazione ha o potrebbe avere sull’economia, sull’ambiente e sulle persone, compresi i loro diritti umani fondamentali. Proprio in tale contesto si inserisce la necessità di rendicontare rispetto “alla protezione dei dati di carattere personale”, diritto riconosciuto come fondamentale di ogni individuo dall’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea. Quali temi privacy devono assolutamente essere inseriti nel bilancio? Quali standard seguire per la rendicontazione? Continua a leggere per saperne di più.

Obblighi diretti e indiretti di adeguamento: il panorama normativo

L’origine del reporting di sostenibilità (rendicontazione della sostenibilità), è da ricercarsi nell’Accordo di Parigi sul clima, un trattato internazionale siglato nel 2016 tra gli Stati membri della Convenzione quadro delle Nazioni Unite sui cambiamenti climatici (UNFCCC), il quale persegue l’obiettivo ultimo di rafforzare la risposta mondiale alla minaccia posta dai cambiamenti climatici, nel contesto dello sviluppo sostenibile e degli sforzi volti a eliminare la povertà.

Facendo seguito all’Accordo, la Commissione europea ha adottato una serie di proposte normative per consentire all’UE di raggiungere la c.d. “neutralità climatica” entro il 2050 (ovvero l’abbattimento di emissioni nette di CO2 e gas serra).

  • Fra queste, la Direttiva 2014/95/UE – c.d. NFRD (Non-Financial Reporting Directive) – ha modificato la Direttiva 2013/34/UE per quanto riguarda la comunicazione di informazioni di carattere non finanziario, disponendo che, talune imprese di grandi dimensioni, comunichino informazioni sui seguenti ambiti: modello commerciale; politiche, comprese le procedure di dovuta diligenza; il risultato di tali politiche; rischi e gestione dei rischi; e indicatori fondamentali di prestazione pertinenti per l’attività dell’impresa. 
  • Più di recente, la Direttiva 2022/2464 – c.d. CSRD (Corporate Sustainability Reporting Directive) – è intervenuta per “accrescere la pertinenza, l’uniformità e la comparabilità delle informazioni comunicate da talune imprese e taluni gruppi di grandi dimensioni in tutta l’Unione”, estendendo l’ambito di applicazione degli obblighi di rendicontazione.

Ad ampliare ulteriormente il bacino di organizzazioni coinvolte nella rendicontazione di sostenibilità, concorre il fatto che le imprese obbligate a redigere il bilancio, ai sensi della CSRD, devono fornire anche diversi indicatori di sostenibilità relativi alla loro catena del valore (“value chain”). Ne deriva che enti ed imprese che operano come fornitori di un’organizzazione obbligata al rispetto della CSRD, devono, a loro volta, predisporre, e condividere con la stessa, informazioni sulla propria sostenibilità aziendale.

Accountability e immagine: eco actives e privacy actives

Agli obblighi normativi, diretti ed indiretti, sopracitati, si affianca anche un più ampio discorso di immagine. L’azienda che dimostra di essere attenta a temi particolarmente attuali e sentiti dai consumatori, è un’azienda più attraente.

Il rispetto dell’ambiente, così come l’attenzione alla privacy, infatti, rappresentano dei driver capaci di orientare le scelte di consumo. A riprova di ciò parlano i numeri:

  • Nel corso del 2022 l’ISTAT ha pubblicato i dati aggiornati relativi alle “Preoccupazioni ambientali”, evidenziando la cresciuta sensibilità dei cittadini rispetto alle tematiche ambientali (fra cui, in primo luogo, il cambiamento climatico). Secondo le statistiche riportate dall’agenzia ANSA, è in aumento anche il numero dei consumatori c.d. “Eco Actives” vale a dire coloro che si sentono responsabili in prima persona per l’ambiente e che stanno modificando i propri comportamenti di acquisto.
  • Allo stesso modo, le principali indagini condotte da istituzioni ed enti terzi in relazione al tema della protezione dei dati indicano che la consapevolezza degli interessati rispetto alla privacy è in forte crescita. Anche in questo settore è possibile individuare un gruppo di soggetti attivi, i c.d. “Privacy Actives”, ovvero soggetti che hanno già rivisto le proprie abitudini di consumo e che conoscono i mezzi di tutela a disposizione.

Rispetto all’affermazione “Credo che il modo in cui un’azienda tratta i miei dati personali sia indicativo del modo in cui mi considera come cliente”, l’81% degli intervistati ha dichiarato di trovarsi d’accordo. Questo chiarisce l’importanza di rendicontare rispetto al tema della protezione dei dati personali. Come fare?

AI principali standard di rendicontazione

Una corretta valutazione degli elementi da inserire nel bilancio ESG, deve basarsi su standards internazionali univoci e ampiamente condivisi. I considerando alla NFRD ed alla CSRD richiamano i criteri di rendicontazione forniti dalla Global Reporting Initiative (GRI). La CSRD, in particolare, dispone che:

“i principi di rendicontazione di sostenibilità dovrebbero tenere conto, ove opportuno, dei principi e dei quadri di riferimento esistenti per la contabilità e la comunicazione in materia di sostenibilità. I principi e i quadri esistenti includono quelli elaborati dalla Global Reporting Initiative, […”>” (c. 43). Ancora: “I fattori di governance più rilevanti per gli utenti sono elencati da quadri di riferimento autorevoli in materia di rendicontazione, come la Global Reporting Initiative” (c. 50).

È bene sottolineare che sono presenti anche altri criteri di rendicontazione applicabili e che sono in corso di definizione i principi europei di rendicontazione della sostenibilità (“ESRS”). Tuttavia, attualmente, gli Standards GRI rappresentano lo strumento di rendicontazione più utilizzato, e sono adottati dal 100% delle aziende quotate soggette al D.Lgs. 254/2016, che applica in Italia la Direttiva NFRD (fonte: Osservatorio sulla Dichiarazione Non finanziaria, marzo 2021).

I “Global Reporting Initiative Sustainability Reporting Standards” (GRI Standards) costituiscono, quindi, uno dei principali riferimenti tecnico-metodologici per la raccolta di parametri di rendicontazione della sostenibilità e permettono ad enti ed imprese di:

  • valutare i loro impatti negativi e/o positivi sull’economia, sull’ambiente e sulle persone;
  • definire gli argomenti più rilevanti da rendicontare.
Rendicontare sulla protezione dei dati: il GRI 418

Fra gli argomenti rilevanti da rendicontare, alla luce dei dati sopra esaminati, risulta essenziale che l’organizzazione tratti la protezione dei dati personali. Il “GRI 418: Customer Privacy 2016”, in abbinamento alle informazioni richieste dalla “Disclosure 3-3: Gestione degli argomenti rilevanti”, può costituire un valido punto di partenza per la rendicontazione di questo tema.

Seguendo gli Standards GRI, nel bilancio di sostenibilità dovrebbero essere riportate, fra le altre cose, informazioni su:

  • Le azioni, le politiche, gli impegni assunti dalla società per migliorare la protezione dei dati personali;
  • I processi interni per monitorare il raggiungimento degli impegni e degli obiettivi in materia di protezione dei dati personali;
  • Le procedure operative presenti in materia di protezione dei dati personali;
  • il numero totale di reclami ricevuti in merito a violazioni della privacy degli interessati;
  • il numero totale di fughe, furti o perdite di dati (data breach) degli interessati.

Oltre agli elementi da rendicontare richiesti dagli Standards GRI, l’organizzazione può (e dovrebbe) scegliere di integrare ulteriori informazioni, utili a rendere conto, a tutti gli stakeholder, dell’attività di adeguamento dell’organizzazione alle norme applicabili all’argomento rilevante della protezione dei dati personali.  

Si potrà quindi dare evidenza dei seguenti elementi:

  • La presenza di un indirizzo e-mail o call center dedicato alla privacy, dove pervengono le istanze degli interessati in materia di privacy e dove possono essere segnalate le eventuali violazioni dei dati personali (data breach);
  • La presenza di un Team Privacy interno per la gestione delle tematiche connesse alla protezione dei dati personali e all’applicazione del GDPR;
  • L’implementazione di processi per il presidio della conformità, il rispetto degli obblighi normativi e la periodica valutazione dei rischi;
  • La presenza di politiche per la gestione e prevenzione dei potenziali impatti negativi derivanti dal trattamento dei dati (un vademecum IT; una data breach policy; una procedura per l’esercizio dei diritti privacy; una procedura per garantire il rispetto dei termini di conservazione definiti dal titolare; una procedura per garantire il rispetto dei principi fondamentali del GDPR; etc.);
  • L’attività di formazione in materia di protezione dei dati personali;
  • La presenza di istruzioni per i soggetti incaricati al trattamento e di nomine per i responsabili esterni, con indicazioni sulle corrette modalità di gestione dei dati trattati per conto del titolare;
  • La presenza di procedure di valutazione della conformità privacy dei fornitori, per garantire agli interessanti anche il presidio dei trattamenti affidati a terze parti;
  • Etc.
Il ruolo del DPO

Rendicontare di privacy significa quindi dimostrare, pubblicamente, le azioni intraprese per proteggere i dati personali e adeguarsi alle norme applicabili.

Nell’ampio spettro di compiti assegnati al DPO dall’articolo 39 del GDPR, vi rientra l’attività di informazione e consulenza in merito agli obblighi derivanti dall’applicazione del Regolamento europeo in materia di protezione dei dati personali. Se fatto con criterio, rendicontare di privacy all’interno del bilancio di sostenibilità può costituire una misura organizzativa volta a “garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (articolo 24). Spetta quindi al DPO verificare che le informazioni inserite nel bilancio siano effettivamente utili anche per l’accountability privacy del titolare.

Articolo a cura di Matteo Colombo, Amministratore delegato e Data Protection Consultant, e Federico Corti, Data Protection Consultant.

La normativa è in evoluzione e gli Standards applicabili per la rendicontazione di sostenibilità sono in continuo aggiornamento. Contattaci per qualsiasi informazione Labor Project è a disposizione.
Follow us on
Our Gallery