ESG e privacy

La rendicontazione di sostenibilità, mediante la realizzazione di un bilancio ESG (Environmental, Social, Governance), si sta consolidando come elemento chiave per garantire che un’organizzazione non arrechi danni all’ambiente e generi valore per tutti gli stakeholders, compresi fornitori, clienti, dipendenti, azionisti, etc.

Secondo l’ultimo rapporto di PwC, multinazionale che fornisce servizi di consulenza, infatti, nel 2021 sono stati investiti circa 18,4 miliardi di dollari da parte di aziende per raggiungere gli obiettivi di sostenibilità e questo numero aumenterà dell’84% fino a 33,9 miliardi di dollari entro il 2026. L’integrazione dei principi ESG nelle strategie di impresa sta realmente contribuendo a migliorare il rapporto fra organizzazioni, ambiente e società.

Nella cornice della rendicontazione, l’ampio uso dei dati personali fa sì che la privacy dei dati sia diventata un tema materiale particolarmente rilevante: maggiori sono le attività di trattamento svolte dall’organizzazione, maggiori saranno gli impatti sul rating ESG.

“La privacy e la protezione dei dati sono uno dei principali rischi aziendali, eppure il legame con la rendicontazione ESG o con temi quali l’ambiente, il sociale e la governance è ancora nuovo e poco sviluppato. È giunto il momento di aumentare la consapevolezza e di elevare la privacy nel reporting di sostenibilità” (incipit tratto dal Whitepaper Piccaso “Explaining the role of privacy in ESG”).

 

Privacy come scelta etica

In occasione dello IAPP Global Privacy Summit 2023, a cui ha partecipato anche il CEO di Labor Project Matteo Colombo, Tim Cook, CEO di Apple, ha dichiarato che “la privacy è la battaglia più importante del nostro tempo”. L’impegno delle big tech per la protezione dei dati è in crescita, in modo direttamente proporzionale alla consapevolezza degli utenti, che desiderano maggiori tutele.

La moltitudine di gravi violazioni dei dati che si verificano ogni giorno, però, dimostra che, per molte aziende, la privacy è ancora considerata solo come un adempimento, una casella di conformità da spuntare.

Le iniziative volte a garantire la protezione dei dati personali dei consumatori, invece, dovrebbero nascere da un autentico rispetto nei confronti degli stessi e dal semplice desiderio di fare la cosa giusta. Se la rendicontazione di sostenibilità formalizza l’impegno delle aziende a comportarsi bene con i loro clienti, i loro dipendenti, la società e l’ambiente, allora incorporare la privacy sotto la stessa bandiera è il passo logico successivo.

 

Perché la privacy è uno dei prossimi pilastri dell’ESG?

Il fattore etico non rappresenta l’unica spinta verso la rendicontazione della privacy. L’instabilità geopolitica e sociale, la disinformazione guidata dai dati (deepfake) e la costante crescita di attacchi ransomware sono solo alcune delle recenti minacce che hanno costretto i governi ad intervenire. Ad oggi, infatti 137 Paesi su 194 dispongono di una legislazione in vigore, o in fase di bozza, per garantire la protezione dei dati e la privacy (dati del “United Nations Conference on Trade and Development (UNCTAD)” – “Data Protection and Privacy Legislation Worldwide”).

In aggiunta al fattore etico e agli obblighi normativi, è evidente che la crescita esponenziale dell’utilizzo di dati personali da parte delle aziende genera un impatto, che non può essere trascurato, su tutti gli elementi ESG:

– E – Ambiente: dalla gestione e archiviazione di grandi quantità di dati deriva un elevato impatto sull’ambiente. Ad esempio, secondo uno studio pubblicato sul settimanale “The Economist”, l’addestramento del modello di IA generativa ChatGPT-3 ha utilizzato 3,5 milioni di litri d’acqua, consumando 1,3 Gigawatt all’ora. Una quantità enorme, soprattutto se si considera che il modello è stato addestrato utilizzando efficienti datacenter statunitensi. Si rende necessario, quindi, ricorrere all’automazione, ad attività di audit e di razionalizzazione, che si traducono in meno dati (sia archiviati in sistemi automatizzati che in documenti cartacei), meno e-mail e documenti stampati e, conseguentemente, in una minore impronta di carbonio ed un minore impatto sull’ambiente;

– S – Sociale: garantire la trasparenza significa offrire a clienti, consumatori e a tutti gli stakeholders in generale un maggiore controllo sui propri dati. Favorire una maggiore trasparenza aumenta la fiducia, il valore del marchio e l’immagine dell’azienda;

– G – Governance: programmi maturi di governance dei dati, compresa una migliore gestione dei diritti degli interessati, rafforzano la conformità alle norme, migliorano l’approccio alla gestione dei rischi e riducono l’entità dei danni in caso di incidenti.

Una criticità: le attuali modalità di rendicontazione ESG?

Nonostante i significativi sviluppi normativi in materia di protezione dei dati, non c’è ancora stato un cambiamento equivalente nella rendicontazione ESG. Gli Standard internazionali attualmente disponibili non sono sufficienti per determinare l’efficacia della privacy dei dati all’interno delle varie organizzazioni.

Se pensiamo, ad esempio, agli Standard del Global Reporting Initiative (GRI), l’unico riferimento alla rendicontazione delle azioni privacy è costituito dal “GRI 418: Privacy dei clienti”, incluso fra i temi sociali (serie 400), che include un solo requisito da rendicontare, strettamente correlato alle violazioni dei dati subite.

Ne deriva che l’importanza della privacy, allo stato attuale, non è sufficientemente riconosciuta. In attesa dell’entrata in vigore degli Standard europei ESRS, sono necessarie ulteriori misure qualitative per contribuire a mostrare il quadro completo di un’efficace governance della privacy e delle pratiche adottate per la tutela dei dati personali.

Cosa bisognerebbe considerare per la rendicontazione ESG?

• La minimizzazione dei dati: come anticipato, gestire più dati significa una maggiore impronta di carbonio e più problemi di governance e di sicurezza. Affrontare il tema della minimizzazione dei dati è fondamentale per dimostrare di raccogliere e conservare solo i dati necessari per l’elaborazione legittima dei dati;
• La conservazione dei dati: anche la conservazione dei dati rappresenta un tema importantissimo da rendicontare. I dati non più necessari devono essere cancellati, con conseguente riduzione dei consumi relativi all’infrastruttura server e riduzione dei costi in servizi cloud;
• L’hosting dei dati: in correlazione al punto precedente, la revisione delle opzioni di hosting e archiviazione dei dati aiuta a ridurre l’impronta di carbonio. Ad esempio, affidandosi a centri dati multi-tenant per l’archiviazione dei dati digitali si riduce al minimo il consumo energetico utilizzando strutture condivise;
• La gestione dei diritti degli interessati: in relazione alla gestione delle richieste privacy, varie misure possono essere rendicontate. Ad esempio, l’organizzazione che mette a disposizione un apposito portale online ai clienti, per l’invio delle istanze, riduce la quantità di carta e di spese postali. Inoltre, rende più efficiente il processo e abbatte la manodopera interna;
• La privacy by design e la privacy by default: i requisiti di privacy dovrebbero essere incorporati all’inizio di qualsiasi nuovo trattamento dei dati. In questo modo, le organizzazioni riducono il potenziale uso improprio o la perdita di dati personali, a tutto vantaggio della conformità legale e della fiducia dei clienti;
• La trasparenza e la gestione del consenso: l’organizzazione dovrebbe fornire e rendicontare informazioni chiare su come vengono utilizzati i dati personali, in modo da promuovere la fiducia degli stakeholders. Anche le modalità di gestione del consenso dovrebbero essere trasparenti e rispettose dei diritti degli interessati;
• La cultura, formazione e consapevolezza: l’utilizzo di misure di formazione interattive insieme ad attività di coinvolgimento dei dipendenti favoriscono la cultura della privacy e una buona governance dei dati.

10 suggerimenti per rendere la privacy parte della sostenibilità d’impresa

1. Chi gestisce la protezione dei dati personali all’interno dell’azienda dovrebbe avere voce in capitolo al tavolo dei dirigenti quando si discute di ESG;
2. Aumentare l’automazione della privacy attraverso appositi applicativi che ne supportino la gestione. Il passaggio a strumenti automatizzati non solo elimina tutta la carta, ma fa anche risparmiare tempo, migliora la qualità dei processi e la collaborazione;
3. Utilizzare le tecnologie di miglioramento della privacy (PET). Attraverso le PET, le organizzazioni sono in grado di pseudonimizzare o anonimizzare i dati con conseguente abbattimento dei rischi in caso di breach;
4. Aggiungere domande ESG all’interno delle valutazioni d’impatto sulla protezione dei dati (DPIA) e nei registri delle attività di trattamento. Ad esempio: quanto sono sostenibili i fornitori terzi? I fornitori terzi rendicontano anche sulla protezione dei dati personali?;
5. Impegnarsi quotidianamente nel garantire il rispetto delle norme in materia di protezione dei dati personali e rendicontare dove la conformità alla privacy e alla protezione dei dati può agire come un fattore di differenziazione;
6. Promuovere la collaborazione fra Team Privacy e Team ESG in modo da ottimizzare le risorse e favorire la condivisione ed il raggiungimento degli obiettivi. Ad esempio, valutando l’impatto delle soluzioni di archiviazione dei dati sugli obiettivi di sostenibilità di un’organizzazione o promuovendo campagne congiunte che mettano in evidenza le pratiche etiche di gestione dei dati;
7. Investire in progetti di smaltimento dei dati migliora la conformità alla privacy, ma riduce anche le esigenze di cloud computing, l’impronta di carbonio e i costi energetici;
8. Investire in una migliore gestione dei dati e in pratiche di sicurezza può portare a un minor numero di violazioni dei dati, che si traducono in un risparmio finanziario da potenziali sanzioni. Inoltre, l’ottimizzazione delle politiche e delle attività di elaborazione dei dati può ridurre l’archiviazione di dati non necessari e l’impronta di carbonio;
9. Valutare regolarmente le pratiche dell’organizzazione rispetto agli standard del settore, al feedback delle agenzie di rating e dei concorrenti. Utilizzare le informazioni per identificare le aree di miglioramento, i rischi potenziali e le opportunità di innovazione;
10. Allineare l’attività con il reporting ESG. Privacy e ESG devono andare di pari passo. Assicuratevi che il personale sia informato in anticipo sugli obiettivi che ci si aspetta in materia di privacy e cercate le opportunità per dare maggiore risalto alla privacy divulgando informazioni sui risultati ottenuti, sugli obiettivi a lungo termine, sui rischi potenziali e sulle strategie per affrontare i problemi.

Privacy ed ESG alleati nella costruzione di un futuro sostenibile

In conclusione, sebbene la rendicontazione della privacy sia ancora agli inizi, è già evidente che:

• La protezione dei dati personali svolge un ruolo centrale nella rendicontazione ed è il prossimo pilastro chiave ESG;
• È necessaria una maggiore collaborazione e un maggiore lavoro da parte delle istituzioni per garantire Standard di rendicontazione sulla privacy più significativi;
• Misure quantitative e qualitative sulla privacy dovrebbero essere al centro delle valutazioni ESG;
• Privacy e ESG possono essere potenti alleati nella costruzione di un futuro più sostenibile.

Se desideri supporto nella compliance alle norme e nel conseguente processo di rendicontazione della conformità privacy contattaci. I servizi di Labor Project abbracciano privacy e sostenibilità, in modo da garantirti una rendicontazione ESG moderna e completa.