Titolo della tesi: Privacy e Responsabilità Sociale d'Impresa: la certificazione ISO/IEC 27701:2019 e l'implementazione del Privacy Information Management System
L’avvento del Regolamento Europeo 2016/679 ha segnato ufficialmente l’inizio dell’era del General Data Protection Regulation (GDPR) e la fine dell’era pionieristica della protezione dei dati personali mediante l’abrogazione della «Direttiva madre» n. 95/46/CE, figlia di un dibattito culturale e giuridico sul trattamento dei dati ormai datato. L’incessante evoluzione tecnologica e il conseguente mutamento di scenario hanno imposto per la prima volta la definizione di un quadro normativo comune vincolante per tutti gli Stati membri dell’Unione Europea, con l’obiettivo di uniformare e armonizzare la disciplina, eliminando le barriere che le frammentazioni normative hanno creato nel corso del tempo. Le sempre maggiori istanze per la protezione dei dati e la definitiva efficacia in tutta l’Unione Europea del GDPR, con la piena vigenza delle sanzioni previste per le violazioni, hanno portato ad un importante passo in avanti nella definizione di schemi di certificazione dei trattamenti. Il GDPR stabilisce a carico del titolare e del responsabile del trattamento il c.d. principio di responsabilizzazione (o accountability). Questo si traduce nell’adozione di misure tecniche ed organizzative adeguate volte a garantire e dimostrare che il trattamento dei dati personali posto in essere è conforme ai principi stabiliti dal Regolamento UE 2016/679. Con il principio di accountability il legislatore europeo ha voluto garantire il massimo rispetto delle regole di correttezza e trasparenza nell’utilizzo dei dati personali, imponendo al titolare e al responsabile un comportamento proattivo e concreto, volto a prevenire i rischi cui potrebbero essere sottoposti i dati personali trattati. Le organizzazioni devono essere responsabili dell'attuazione dei requisiti applicabili in materia di protezione dei dati e devono farlo per essere in grado di dimostrare la loro conformità. Una maggiore responsabilità si traduce in maggiori benefici: le aziende con valutazioni di responsabilità più elevate sperimentano minori danni economici legati alle violazioni e maggiori ritorni. La certificazione ISO/IEC 27701:2019 è stata progettata per essere applicata sia dai titolari che dai responsabili del trattamento ed è fondata su un approccio basato sul rischio, in modo che ogni operatore che voglia essere conforme affronti i rischi specifici riguardanti il trattamento dei dati. Poiché i mercati continuano a evolvere, le imprese dovrebbero considerare seriamente la possibilità di continuare ad investire e dare priorità agli investimenti in ambito privacy al fine di ottenere certificazioni esterne e maggiore trasparenza nelle attività di elaborazione. La protezione dei dati rappresenta una nuova ed efficace forma di Responsabilità Sociale d’Impresa (RSI) che deve essere sempre più concepita dalle organizzazioni come risorsa e non come un costo o un mero adempimento burocratico. È sempre più necessario andare oltre il minimo indispensabile richiesto dalle leggi in quanto la privacy è un imperativo di business e le imprese stanno constatando ritorni molto positivi sui loro investimenti. Per questo motivo occorre creare una forte governance organizzativa e accountability per poter dimostrare agli stakeholder interni ed esterni la maturità del programma e l’impegno in materia di privacy. L’architettura giuridica dei meccanismi di responsabilità prevede due livelli, dei quali il primo è costituito da un obbligo di base vincolante per tutti i titolari del trattamento, consistente nell’attuazione di misure e procedure e nella conservazione delle relative prove, mentre il secondo livello include sistemi di responsabilità di natura volontaria eccedenti le norme di legge minima, in relazione ai principi fondamentali di protezione dei dati (tali da fornire garanzie più elevate di quelle prescritte dalla normativa vigente) e/o intermedi modalità di attuazione di garanzia dell’efficacia delle misure (norme di attuazione) e consistente nell’obbligo di conformarsi. Un’impresa che adotti un comportamento socialmente responsabile, valutando e rispondendo alle aspettative economiche, ambientali e sociali di tutti gli stakeholders travalicando il minimo impregno previsto dalla legge, coglie l’obiettivo di creare valore e conseguire un vantaggio competitivo. Al contrario, comportamenti poco etici o la mancanza di strategie di sostenibilità e responsabilità sociale delle imprese possono danneggiare la reputazione di un’azienda e renderla meno attraente per gli azionisti, con conseguente riduzione dei profitti.