I dati personali come voce di costo per il bilancio aziendale

L’operatività quotidiana di una PMI, e in diversi casi di una Microimpresa, implica solitamente l’utilizzo di una quantità molto elevata di dati personali. Non parliamo solamente di informazioni necessarie per la gestione dei propri dipendenti, quali ad esempio i dati relativi alle valutazioni sulle loro performance, oppure la generazione dei più comuni cedolini ad essi riferibili, ma anche dei dati di clienti e fornitori.

Il dato personale è un asset aziendale

L’organizzazione è in effetti un insieme complesso di funzioni e persone, interconnesse e interdipendenti tra loro come in un organismo vivente, in cui i dati personali, come sinapsi, abilitano e rendono possibile la maggior parte delle attività, dalla gestione del dipendente, al pagamento dei clienti, alla gestione dei fornitori. Questa funzione è uno dei motivi più rilevanti per cui il dato personale è considerato come un asset aziendale, poiché alla stregua di un software gestionale di contabilità o di un impianto elettrico, in caso di malfunzionamenti o di interruzione imprevista del loro funzionamento, può comportare un fermo di produzione.

Per comprendere appieno cosa possa causare un malfunzionamento o un’interruzione imprevista del “funzionamento” dei dati personali, quindi del concetto di costo sottostante l’asset aziendale “dato”, possiamo prendere ad esempio il caso di sanzione comminata dal Garante dello scorso 11 Aprile [1]: una multa di 2 milioni di euro ad una S.r.l.s per violazione dei principi sanciti dal Codice Privacy italiano.

Il malfunzionamento è allora la generale inosservanza delle regole in materia di protezione dei dati personali, la cui conseguenza più ovvia è l’utilizzo improprio delle informazioni di una o più persone, cioè del loro trattamento in violazione di Legge. Ciò si traduce in un abuso, poi segnalato dalle persone che lo subiscono al Garante, il quale procede con gli strumenti ad esso disponibili: dall’ispezione (incluso quella d’ufficio), alle sanzioni. L’ordinanza dell’11 Aprile, i due milioni di euro di multa, scaturiscono infatti dalla segnalazione di due sole persone, i cui dati personali erano oggetto delle attività di telemarketing da parte della S.r.l.s. multata, rea di non aver rispettato diversi obblighi, tra cui il consenso preventivo e documentato e la corretta informativa all’interessato.

GDPR i dati come asset aziendale
GDPR i dati come asset aziendale. Photo credit: Pixabay

L’interruzione imprevista è invece paragonabile al successivo divieto di utilizzo dei dati oggetto dell’Ordinanza. Spesso l’inconsapevolezza, o peggio, la noncuranza della violazione dei principi sulla protezione dei dati personali (che ricordiamo rientrano all’interno della categoria dei diritti fondamentali dell’uomo) non porta l’imprenditore a predisporre il c.d. “piano B”. L’’impossibilità di utilizzare ulteriormente i dati personali in proprio possesso significa interrompere qualunque tipo di attività legata ad essi. Sempre in riferimento alla S.r.l.s. oggetto dei due milioni di sanzione, il blocco al trattamento comporta il blocco dei ricavi, in quanto prodotti attraverso l’attività di telemarketing basata a sua volta sulle numerose liste di contatti illecitamente costruite nel tempo e ormai inutilizzabili.

Malfunzionamenti e interruzioni sono dunque voci di costo a bilancio, come per qualsiasi altro asset aziendale, anche per il trattamento dei dati personali:

  • in caso di inosservanza del GDPR [2] l’imprenditore dovrà affrontare sia i costi della sanzione (tra l’altro non deducibili)
  • sia i costi per la difesa dinanzi al Garante
  • nonché la possibilità di una difesa in giudizio
  • oltre ad eventuali  richieste di risarcimento danni (il GDPR prevede come tutela per le persone anche questo strumento)
  • infine andranno affrontati i costi per la messa in conformità della Società, senza la quale l’impresa non potrà riavviare le proprie attività, perfino in tempi brevi se non si vuole mettere a rischio la sopravvivenza della stessa.

GDPR da “incombenza” ad opportunità

La scure del Regolatore nazionale sembra ben affilata, eppure le condotte illecite sono spesso attuate dalla imprese focalizzate esclusivamente sui ricavi (ad ogni costo) e in un quadro di marcato disinteresse della normativa e di superficiale sottovalutazione delle gravi conseguenze derivanti dall’utilizzo illegale dei dati. Ciò in molti casi deriva soprattutto dalla ricerca di modalità di acquisizione della clientela improntate all’eccessiva informalità e alla unilaterale volontà di semplificazione degli adempimenti formali obbligatori.

Ciò nondimeno i mezzi per evitare tali situazioni sono presenti e possono portare a scoprire l’altra faccia della medaglia “dato”, capace di generare ricchezza e nuove opportunità.

E’ tempo che le informazioni siano interpretate in chiave di opportunità, anche in un mondo dove la fortissima spinta alla digitalizzazione porta gli imprenditori ad abbagli sulle possibilità di ricchezza con un “click”. Il valore della conformità per tutelare i diritti fondamentali di ognuno di noi è un investimento, il costo sono solo le conseguenze nel non farlo.


[1] https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9116053

[2]Acronimo per General Data Protection Regulation – Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679


Piaciuto l'articolo?

Esprimi il tuo giudizio da 1 a 5 stelle

Media voti espressi / 5. Votanti:

Hai trovato interessante questo articolo...

Condividilo sui tuoi social network

Siamo spiacenti che il nostro articolo non ti sia piaciuto

Aiutaci a crescere e migliorare


La tua opinione per noi è molto importante.
Commento su WhatsApp
Siamo una giovane realtà editoriale e non riceviamo finanziamenti pubblici.
Il nostro lavoro è sostenuto solo dal contributo dell’editore (CuDriEc S.r.l.) e dagli introiti pubblicitari. I lettori sono la nostra vera ricchezza. Ogni giorno cerchiamo di fornire approfondimenti accurati, unici e veri.
Sostieni Moondo, sostieni l’informazione indipendente!


Ora anche su Google News, clicca qui e seguici



Potrebbe interessarti anche:
Diego Padovan
Ingegnere gestionale e Data Protection Officer, da anni ricopre il ruolo di privacy & regulatory advisor a Roma e Bruxelles, nonché Responsabile per la Protezione dei Dati (DPO) per primarie società italiane ed internazionali, con incarico di docenza presso il master di II livello in Tutela della Privacy e Data Protection Officer del Dipartimento di Giurisprudenza dell’Università di Roma “Tor Vergata”. Formatosi all’Università degli Studi di Roma “La Sapienza”, ha portato a termine importanti traguardi accademici, tra cui l’Executive Programme della London Business School e l’Annual Training Course on Communications & Media Regulation dell’European University Institute. È certificato in ambito protezione dei dati personali presso il TÜV Italia, con la certificazione CDP e a livello internazionale con l’International Association of Privacy Professionals (IAPP), con la certificazione CIPP/E. Dirige la Società di consulenza DPO Compliance Consulting, con la quale ha ottenuto importanti riconoscimenti anche a livello europeo, con la partecipazione in progetti H2020, ed è partner dell’Università degli Studi di Messina. Collabora attualmente alla redazione di guide e manuali tecnici con l'associazione italiana Federprivacy e la rivista online CyberSecurity360.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here