26 Lug “Data Protection as a Corporate Social Responsibility”: integrazione di privacy, sicurezza informatica e sostenibilità
Autori: Kate Francis, Miriam Andrea Fadda, Andrea Strippoli
Background
Paolo Balboni, Founding Partner di ICTLC, e Kate Francis, Head of Research, pubblicano “Data Protection as a Corporate Social Responsibility” (Edward Elgar, 2023)
Nell’odierna era digitale, l’importanza della protezione dei dati personali e della sicurezza informatica non può essere sottovalutata. Otto anni dopo l’entrata in vigore del Regolamento generale sulla protezione dei dati (GDPR) [1] e sei anni dopo la sua applicazione, è chiaro che il diritto europeo da solo non è sufficiente per proteggere realmente i diritti e le libertà degli individui e promuovere attività di trattamento dei dati sostenibili a beneficio degli individui e della società.
Allo stesso tempo, i consumatori danno sempre più priorità alle pratiche commerciali sostenibili. Sempre di più, la sostenibilità viene presa in considerazione quando si acquistano prodotti e si prendono decisioni di investimento. Con questo in mente, Paolo Balboni e Kate Francis hanno redatto il primo framework auditabile che colloca la protezione dei dati e la sicurezza informatica sotto l’ombrello della Corporate Social Responsibility (CSR) e dell’Environmental, Social, and Corporate Governance (ESG). Il framework è stato sviluppato nel contesto di un progetto di ricerca pluriennale presso lo European Centre on Privacy and Cybersecurity dell’Università di Maastricht che ha portato alla pubblicazione del libro “Data Protection as a Corporate Social Responsibility” (Edward Elgar, 2023). [2]
“Data Protection as a Corporate Social Responsibility” fornisce un’analisi critica dello stato attuale dell’applicazione della normativa sulla protezione dei dati e fornisce linee guida pratiche per le organizzazioni per contribuire ad un futuro più sostenibile basato sui dati. L’obiettivo è quello di aiutare le organizzazioni ad avere un impatto sociale positivo attraverso un trattamento responsabile dei dati ed a prevenire danni alle persone attraverso il trattamento dei loro dati.
La protezione dei dati come responsabilità sociale d’impresa
La CSR inizia con l’adesione ai requisiti legali e si estende all’implementazione di strategie e pratiche specifiche a vantaggio dell’organizzazione, dei suoi stakeholder e della società in generale. Quando questo approccio viene applicato alla protezione dei dati e alla sicurezza informatica, comporta l’utilizzo delle leggi europee sulla protezione dei dati e sulla sicurezza informatica come base, e successivamente l’innalzamento di questi standard per impegnarsi in attività di trattamento dei dati a vantaggio sia dell’azienda che della società in generale. Questa metodologia è definita protezione dei dati come responsabilità sociale d’impresa (Data Protection as a Corporate Social Responsibility – DPCSR). La DPCSR estende i principi della CSR e dell’ESG per colmare le lacune lasciate dalle attuali leggi relative ai dati. Adottando questo approccio, le organizzazioni possono ridurre gli impatti negativi sulla privacy, sulla protezione dei dati e sulla sicurezza, aumentando potenzialmente i loro punteggi ESG. [3] Ciò è particolarmente importante in quanto i rating ESG possono influenzare la fiducia degli investitori.
Il framework di riferimento per la protezione dei dati come responsabilità sociale d’impresa dell’Università di Maastricht (Maastricht University Data Protection as a Corporate Social Responsibility Framework – UM-DPCSR Framework) per l’integrazione della protezione dei dati nelle attività di CSR ed ESG ha suscitato un’attenzione significativa da parte di diverse organizzazioni. Ciò è dovuto principalmente al suo potenziale di guidare le organizzazioni nell’integrazione delle loro attività di compliance in tema di protezione dei dati e sicurezza informatica con quelle svolte dall’organizzazione in termini di sostenibilità. La protezione dei dati e la sicurezza informatica hanno, infatti, un impatto materiale per molte organizzazioni. Dalla carbon footprint dei data center e delle reti di trasmissione dei dati, ai rischi della supply chain, fino alla governance dei dati e i lavoratori della catena del valore, la convergenza tra protezione dei dati, sicurezza informatica e sostenibilità è innegabile.
Il framework per la protezione dei dati personali come responsabilità sociale d’impresa dell’Università di Maastricht
Il framework UM-DPCSR è composto da cinque principi, 25 regole e 44 controlli. I principi e le regole del framework possono essere consultati qui di seguito.
Principles and Rules of the UM-DPCSR Framework
PRINCIPLE 1. EMBED DATA PROTECTION, FAIRNESS, AND SECURITY IN THE DESIGN OF PROCESSES
Rule 1: Implement Data Security by Design. The Organisation shall implement Data Security by Design into its data processing activities throughout the whole life cycle. “Keep it secure”
Rule 2: Implement User Empowerment by Design. The Organisation shall actively empower individuals with respect to their data. “Keep it user-centric”
Rule 3: Implement Fairness by Design. The Organisation shall ensure that the fundamental rights to privacy and data protection are upheld by designing and developing systems that process personal data in a proportional, fair, and secure manner. “Keep it fair”
Rule 4: Implement “Loyalty” by Design/Fiduciary commitment. The Organisation shall coherently apply the tenets of fiduciary commitment to data processing activities. “Keep it loyal”
Rule 5: Implement “Digital Solidarity” to uphold human rights. The Organisation shall only apply business models that permit the fair, transparent, and secure use of data in a way that benefits society. “Keep it solidary”
PRINCIPLE 2. BE TRANSPARENT WITH INDIVIDUALS ABOUT THE COLLECTION AND FURTHER PROCESSING OF THEIR DATA
Rule 1: Before processing. The Organisation shall use icons (and sounds) for an easily visible, intelligible and clearly legible provision of information concerning the intended processing.
Rule 2: During processing. Be transparent about how the processing (for example, fully automated decision making by algorithms) works. The Organisation shall implement new modalities that render the data processing transparent by way of, for example, the use of images, standardized icons, flashing lights, and sounds.
Rule 3: Be clear about how the Organisation benefits from the processing of data and the subsequent benefit for society derived from such processing. The Organisation shall be transparent about how it benefits from the data of individuals and how it provides benefits (fair in-kind value) to individuals or society at large.
Rule 4: Actively test the effectiveness of institutional transparency information (outward-facing privacy and data protection documentation) with individuals. The Organisation shall regularly assess the understandability of the information provided to individuals about the use of their data.
Rule 5: Regularly publish Transparency Reports. The Organisation shall publish reports which showcase how it informs individuals about the collection and further processing of their data and the effectiveness of the means used to convey such information.
PRINCIPLE 3. BALANCE PROFITS WITH THE ACTUAL BENEFITS FOR CITIZENS
Rule 1: Carry out a Profitable and Beneficial Test (P&B Test). The Organisation shall carry out a P&B Test to evaluate how data processing activities benefit both the Organisation and society.
Rule 2: Engage with stakeholders to understand their values and beliefs when selecting suppliers. The Organisation shall survey stakeholders to find consensus in common goals and greater objectives.
Rule 3: Establish trusted data processing activities (for example, for use in AI and big data analytics) that actively oppose bias and discrimination. The Organisation shall actively seek not to cause harm.
Rule 4: Organise data processing activities in consideration of the environment and climate issues. The Organisation shall minimize data processing activities to actively contribute to the reduction of energy consumption and carbon emissions along the value chain.
Rule 5: Carry out a Materiality Assessment. The Organisation shall carry out materiality assessments at regular intervals to ensure alignment with ever-changing social, economic, and environmental needs.
PRINCIPLE 4. PUBLISH RELEVANT FINDINGS BASED ON STATISTICAL/ANONYMIZED DATA TO IMPROVE SOCIETY
Rule 1: Business to Consumer Data Sharing. The Organisation shall make findings derived from data known to consumers by way of understandable and useful Digital Society Insights Reports. “B2C Data Sharing”
Rule 2: Business to Business Data Sharing. The Organisation shall engage in or establish secure and transparent data collaboratives with relevant peer-stakeholders to improve the analytical potential of the data in its possession. “B2B Data Sharing”
Rule 3: Business to Government Data Sharing. The Organisation shall actively seek to provide the public sector with relevant data-based insights. “B2G Data Sharing”
Rule 4: Business to Research Data Sharing. The Organisation shall engage in business to scientific research data sharing to provide data to sustainable innovation initiatives, following the FAIR data principles. “B2R Data Sharing”
Rule 5: Business to Humanitarian Action Data Sharing. Engage in business to humanitarian aid data sharing to support humanitarian actions. “B2H Data Sharing”
PRINCIPLE 5. DEVOTE A PORTION OF REVENUES TO AWARENESS CAMPAIGNS FOR CITIZENS WITH REGARDS TO THE DATA-CENTRIC SOCIETY
Rule 1: Invest in digital social capital to promote social enterprise within the Organisation. The Organisation shall make use of digital and data-driven tools to engage internal stakeholders with the aim of positively contributing to the Organisation.
Rule 2: Allocate a portion of revenue to be devoted to awareness campaigns, in and outside of the Organisation. The Organisation shall implement a metric/model that will identify an adequate portion of revenue to be devoted to awareness campaigns.
Rule 3: Develop a yearly data awareness program. The Organisation shall make a programme available to individuals with clear objectives regarding data protection and cyber-/data-security literacy.
Rule 4: Contribute to digital educational initiatives for youth. The Organisation shall carry out concrete actions to further education about data protection rights and cybersecurity hygiene for youngsters.
Rule 5: Actively promote the protection of individuals in relation to data practices. The Organisation shall devise specific outreach programs on disinformation, fake news, and data-driven threats.
Seguendo i cinque principi e le 25 regole che costituiscono il framework, le organizzazioni possono potenzialmente migliorare la loro trasparenza e accountability e impegnarsi in attività di trattamento dei dati corrette e sicure. In questo modo, le organizzazioni possono contribuire positivamente al bene superiore di un’economia sostenibile basata sui dati e di una società digitale democratica.
[1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
[2] Paolo Balboni e Kate Francis, Data Protection as a Corporate Social Responsibility, Edward Elgar, 2023, https://www.e-elgar.com/shop/gbp/data-protection-as-a-corporate-social-responsibility-9781035314157.html
[3] PWC, 20 ottobre 2022, https://www.pwc.com/us/en/tech-effect/cybersecurity/building-trust-with-esg-cybersecurity-and-privacy.html