Cosa significa oggi la parola etica riferita a una impresa? E quale è il collegamento tra etica e protezione dei dati? Pensiamo ad esempio a una impresa che opera nell’ambito dello sviluppo del software.
Non possiamo non considerare lo “tsunami” sia normativo che tecnologico che questo tipo di organizzazioni hanno dovuto affrontare negli anni recenti: normativo, in quanto il legislatore, e non solo quello europeo, ha dato vita a tutta una nuova serie di norme, sia in ambito protezione dei dati che cybersecurity, spesso non uniformi e non omogenee, il che ha richiesto e richiede tuttora un enorme sforzo interpretativo e applicativo da parte di queste imprese, che devono disporre di nuove competenze e risorse per affrontare queste tematiche; tecnologico, dovuto alla sempre più pressante esigenza di prodotti flessibili e performanti, esigenza che è anche stata una delle cause del recente passaggio da una prospettiva di prodotti per lo più On Premises, quindi installati nel sito del committente, verso un’architettura a servizi On Cloud, che ha obbligato queste organizzazioni ad adottare un nuovo modello di sviluppo del software e ha in generale richiesto un nuovo approccio che ha investito tutti i settori aziendali, dalla compliance alla protezione dei dati, dalla ricerca e sviluppo alla cybersecurity fino alla qualità e alla gestione dei processi. E c’è da chiedersi quante di queste organizzazioni fossero consapevoli della nuova dimensione etica scaturita da questo passaggio.
Essere etici in questo contesto significa utilizzare in maniera etica le nuove tecnologie, essere in grado di selezionare i propri partners in modo da costruire una supply chain virtuosa e responsabile, avere la capacità e la volontà di immettere sul mercato un prodotto conforme alle norme, resiliente agli attacchi informatici e rispettoso dei propri utenti e dei loro dati.
Non a caso oggi più che mai parliamo di “etica dei dati”, riferita alla raccolta, al trattamento, alla conservazione ed eventualmente condivisione responsabile e sostenibile dei dati, nel pieno rispetto delle persone e della società: tutti elementi ben conosciuti dalla protezione dei dati. Ma tra la teoria e la pratica il passo non è breve.
Ciò che questa trasformazione ha generato è un mondo estremamente sbilanciato dove da un lato ci sono i grandi player delle infrastrutture cloud, che si contano sulle dita di una mano, che hanno di fatto il monopolio del mercato, e ne dettano le regole, e dall’altro un numero sempre maggiore di utilizzatori di questi servizi, che non possono esimersi all’usare questo tipo di tecnologie poiché ormai pretese dal mercato: in mezzo, vi sono i dati degli utenti e il loro continuo scambio.
Quali sono gli strumenti che queste imprese possono mettere in atto per dar vita a un comportamento etico? Certamente largo spazio alle pratiche e agli strumenti di privacy by design, di valutazione della qualità dei partners ingaggiati, di gestione delle vulnerabilità del software, di scelta degli open sources, di gestione del registro dei trattamenti, di nomina del DPO, di rispetto dei contratti.
Ma a poco serve mettere in atto queste pratiche senza la capacità di monitorarne l’andamento, valutarne i risultati e i rischi, capire dove poter migliorare e come, tendendo almeno nel medio periodo al raggiungimento di quel miglioramento continuo che porta a definire obiettivi e mettere in campo strumenti tecnici e organizzativi per raggiungerli e, una volta raggiunti, a definirne di nuovi, incorporando requisiti interni ed esterni e o a migliorare quelli esistenti.
In quest’ottica è interessante l’attività intrapresa dall’ Autorità francese per la protezione dei dati che ha recentemente proposto e pubblicato un “modello di maturità” per la gestione della protezione dei dati. L’idea alla base di questo modello, che si ispira chiaramente al Privacy Maturity Model sviluppato dall’ American Institute of Certified Public Accountants e dal Canadian Institute of Chartered Accountants nel 2011, è che “la conformità è un viaggio, e i progressi compiuti dall’organizzazione durante questo viaggio non fanno che rafforzarla, anche quando non vengono raggiunti tutti i requisiti”.
Questi modelli di maturità si rivelano pertanto strumenti utili nel monitorare, mantenere e migliorare la compliance, le metodologie e i processi ma anche capaci di stimolare quella cultura di responsabilità che le imprese devono assumersi nel rispettare norme e codice, nel ridurre la discriminazione negli algoritmi, e nell’evitare conseguenze e rischi per l’utente, estendendo questa responsabilità anche ai propri partners, senza la quale nessuna etica di impresa può esistere.
A cura di Nadia Giusti –Data Protection & Cybersecurity Expert