Un equivoco da correggere: privacy by design non è una formula tecnica

Si parla molto di privacy by design e privacy by default come se fossero formule da addetti ai lavori, clausole da relegare nei modelli o nei manuali interni.

Ed è proprio qui che si annida l’equivoco. Perché quelle espressioni, lette con superficialità, sembrano precetti tecnici; lette con serietà, rivelano invece una visione di impresa. Dicono una cosa semplice e insieme decisiva: il dato non deve essere corretto dopo, ma governato prima. Non quando il problema emerge, ma quando la decisione nasce.

Per questa ragione il tema non appartiene soltanto al DPO, all’ufficio legale o al reparto IT. Appartiene al consiglio di amministrazione. Appartiene al top management. Appartiene a chi decide come l’impresa si organizza, come distribuisce i poteri, come controlla i flussi, come misura i rischi, come costruisce la propria catena interna delle decisioni.

Ridurre il dato a una questione tecnica significa non aver compreso che oggi esso attraversa il marketing, le risorse umane, la rete commerciale, i rapporti con i fornitori, la profilazione, l’intelligenza artificiale, la sicurezza, la reputazione e quindi, in definitiva, il cuore stesso della governance. Insomma, la norma mette a disposizione lo strumento che, senza imporre comportamenti o azioni specifiche, offre una soluzione di gestione che permette di strutturare un importante settore aziendale in maniera legale, conforme a sani princìpi di gestione, che prevede i rischi e le strategie di intervento in caso di criticità.

E se lo stesso sistema lo applichiamo a tutti gli altri settori dell’azienda e agli elementi dell’organizzazione?

Un CdA by design: da organo ratificante a organo che anticipa

Un CdA by design e by default, ad esempio, non sarebbe un ritrovo periodico che si limita a ricevere informative finali o a ratificare policy già confezionate da chi comanda, ma un organo che incorpora la logica del dato e del rischio nella formazione stessa delle decisioni. Significa chiedersi, prima ancora di approvare un processo, quali dati verranno utilizzati, da chi saranno trattati, con quali passaggi interni, con quali margini di dispersione, con quali effetti sulle persone e con quali conseguenze sull’assetto organizzativo.

Significa fare in modo che controllo, responsabilità e tracciabilità non siano aggiunte successive, ma elementi originari della decisione. Non si tratta di aggiungere procedure, ma di cambiare il punto di osservazione. Ogni decisione rilevante dovrebbe essere letta attraverso tre domande essenziali: quali dati utilizza, chi li governa e quali conseguenze produce. Non è burocrazia. È disciplina decisionale. È il passaggio da un’organizzazione che reagisce a un’organizzazione che anticipa.

Qui il collegamento con l’art. 2086 del Codice civile, argomento ancora troppo poco capito, diventa tutt’altro che formale. Se l’impresa deve dotarsi di assetti adeguati alla natura e alle dimensioni dell’attività, e se tali assetti devono essere idonei anche a rilevare tempestivamente la crisi e a consentire scelte consapevoli, allora la gestione del dato non è un capitolo separato della compliance: è una delle condizioni concrete dell’adeguatezza organizzativa.

Non si governa ciò che non si conosce. Non si controlla ciò che non si vede. Non si previene ciò che non si misura. E oggi una parte decisiva di ciò che l’impresa è, fa e rischia passa proprio dai dati, dalla loro circolazione interna e dalla qualità delle decisioni costruite su di essi. Per questo la governance non può più essere pensata come una linea astratta che scende dall’alto. È una catena di decisioni che deve restare coerente, leggibile, verificabile. Ogni anello debole produce opacità; ogni opacità produce rischio; ogni rischio non governato finisce per diventare un problema legale, organizzativo, economico e talvolta reputazionale.

Il consiglio di amministrazione che non entra nel merito dei flussi informativi, dei criteri decisionali, delle deleghe effettive e dei punti di controllo rinuncia, di fatto, a una parte della propria funzione. E lo fa nel momento storico in cui quella funzione dovrebbe essere più consapevole, più predittiva, più integrata.

La Cybermetrica nel top management: non un lessico di moda, ma un metodo di governo

È qui che la Cybermetrica entra nel top management e trova la sua collocazione naturale. Non come disciplina parallela, non come lessico di moda, ma come metodo di governo. In sostanza, la Cybermetrica applicata al vertice dell’impresa è la traduzione operativa di un principio semplice: leggere dati, processi, ruoli, rischi e decisioni come parti di un unico sistema.

Potrebbe interessarti > Cybermetrica®: governare l’influenza prima che diventi esposizione

Vuol dire dare al CdA una chiave per comprendere come circola il dato, dove si formano i colli di bottiglia, dove si annidano gli errori, dove si spezza la catena del controllo e dove, invece, può essere ricostruita una decisione realmente consapevole. In questo senso, essa non sostituisce la governance, ma la rende più concreta; non sostituisce l’art. 2086 c.c., ma ne rafforza l’attuazione; non aggiunge burocrazia, ma offre struttura.
E oggi, per un’impresa che voglia davvero governarsi, struttura significa visione, controllo e capacità di decidere prima che decidano gli eventi.

Potrebbe interessarti > Pillole di Privacy - Cybermetrica: misurare il rischio per una governance dei dati efficace