Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GDPR e brand reputation: tutelare l’azienda dai danni all’immagine

6 Novembre 2019 in GRC360

Una conclamata violazione del GDPR ha tra le sue conseguenze anche un danno alla brand reputation aziendale. I problemi che ne derivano sono pure di natura economica, per cui tutelare la propria immagine è una priorità. Bisogna tenere sotto controllo i fattori che possono portare a un danno reputazionale. Parlando di data protection, la situazione è particolarmente complicata: oltre agli incidenti che hanno cause interne all’organizzazione, ci sono variabili esterne come gli attacchi di cyber crime. Approfondiamo dunque come proteggere la propria immagine e come reagire se qualcosa va male.

GDPR e brand reputation, cosa bisogna fare

In un mondo digitale, la reputazione aziendale non è costruita solo dalle azioni concrete che si realizzano nella vita di ogni giorno, ma anche dall’immagine che l’impresa mostra online. È facile intuirne la fragilità: sono noti casi in un cui un singolo post sui social network ha creato un danno d’immagine alle aziende, con conseguenti malcontento, perdita dei clienti e di soldi. Riguardo alla protezione dei dati, sono diverse le condizioni che portano a correre rischi di immagine:

Sottovalutare i pericoli (“A noi non succede…”)
• Non sviluppare adeguate misure di cyber security
Avere personale non correttamente formato sull’uso corretto dei dati e sui rischi informatici
Trattare i dati senza una base di legittimità, senza una finalità definita, conservarli oltre il tempo congruo per la finalità, non informare l’interessato o negargli l’esercizio dei suoi diritti.

Oltre a indicare un atteggiamento superficiale verso il trattamento dei dati, queste condizioni possono evidentemente violare il GDPR. Ecco dunque che non rispettare la normativa si può tradurre in danni economici e d’immagine che saranno costosi e difficili da superare. La normativa del resto spiega bene ai titolari del trattamento che cosa devono fare per evitare spiacevoli conseguenze.

Un esempio concreto: il data breach

A titolo di esempio per spiegare quanto illustrato prima, ricordiamo che l’articolo 32 del GDPR affronta le misure tecniche adeguate da mettere in atto per proteggersi da eventuali data breach – oltre che per garantire i diritti degli interessati. È necessario, spiega la legge, dimostrare di aver fatto tutto il possibile per difendere le informazioni personali di cui si è in possesso, attraverso soluzioni come per esempio la cifratura dei dati, il controllo continuo nel tempo delle proprie infrastrutture informatiche, la formazione ad hoc dei dipendenti. Tuttavia, per quanto si adottino le misure corrette e si sia scrupolosi non c’è la garanzia di essere totalmente immuni dagli attacchi informatici. Il GDPR però spiega in quale modo comportarsi verso gli interessati del trattamento in caso di violazioni: viene esplicitato nel regolamento che in caso di data breach bisogna informare le autorità e in caso di minaccia elevata anche le “vittime” della situazione, cioè gli interessati i cui dati sono stati sottoposti a minaccia, per correre ai ripari il prima possibile senza ritardi che potrebbero aggravare la situazione. Dunque, cercare di passare sotto silenzio una violazione per timore di subire danni alla propria immagine conduce, paradossalmente, proprio a un danno alla propria brand reputation: il GDPR spiega chiaramente che la trasparenza e l’onestà sono apprezzate – anzi, obbligatorie per legge.

Le conseguenze reputazionali se si viola il GDPR

L’articolo 82 del GDPR spiega che l’interessato del trattamento che subisce una violazione dei propri dati ha diritto al risarcimento. Si immagini dunque quale danno economico un data breach può comportare per grandi gruppi aziendali che trattano numerosi dati. Oltretutto, se non si dimostra di aver fatto il possibile per evitare questi rischi, può anche scattare la sanzione delle autorità per violazione della normativa. Ma se le casse aziendali vengono colpite direttamente in questo modo, più subdolo ma ugualmente debilitante è la perdita economica causata dal danno d’immagine. Una violazione dei dati comporta un danno reputazionale perché instilla nei clienti l’idea di un’azienda incapace di garantire affidabilità e sicurezza. Per un data breach si possono perdere clienti, si rischia di non riuscire a ottenerne di nuovi: i pericoli per la stabilità dell’organizzazione aziendale sono evidenti. Meno clienti e meno soldi, così il danno alla brand reputation va a braccetto con quello economico per la rovina dell’azienda.

Rimediare a un danno d’immagine seguito a sanzione per violazione del GDPR non è facile. Le soluzioni dipendono dalle circostanze. Se la sanzione inflitta all’azienda prevede oltre al pagamento della multa anche raccomandazioni per porre rimedio alla mancata compliance normativa che ha dato origine al problema, è fondamentale sanare la situazione irregolare. Le azioni per porre rimedio vanno documentate, utile anche valutare se comunicarle alle autorità, agli interessati del trattamento e agli stakeholder.

Accountability e brand reputation aziendale

Un’azienda che presta grande attenzione alla data protection e segue scrupolosamente il GDPR può trarre beneficio per la propria immagine comunicando la sua sensibilità nella protezione dei dati. In futuro ci sarà la possibilità, come previsto dall’articolo 42 del GDPR, di conseguire certificazioni, o anche di aderire a codici di condotta a seconda della categoria commerciale cui si appartiene. Sono soluzioni in divenire, ancora non concretizzabili.

Tuttavia, si può predisporre un documento di accountability, il cosiddetto “data protection book” o “modello di gestione della protezione dei dati personali”. Un documento in cui racchiudere tutto quello che l’azienda sta attuando per essere adeguata al GDPR e prevenire i rischi. In questo testo si possono riunire le procedure adottate, il modello organizzativo con i vari incarichi affidati in materia di protezione dei dati, documenti tecnici e legali come analisi dei rischi e informative, ma anche quanto fatto per la formazione del personale, oltre alle indicazioni relative a eventuali data breach subiti e richieste di esercizio dei diritti degli interessati al trattamento.

Paolo Calvi – Data Protection Officer

New call-to-action

Share