Vi siete mai chiesti quali sono quei dati che le applicazioni digitali non riescono a conteggiare?

Cioè quelle metriche che ogni giorno non riusciamo a visualizzare.

Al NewYorker sì, e ne è uscito un articolo davvero divertente sulla rubrica More Humor.

Ogni giorno infatti, grazie ai dati raccolti dalle applicazioni web, siamo consapevoli di quanti passi abbiamo fatto, quante calorie abbiamo bruciato oppure la quantità delle ore impiegate davanti al computer.

Ma quali sono i dati che le app non riescono a catturare?

Grazie all’intelligenza artificiale abbiamo la possibilità di impostare alcune metriche per calcolare semplici indicatori di performance della nostra vita quotidiana.

Le variabili da conteggiare sono molteplici. I KPI (gli indicatori di performance che ci aiutano a determinare quanto siamo vicini al raggiungimento di un obiettivo strategico), quindi le metriche che scegliamo di utilizzare per misurare le nostre performance quotidiane, che siano sul lavoro oppure sull’attività fisica, possono essere davvero molte.

Alcune applicazioni web ci aiutano addirittura a tracciare i tempi che dedichiamo a ciascuna singola task di un progetto di lavoro oppure di un’attività personale. Sapere se impieghiamo un’ora o 5 a completare un determinato compito giornaliero ci supporta nella pianificazione della giornata.

Quindi, al solito, questi dati, il tracciamento di queste metriche sembrano essere molto utili. Ma ci raccontano veramente tutto?

La risposta è no, e noi aggiungiamo anche per fortuna!

Di seguito alcuni esempi proposti nell’articolo “Metriche di cui sono grato il mio telefono non tenga traccia”. Mai nome dell’articolo fu più azzeccato.

Come ci sentiremmo se ogni giorno ricevessimo una notifica sul costo orario della palestra calcolato in base alle ore che davvero  frequentiamo?

Oppure, i km percorsi nelle famose “scarpe di qualcun altro”. La metrica per tutte le volte in cui ci siamo immedesimati in una situazione non nostra e perché no, l’abbiamo anche giudicata.

E sì, l’articolo ne propone molte altre.

Il punto però è un altro!

Tutto quello che facciamo ha un’etichetta precisa?

Tutti questi esempi divertenti ci forniscono lo spunto di riflessione per molto altro.

In questo blog ci occupiamo di dati, e quello che ci interessa è certamente celebrarne l’utilità ma anche capirne i limiti. E perché no, sviluppare un approccio critico.

Non sempre le metriche che impostiamo sui nostri dispositivi elettronici riescono a catturare davvero tutto quello che riguarda la nostra vita.

Se sappiamo che un giorno siamo stati 5 ore davanti al pc, oppure abbiamo impiegato 30 minuti per leggere e comprendere 5 pagine, abbiamo tutte le informazioni complete per sapere se questa performance è ripetibile?

Oppure se si è trattato di un pomeriggio davvero produttivo?

Le metriche non tengono conto infatti di molte altre variabili, che pure intervengono nello svolgimento di questi compiti.

Non sanno infatti se eravamo concentrati, se il nostro umore era buono oppure se c’era qualcosa che ci ha fatto essere più disattenti.

E quindi no, le ore spese per raggiungere un certo obiettivo non sembrano raccontarci poi molto del successo. Ciò di cui tenere conto sono le decisioni e le riflessioni che riusciamo a fare durante quelle ore.

In questo, la famosa citazione di Joseph Conrad che dice:

“come faccio a spiegare a mia moglie che quando guardo fuori dalla finestra sto lavorando?”

sembra calzare proprio a pennello.

La metrica giusta a volte non si misura.

Il titolo è eloquente: quanti di noi sono lettori? Quale è la percentuale di persone che leggono almeno un libro l’anno?

Qualche articolo fa ci siamo soffermati a guardare i dati circa la fruizione della cultura da parte degli italiani: tra le abitudini sondate abbiamo visto figurare anche la lettura.

Il dato, però, non era molto rassicurante: il 60% degli italiani afferma di non leggere nemmeno un libro l’anno.

L’ISTAT ha proposto un nuovo studio che sonda il settore dell’editoria e le abitudini di lettura. Vediamo insieme se ci sono dati differenti e più rassicuranti di quelli che abbiamo analizzato precedentemente.

Qualche numero

Con quasi 87 mila opere pubblicate, l’editoria ha tenuto abbastanza bene nel 2020, registrando una lieve flessione (-2,6%) rispetto all’anno precedente. Diciamo quindi che ha retto bene, soprattutto al confronto con altri settori della cultura e dell’intrattenimento, come ad esempio cinema e teatri, che hanno invece registrato una flessione piuttosto importante.

Le misure restrittive che hanno interessato librerie, tenendole chiuse nei primi mesi della pandemia, hanno contribuito ad una quota dell’invenduto leggermente superiore a quella del 2019 (+ 2,7%). Quasi il 25% degli editori, infatti, dichiara giacenza e reso per oltre la metà dei titoli pubblicati, con una quota maggiore per i piccoli e medi editori, più contenuta per i grandi.

La tiratura, dunque il numero di copie stampate, ha subito un decremento consistente, pari al 7,2% rispetto al 2019. Il genere maggiormente colpito è quello dei titoli scolastici (-28,2%), mentre un’interessante crescita ha riguardato le opere per ragazzi e bambini (+16,5%).

Per quel che riguarda i contenuti editoriali, dominano la scena i testi letterari moderni, parliamo di romanzi, libri gialli, di avventura e libri di poesia. In particolare, romanzi e racconti costituiscono insieme il 22,5% dei titoli e il 26% delle copie stampate.

E il prezzo? Rimane abbastanza stabile, e si posizione sul livello di circa 20€ a copertina.

Libri sì, ma in digitale

Quasi il 10% degli editori ha affermato di aver pubblicato libri esclusivamente in formato e-book, per un totale di 2.113 opere (+ 3,7% rispetto al 2019).

Si tratta di un dato rilevante!

Nonostante, il fatturato derivante dalle versioni digitali, non sia ancora molto importante (10% del totale, circa), è molto interessante leggere questa nuova spinta dell’editoria.

Nel 2020 si è arricchita infatti la disponibilità di libri in formato digitale: quasi il 48% delle opere pubblicate su carta è stata resa disponibile anche in formato e-book. Rispetto al 2019, la versione digitale è particolarmente diffusa per i libri pubblicati da micro e piccoli editori, mentre registra un calo per le edizioni scolastiche, che restano comunque le opere con la quota più elevata in versione digitale su quella cartacea.

Ancora, la nuova tendenza è del tutto visibile anche dall’ampliamento dell’offerta digitale da parte degli editori: audiolibri, produzione di podcast e sviluppo di piattaforme per l’educazione digitale sono oggi un must per essere all’avanguardia e competitivi sul mercato. Sono quasi 6 milioni infatti coloro che hanno scelto di leggere su e-book o formati digitali

Ma chi sono i lettori?

Aumenta leggermente il numero dei lettori (dai 6 anni in su) rispetto al 2019 (+1,4%).

Chi legge di più?

I giovani (tra gli 11 e i 14 anni) rappresentano la quota più alta di lettori. Le donne leggono di più degli uomini (46,4% contro 39,3%) con la percentuale è in crescita rispetto al 2019. Interessante notare che il divario percentuale tra uomini e donne mostra un trend persistente a partire dal 1988. Le ragazze tra gli 11 e i 24 anni sono quelle che leggono di più, scendendo poi al di sotto della media nazionale dopo i 60 anni di età.

L’interesse verso la lettura cresce all’aumentare del grado di istruzione, e sembra essere più forte al Nord rispetto alle regioni del Centro e del Mezzogiorno. Le isole invece mostrano un trend molto diverso: in Sardegna oltre il 40% dei residenti ha letto almeno un libro l’anno, mentre in Sicilia questa percentuale non raggiunge il 30.

Sono favoriti gli abitanti dei grandi centri metropolitani, probabilmente collegato ad una maggiore offerta di biblioteche e librerie, mentre la quota di lettori scende nei centri con meno di 2 mila abitanti.

La pandemia ha inoltre favorito la lettura, che si è posizionata al terzo posto (dopo tv e video-chiamate con parenti ed amici) come forma di intrattenimento durante la prima fase di lockdown.

Infine, un ultimo dato. Il report afferma che il 41% della popolazione con più di 6 anni ha letto almeno un libro nell’ultimo anno: la buona notizia è che non abbiamo smentito il dato che abbiamo comunicato nell’articolo precedente.

I dati possono essere fondamentali per la diffusione di informazioni puntuali e quindi per una buona ed efficace comunicazione pubblica. La scorsa settimana ci siamo interrogati sull’esaustività dei dati e sulla completezza delle informazioni.

Abbiamo detto che i dati non sono neutri e che deve essere tenuto in considerazione cosa stiamo rappresentando con questi e soprattutto cosa stiamo lasciando fuori.

Certamente, nell’epoca data-driven i dati, la loro raccolta e diffusione hanno un ruolo fondamentale.

Ce lo ricorda anche la quattordicesima edizione della Conferenza Nazionale di statistica, conclusasi da pochi giorni, spazio di incontro e condivisione tra i protagonisti del sistema statistico nazionale.

Il tema della conferenza

La conferenza ha come obiettivo quello di mettere a fuoco le prospettive di sviluppo e il ruolo della statistica ufficiale, avendo in mente soprattutto il tema della ripartenza, a cui la conferenza è stata dedicata.

A latere, ovviamente sono stati discussi anche i temi oggi dominanti nel dibattito pubblico:

• La sostenibilità;
• L’inclusione;
• Il ruolo della statistica come base imprescindibile per la definizione delle politiche pubbliche;
• Il monitoraggio della loro efficacia.

Andiamo a vedere nel dettaglio il ruolo dell’informazione pubblica e della comunicazione dei dati e delle informazioni, grazie all’intervento “Comunicazione pubblica, fra esigenze informative e infodemia” nell’ambito della conferenza.

I dati per combattere l’infodemia

Ma anzitutto che cos’è l’infodemia? Ci aiuta a rispondere il vocabolario Treccani con la definizione puntuale: “circolazione di una quantità eccessiva di informazioni, talvolta non vagliate con accuratezza, che rendono difficile orientarsi su un determinato argomento per la difficoltà di individuare fonti affidabili“.

Ed eccoci qui al grande tema sul piatto: l’accuratezza delle informazioni, la verifica delle fonti e l’oggettività dei dati.

Partendo dall’assunto che l’accordo sociale su alcuni temi scientifici sembra costituire la base per evitare una frammentazione sociale e civile, Marco Ferrazzoli, Capo Ufficio Stampa del Centro Nazionale delle ricerche, precisa che il dato racconta una verità “provvisoria”.

I dati raccontano una verità che è tale fino a prova contraria, ribadendo dunque la crucialità delle informazioni puntuali, ma anche la necessità di guardare alla complessità del dato.

Il ruolo della comunicazione

In questo senso la comunicazione, al pari della statistica, assume un ruolo fondamentale.

Nell’ultimo periodo, in particolare con la pandemia, abbiamo visto come figure professionali diverse dal ruolo di comunicatore, siano diventati i veri protagonisti della comunicazione.

I media hanno infatti lasciato grande spazio ai virologi, ai medici e ricercatori, tutte figure assolutamente autorevoli in ambito medico e scientifico. Tuttavia c’è da domandarsi se siano anche comunicatori efficaci.

Indubbiamente anche su questo aspetto è possibile lavorare e migliorarsi: la comunicazione è ampliamente mutata rispetto al passato. I giornali cartacei, più statici, hanno lasciato lo spazio ad una dimensione digitale che prevede anche una interazione più immediata con il pubblico.

Esistono oggi nuovi strumenti di comunicazione, stiamo parlando del data journalism e delle tecniche di storytelling della pubblica amministrazione. Siamo in una nuova fase di comunicazione, fatta di maggiore dinamismo ed interattività con il pubblico.

Ma allora i dati sono utili?

La risposta è affermativa. Nessuna smentita sulla crucialità dei dati, ma ancora una sottolineatura sull’importanza di comprenderne i limiti. E soprattutto di utilizzare in maniera efficace e più nuova il ruolo della comunicazione.

Questa infatti, può rafforzare il valore dei dati. Come ha affermato Ferrazzoli, non si combatte l’infodemia a suon di numeri, ma se ne evita il rischio proprio con le informazioni complete e quindi con la comunicazione efficace.

La comunicazione pubblica, insieme alla statistica, ha assunto dunque un ruolo di leva per la buona informazione e per contribuire a costruire una cittadinanza consapevole.

La scorsa settimana nell’articolo riguardante lo studio del report Ecosistema Urbano, abbiamo lanciato una provocazione e vi abbiamo chiesto se i dati sono esaustivi, se ci forniscono un quadro completo ed oggettivo della realtà.

Nel breve paragrafo dedicato a questa riflessione vi abbiamo anche immediatamente detto che la risposta a tutte queste domande è no.

Approfondiamo meglio!

I dati sono intorno a noi!

Negli ultimi anni la cultura del dato ha conosciuto un vero e proprio picco nella nostra società: tutto è dato. I dati sono cose che succedono e che si percepiscono.

I nostri acquisti, l’utilizzo delle applicazioni per smartphone, la ginnastica giornaliera, il numero di passi: stiamo producendo dati.

L’ambito dell’analisi dati e le decisioni data-driven, hanno fatto sì che oggi venga dedicata molta attenzione alla raccolta, elaborazione e disseminazione del dato.

I dati sono fondamentali, informano la politica e guidano molto spesso le decisioni collettive che vengono assunte e che hanno una ricaduta sulla nostra vita di tutti i giorni.

Ma allora i dati sono esaustivi?

I dati sono fondamentali, ma non ci raccontano tutto. Molto spesso abbiamo sentito parlare di dati e della loro analisi come fatti. E dunque, in termini oggettivi e neutrali.

E invece non è così. La conoscenza non è mai oggettiva.

Dunque, se ne deduce che nemmeno i dati lo sono.

I dati raccontano una realtà parziale e non neutra. Analizziamo e visualizziamo i dati che scegliamo di raccogliere e studiare, necessariamente dunque ne resta fuori la gran parte del fenomeno.

Questo è uno spunto di riflessione importante da tenere a mente, che ci deve ricordare di porci delle domande davanti ad una rappresentazione e visualizzazione di dati.

Dovremmo ricordarci di considerare cosa stiamo davvero rappresentando e soprattutto cosa invece stiamo scegliendo di non guardare.

Come ci orientiamo?

I dati sono un ottimo modo per leggere la realtà, forniscono una lente di ingrandimento per alcuni fenomeni, una chiave di lettura.

Raccoglierli, sistematizzarli e poi renderli accessibili a tutti è fondamentale per comprendere meglio la realtà e per darci degli ottimi strumenti per prendere delle decisioni.

Ma ci dobbiamo ricordare di porci delle domande.

La nuova mappa elaborata da Visual Capitalist sui dati forniti dal Fondo Monetario Internazionale circa il Pil pro capite relativo al 2020 ci aiuta a visualizzare la ricchezza dei Paesi.

Ma ci basta questa misura, questi dati, per comprendere davvero come stanno le cose?

Spoiler: no!

Dati alla mano, ci sembra che tutto sia sempre chiaro e cristallino, ma non è così. Affiancare ai dati una lettura critica, una capacità interpretativa di quello che ci raccontano ed anche (e soprattutto) di quello che non ci raccontano è cruciale per poter navigare questo mare.

Come ci possiamo districare? Lo scopriamo insieme guardando ai dati sulla ricchezza dei Paesi!

Il PIL oggi: una fotografia

Questa immagine ci offre delle informazioni circa lo stato della ricchezza (nominale) dei paesi e territori del Mondo nel 2021. I paesi più scuri sono quelli che hanno un PIL pro capite più basso e via via che il colore diventa più chiaro, il paese diventa più ricco.

Il PIL pro-capite italiano, secondo questi dati, è di oltre 35 mila dollari per persona.

Ma questo davvero che significa?

Beh, si tratta di un valore medio, alcune persone in Italia hanno un reddito più alto, altre lo avranno più basso di questo.

La misura del PIL pro-capite infatti non tiene conto della distribuzione della ricchezza all’interno dei Paesi. Abbiamo appreso un dato medio, ma non sappiamo chi, quale gruppo, sta al di sopra di questo reddito e chi invece può beneficiare di una ricchezza inferiore.

E allora da questa info-grafica cosa possiamo scoprire? 

Possiamo vedere che mediamente i Paesi appartenenti al Sud Globale sono più scuri, e registrano quindi un livello medio di ricchezza ben più basso rispetto ai Paesi del Nord del mondo.

Il Paese più ricco è il Lussemburgo (che si è confermato tale anche nel 2019) mentre il più povero è il Burundi con un PIL pro capite di 267 dollari.

E rispetto al passato?

Quello che questa mappa non ci racconta invece è come è cambiato la stato della ricchezza rispetto al passato. Non sappiamo nulla, a partire da qui, infatti del PIL pro-capite italiano prima della pandemia, ad esempio.

Per questo è necessario rintracciare altri dati, fonti e studi che ci forniscono un confronto.

Rintracciando quindi un discorso del Governatore della Banca d’Italia, Visco, tenuto a Settembre 2020, sappiamo che il nostro PIL è tornato ai livelli di inizio 1993, e che è necessario ripensare una crescita che sia sostenibile.

Qualche regola:

Speriamo che questo esempio sia stato utile e ci lasciamo con qualche suggerimento per leggere, capire ed interpretare in maniera critica tutti i dati che leggeremo sotto l’ombrellone.

• Controllare sempre la fonte e domandarsi se è affidabile e aggiornata,
• Farsi delle domande sull’argomento trattato e del significato dietro ai numeri ed alle percentuali,
• Come si può essere sicuri di aver interpretato bene i dati? Beh, possiamo sempre fare ulteriori ricerche!

Vi auguriamo una buona lettura dei dati!

Di Giuseppe Virgallita

Il Data Protection Officer, – in italiano, Responsabile della Protezione dei Dati – è la nuova figura introdotta dal Regolamento UE 2016/679 (GDPR).

Ma quali sono le sue competenze e responsabilità?

Il DPO affianca il Titolare, il Responsabile e gli addetti del trattamento, affinché conservino i dati e ne gestiscano i rischi.

Nonostante sia una figura professionale nuova, grandi enti ed operatori si sono già dotati da tempo di una funzione privacy che svolge compiti assai simili al DPO. Per supportare le organizzazioni nel mercato unico digitale europeo, il DPO necessita di una preparazione specialistica e formazione continua, affiancata dall’esperienza sul campo.

Il valore del DPO è noto, tanto che alcune legislazioni nazionali storicamente più preparate ad approcci basati sulla c.d. “responsabilizzazione”, se ne erano già dotate. Sebbene la vecchia direttiva 95/46/CE, non prevedesse alcun obbligo di nomina di un DPO, alcuni stati membri (fra i quali la Germania e la Francia) avevano già previsto una figura simile, facendo tesoro delle “best practices” virtuose affermatesi nel corso degli anni. 

I casi in cui il DPO è obbligatorio

L’art. 37, par. 1, del GDPR stabilisce tre casi specifici in cui la designazione del DPO è da considerarsi obbligatoria:

• Nel settore pubblico (fatta eccezione per le Autorità Giurisdizionali quando esercitano le loro funzioni);
• Nel settore privato quando il Titolare effettua trattamenti che comportano il monitoraggio regolare e sistematico degli interessati su larga scala, trattamenti su larga scala di particolari categorie di dati personali di cui all’art. 9 o dati relativi a condanne penali ed a reati di cui all’art. 10.

Rientrano nel presupposto di monitoraggio puntuale, costante e sistematico, ad esempio, gli operatori di telecomunicazione, gli operatori che effettuano attività di profilazione per finalità di marketing comportamentale, oppure per erogare premi assicurativi, localizzazione tramite app, monitoraggio sullo stato di salute tramite dispositivi indossabili, programmi fedeltà.

• Il DPO in ambito privato è obbligatorio anche per tutte le organizzazioni che trattano come attività principale dati sensibili (detti particolari, usando la terminologia prevista dal Regolamento UE 2016/679) oppure dati giudiziari su larga scala, come ospedali, case di cura, istituti di credito, assicurazioni.

A prescindere, però, dal dettato normativo di cui all’art. 37 GDPR, la designazione di un DPO può avvenire anche quando la stessa sia ritenuta opportuna in ragione della peculiarità della realtà in cui opera il singolo Titolare. Nelle sue FAQ, infatti, l’Autorità Garante per la Privacy incoraggia la nomina di un DPO anche quando tale figura non sia obbligatoria per legge, essendo tale designazione un elemento peculiare ai fini del principio di “responsabilizzazione” che permea l’intero assetto del Regolamento UE 2016/679.

Questa tesi, inoltre, è stata rafforzata da tutti i Garanti Europei che sottolineano come il DPO rappresenti una “figura capace di facilitare l’osservanza della normativa sulla privacy ed al contempo aumentare il margine competitivo delle imprese”.

I compiti del DPO

La figura immaginata e creata dal Legislatore europeo è complessa e multiforme, capace di svolgere compiti di vigilanza, assistenza e consulenza, agevolando la coerente attuazione dei principi del GDPR. Il DPO, infatti, è chiamato a svolgere all’interno della singola realtà aziendale attività analoghe a quelle che il Garante nazionale e l’EDPB (Comitato europeo per la protezione dei dati) svolgono a livello italiano ed europeo.

L’art. 39 del GDPR enumera una serie di attività che il DPO è chiamato a svolgere, fra le quali:

• Informare e fornire consulenza al Titolare del trattamento, al Responsabile del trattamento, nonché a tutti i dipendenti che trattano dati personali;
• Sorvegliare l’osservanza della normativa nazionale e comunitaria, nonché le politiche del Titolare o del Responsabile del trattamento riguardanti anche “l’attribuzione della responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai vari trattamenti ed alle connesse attività di controllo”;
• Fornire, qualora richiesto, un parere in merito alla valutazione di impatto (DPIA) sulla protezione dei dati e sorvegliarne il corretto svolgimento;
• Cooperare con l’Autorità Garante nazionale;
• Fungere da punto di contatto e di raccordo per l’Autorità Garante nazionale per tutte le questioni connesse al trattamento, fra cui la consultazione preventiva di cui all’art. 36 ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.

Dunque, DPO è un professionista in possesso di un’adeguata competenza specialistica, un certo grado di esperienza nel settore in cui opera, oltre che di eccellenti capacità manageriali. Deve essere anche un ottimo comunicatore capace di coinvolgere l’intera organizzazione, in modo da rendere il tema della “protezione e sicurezza dei dati” capillarmente diffuso all’interno del tessuto aziendale.

Il DPO, insomma, deve possedere un set di hard e soft skills ben definite che fanno di questa nuova figura un vero e proprio manager della gestione del flusso dei dati e di tutte le risorse a questo predisposte.

A questa attività per così dire “istituzionale”, si affianca una attività caratterizzata da sessioni formative circa la conduzione e il governo dei processi di c.d. “data protection”.

Scelta e nomina di un DPO

Stando a quanto previsto dal Regolamento, al Titolare è lasciata libera scelta di optare per un DPO interno, oppure scegliere di avvalersi una figura esterna. Le due alternative sono da considerarsi del tutto equivalenti. Ciò che fa la differenza è ovviamente la realtà operativa del contesto in cui il DPO opera a seconda del suo stato di dipendente o consulente, con ripercussioni a livello gestionale ed organizzativo.

Un DPO interno, quindi dipendente del Titolare, potrebbe trovarsi a soffrire una mancanza di indipendenza, in quanto l’organizzazione potrebbe non essere culturalmente matura per accettare comportamenti di totale autonomia gestionale ed a svolgere attività in conflitto di interesse, stante la prassi largamente diffusa di utilizzare risorse già preposte a questa attività.

Un DPO esterno, per converso, potrebbe fornire una visione più lucida e distaccata su alcune problematiche di particolare rilevanza, senza tuttavia conoscere le reali dinamiche aziendali ed il personale con cui andrà ad interfacciarsi. A ben vedere, dunque, e come già detto in precedenza, la nomina di un DPO, interno o esterno che sia, non può prescindere dalla sua preparazione, dalla sua formazione specialistica e dalla sua esperienza pregressa nel settore di riferimento.

Formazione e competenza del DPO

La figura del DPO è una figura polivalente che necessita di una formazione multidisciplinare di tipo tecnico-giuridica. Il DPO, infatti, deve essere esperto in sistemi dell’informazione, avere competenze gestionali ed organizzative innestate ad una solida preparazione giuridica. Si serve, inoltre, di competenze giuridiche, a cui si aggiunge conoscenza informatica e propensione alla gestione e all’organizzazione di processi e risorse. Una professione multidisciplinare a tutto tondo, dunque.

Sull’importanza del DPO, basti pensare a come il DPO sia stata una figura chiave nella riorganizzazione delle procedure e dei sistemi aziendali per consentire la prosecuzione delle attività da remoto durante i mesi del lockdown. Il ruolo da giurista del DPO emerge, in particolare, nel delicato contesto delle Pubbliche Amministrazioni.

Sulla base della recente esperienza è semplice comprendere come il diritto alla privacy non possa essere concepito come avulso dal contesto circostante, bensì come questo sia strettamente collegato alle altre branche del diritto. Il DPO supporta il Titolare affinché questi possa operare scelte in linea con i principi sanciti dal Regolamento UE 2016/679.

In conclusione, il DPO è una sorta di “piccolo garante” all’interno di una attività aziendale o all’interno di un  Ente, capace di operare come una Autorità, avendo una spiccata capacità proattiva nell’indicare soluzioni e strade per operare in piena conformità alla normativa europea.

Per essere compliance occorre valutare ed analizzare il proprio contesto legale-organizzativo che deve garantire una gestione corretta delle varie problematiche, non solo in termini di indipedenza ed assenza di conflitto di interessi, ma anche in riferimento ad una corretta integrazione del DPO con le altre funzioni ll’organizzazione.

Di Giuseppe Virgallita

Nell’ articolo precedente abbiamo parlato del diritto allo smart working e la sua regolamentazione.

In questo articolo vi parliamo del rispetto del GDPR nel marketing diretto.

Il marketing è l’insieme delle azioni volte al piazzamento di prodotti o servizi da parte di imprese.

Esistono due tipi di marketing, quello diretto e indiretto.

Il marketing diretto si ha quando le azioni sono messe in atto direttamente dall’azienda interessata a vendere il prodotto o il servizio. Mentre quello indiretto si ha quando intervengono degli intermediari fra venditore e consumatore. In entrambi i casi l’azienda ricorre a strumenti ed azioni per raggiungere il proprio target. Questo lo fa attraverso la gestione dei feedback e la misurazione dei risultati di campagna. Le aziende solitamente utilizzano la prima tipologia, il marketing diretto dunque, che genera il maggior impatto sulla protezione, conservazione e gestione dei dati.

Il marketing e la gestione dei dati.

Le attività di gestione e di trattamento dei dati personali  sono ritenute assai critiche per il marketing e hanno imposto un’attenzione particolare da parte dell’Autorità Garante per la privacy alla luce del Regolamento UE 2016/679 (GDPR).

Inoltre, la diffusione di nuovi canali di promozione commerciale, soprattutto per le imprese medio piccole, assume un ruolo centrale sia nella normativa del GDPR, che nella normativa italiana di attuazione.

Il rispetto del GDPR nel marketing diretto è funzionale al raggiungimento degli obiettivi aziendali.

Ad esempio, un qualunque messaggio pubblicitario inviato rispettando i principi generali in materia di trattamento dati, risulta sicuramente molto più efficace e permette al titolare del trattamento di progettare le proprie strategie di marketing in maniera più incisiva e sicura, evitando di incorrere in sanzioni. Il trattamento dei dati in ambito di marketing deve basarsi su una delle basi giuridiche previste dall’art. 6 del GDPR. Fra di esse rientrano, ad esempio, il consenso, il legittimo interesse, gli obblighi derivanti dalla legge e tutti gli obblighi inerenti al rapporto contrattuale con l’interessato.

L’art. 47 del GDPR prevede che “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.

Tuttavia, questa affermazione non può prescindere dalla Direttiva sulla e-privacy 2002/85/CE che disciplina le comunicazioni per scopi e finalità di marketing tramite sistemi automatizzati.  Il trattamento di questi dati, dunque, deve continuare ad essere gestito previa acquisizione del consenso di cui alla Direttiva e-privacy.

L’obbligo di fornire una informativa dettagliata, con termini semplici, diretti e chiari, era peraltro già previsto dalla normativa precedente al GDPR, che ne rafforza l’obbligo negli artt. 13 e 14 dello stesso Regolamento. Viene specificato, inoltre, che l’informativa deve essere trasparente e comprensibile, oltre che facilmente accessibile all’interessato.

Il consenso al trattamento dei dati.

Il consenso al trattamento dei dati deve essere libero, specifico, informato e manifestato con una dichiarazione o azione positiva inequivocabile. Per le finalità di marketing si deve sempre gestire il consenso in modo tale che la persona che lo conceda possa decidere in piena autonomia se e quando revocarlo; inoltre, deve poter decidere se autorizzare o meno il trattamento per le diverse finalità per cui sia richiesto.

Molto importanti sono gli artt. che vanno dal 15 al 22 GDPR, in quanto specificano tutti i diritti degli interessati che devono essere garantiti in ambito di trattamento dati. Nel marketing, in particolare, occorre prestare particolare attenzione al diritto di opposizione. L’interessato, infatti, potrà in qualsiasi momento validamente opporsi al trattamento dei dati personali che lo riguardano, ai sensi dell’art. 6 del GDPR. L’interessato potrà esercitare tale diritto in ogni momento, anche con l’ausilio di mezzi automatizzati. Ne è un esempio tramite il link per cancellarsi dalle mailing list.

Anche per tutte le attività di marketing valgono le prescrizioni previste dagli artt. 44-50 GDPR. I dati personali dell’interessato, infatti, non possono essere trasferiti nei paesi esteri, senza la previa verifica della sussistenza di idonee garanzie previste dalla normativa europea.

Il trattamento dei dati per le attività di marketing rientra fra i trattamenti da documentare e tracciare attraverso la redazione del Registro del trattamento, di cui all’art. 30 GDPR. Sarà obbligo del titolare e del responsabile del trattamento tenere aggiornato il registro. Se l’attività di marketing è svolta da soggetti terzi, questi andranno indicati nell’apposito registro.

I dati, inoltre, devono essere protetti con adeguate e pertinenti misure di sicurezza, la cui adeguatezza e pertinenza devono essere proporzionali al relativo rischio al trattamento, ai sensi dell’art. 32 GDPR. Queste misure di sicurezza possono essere di vario genere, da scegliersi in funzione della tipologia dei dati trattati e della dimensione dell’azienda.

Eventuali violazioni dei dati, “data breach”, dovranno essere segnalate entro 72 ore all’Autorità Garante per la privacy e, in casi specifici, anche agli stessi interessati, ai sensi degli artt. 33 e 34 GDPR.

E per quanto riguarda i dati pubblici?

Oltre ai dati  “comuni e standard” trattati mediante il consenso espresso dagli interessati, assume particolare rilevanza la questione legati ai dati pubblici. Parliamo ad esempio, di quelli resi noti e pubblicati all’interno di albi professionali ed elenchi, facilmente accessibili e raggiungibili da chiunque. Per la loro gestione è comunque necessario il consenso, il quale deve essere preventivo, libero, specifico, non equivocabile ed informato da parte del soggetto interessato.

L’Autorità Garante, nel fornire le proprie motivazioni, si basa sui principi che reggono tutta l’impalcatura della normativa GDPR, ossia quelli di correttezza, finalità, liceità e trasparenza. Dunque, i dati “vengono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, e vengono raccolti per specifiche finalità, esplicite e legittime, successivamente trattati in modo che non siano incompatibili con le predette finalità”.

Il trattamento dei dati pubblici per fini commerciali e di marketing è lecito solo se la disciplina che ne regolamenta la fonte, indichi espressamente se tali possano essere trattati per fini di marketing. Sempre inoltre, che le attività commerciali siano direttamente funzionali all’attività dell’interessato che ha prestato il consenso all’inserimento dei propri dati all’interno degli appositi elenchi.

Perché il GDPR è così importante per il marketing diretto?

Alla luce di quanto detto sinora, appare evidente l’importanza che riveste l’impianto normativo del GDPR nel campo del marketing, soprattutto quello diretto. Il titolare del trattamento dati dovrà adeguare tutto l’assetto aziendale al principio di responsabilizzazione, la arcinota “accountability”, che permea l’intero Regolamento Europeo. Nello specifico, il titolare dovrà aver cura di riportare all’interno della informativa privacy, tutte le informazioni e le valutazioni effettuate relativamente al perseguimento di un proprio legittimo interesse, finalizzato allo svolgimento di attività di marketing diretto. Il tutto al fine di favorire il corretto sviluppo di iniziative pubblicitarie e attività commerciali senza una invasione smisurata dei diritti e delle libertà dell’interessato, così da rendere l’attuale quadro normativo il più chiaro e trasparente possibile.

IWS Consulting si adegua e promuove l’aderenza al GDPR anche in tema di marketing diretto.

Nel prossimo approfondimento ci occuperemo ancora di marketing, stavolta focalizzando l’attenzione sulla gestione delle mail.

di Giuseppe Virgallitta

Dall’entrata in vigore nell’ordinamento italiano del nuovo GDPR – Regolamento UE n. 679/2016 per la tutela e protezione dei dati personali ormai sono passati quasi due anni.

Tutte le aziende e la PA hanno intensificato i processi relativi alla gestione e protezione dei dati e della privacy, soprattutto di quelli che vengono trasmessi via web.

Il GDPR, infatti, promette di rivoluzionare le modalità di raccolta, gestione, diffusione e archiviazione dei dati personali, impattando su tutta la vita dell’impresa.

Oggi la materia del trattamento dei dati personali e della tutela della privacy è ancora più centrale in virtù delle nuove modalità di lavoro agile introdotte a causa della pandemia di Coronavirus: per esempio, i dipendenti delle aziende lavorando da casa, utilizzano device che non sono aziendali e quindi potrebbero essere più facilmente preda di hacker senza averne consapevolezza.

Si tratta, di una norma che sovrappone e incrocia diversi ambiti lavorativi che spaziano dall’Information Technology al settore vendite, dal commerciale al marketing, sino ad arrivare alla compliance.

Tutti, quindi, devono fare i conti ed essere costantemente aggiornati sulle evoluzioni di questo strumento legislativo.

A tal scopo, molte aziende, sia pubbliche che private, si stanno rendendo conto della necessità di una figura che faccia da raccordo fra tutte le altre: molto spesso la scelta ricade sul Responsabile delle Risorse Umane che può svolgere questo delicato ruolo di garante.

I responsabili HR sono tradizionalmente considerati il fulcro della vita aziendale e riforme paragonabili al GDPR trovano in queste figure professionali i gestori ideali.

Infatti, il GDPR impone chiarezza di ruoli e di organizzazione: per funzionare in modo adeguato, la privacy in azienda ha bisogno di un organigramma dettagliato con le relative nomine ed incarichi.

Inoltre, il responsabile delle risorse umane ha a suo carico anche le comunicazioni verso i dipendenti e la formazione in materia di corretto trattamento dei dati.

Analogo discorso di organizzazione e monitoraggio continuo si può e si deve applicare al registro dei trattamenti dati della società, documento principale per dimostrare dinanzi all’Autorità garante, il rispetto dei requisiti tratteggiati dal GDPR.

Orbene, tutti questi compiti devono essere svolti ed eseguiti con attenzioni finora sconosciute, secondo i nuovi requisiti previsti dal regolamento ed in un’ottica di proceduralizzazione e armonizzazione con tutte le altre figure dei diversi ambiti aziendali.                                                                                     

La nuova centralità del ruolo degli HR, con riferimento ai nuovi obblighi imposti dal GDPR, sembra poi essere confermata da alcune disposizioni normative del recente D. Legislativo 101 dell’agosto 2018, di adeguamento e armonizzazione della normativa nazionale al GDPR stesso.

In particolare, l’art. 17 del suddetto decreto legislativo impone l’applicazione generale (salvo alcune eccezioni) del rito del lavoro alle controversie in materia di protezione e gestione dei dati.

Appare naturale che, per la peculiarità del rito e per le conoscenze specifiche che detto rito impone, le controversie in questo ambito sono affidate ad avvocati giuslavoristi.

Altrettanto naturale è che detti professionisti del diritto, molto spesso, sono supportati da chi le aziende le conosce e che a sua volta conosce il rito: il responsabile della gestione del personale, appunto.

I responsabili HR, infine, devono al più presto rivalutare il loro attuale processo di recruiting, assicurandosi di avere l’appropriato controllo degli accessi in atto e il giusto livello di sicurezza commisurato al tipo di dati elaborati, al fine di soddisfare tutti i requisiti imposti dal GDPR.

In conclusione, è evidente, perciò, che le nuove disposizioni previste non solo dal GDPR, ma anche dal Codice Privacy, così come modificato e integrato dal D. Lgs.101/2018, implicheranno una nuova sfida tanto per le aziende, quanto per i responsabili delle risorse umane.                                                              

Un rinnovamento che non potrà non giovare a un ruolo da sempre al centro della vita aziendale, ma che, soprattutto negli ultimi anni, è stato un po’ troppo sottovalutato, “svuotato” e relegato ai margini della stessa.