Brand reputation a prova di GDPR: difendi l’immagine dell’azienda
6 Novembre 2019 in Governance Risk & Compliance As a Service - GRC360
Una conclamata violazione del GDPR ha tra le sue conseguenze anche un danno alla brand reputation aziendale. I problemi che ne derivano sono pure di natura economica, per cui tutelare la propria immagine è una priorità. Bisogna tenere sotto controllo i fattori che possono portare a un danno reputazionale. Parlando di data protection, la situazione è particolarmente complicata: oltre agli incidenti che hanno cause interne all’organizzazione, ci sono variabili esterne come gli attacchi di cyber crime. Approfondiamo dunque come proteggere la propria immagine e come reagire se qualcosa va male.
Come si evolve il binomio GDPR e brand reputation
Nonostante alcune opinioni critiche, un numero consistente di consumatori e cittadini percepisce i regolamenti privacy a tutela dei propri diritti e della propria identità digitale. Pensando a questi punti di vista, è importante che le aziende permettano ai propri clienti di sentirsi sicuri nell’interazione e considerino la privacy un elemento imprescindibile per comunicare i propri valori a consumatori e partner.
L’immagine è legata non tanto al logo ma soprattutto a quanto l’azienda vuole comunicare al mercato in termini di affidabilità, anche sulla spinta di un requisito normativo molto forte che vede dunque uno stretto legame fra GDPR e brand reputation e, più in generale, fra brand reputation e protezione dei dati.
Le aziende, anche in risposta al forte impulso sia a livello italiano sia europeo, hanno messo in campo progetti di adeguamento che spesso si traducono però nel mero recepimento acritico dei regolamenti, mentre GDPR e brand reputation, andrebbero integrati per definire una strategia di comunicazione efficace ai clienti. Si tratta di far capire che l’azienda non si limita a adeguarsi alla normativa ma ha a cuore la privacy dei suoi clienti, visti non solo come consumatori ma come soggetti interessati al trattamento dei dati personali.
La comunicazione, ben strutturata e non gridata, dovrebbe essere alla base dell’adeguamento di siti, portali e vari mezzi di contatto con il pubblico. Nel caso della privacy, a differenza di altre soluzioni di brand reputation con un taglio marketing, il cliente deve percepire di essere parte attiva, nel momento in cui vuole esercitare i suoi diritti, ad esempio quello di cancellazione.
Figure come il DPO possono rappresentare il tramite ideale per l’interlocuzione con il cliente e devono saper trasmettere i valori e lo stile del brand, in piena ottemperanza con il GDPR.
GDPR e brand reputation, cosa bisogna fare
In un mondo digitale, la reputazione aziendale non è costruita solo dalle azioni concrete che si realizzano nella vita di ogni giorno, ma anche dall’immagine che l’impresa mostra online. È facile intuirne la fragilità: sono noti casi in un cui un singolo post sui social network ha creato un danno d’immagine alle aziende, con conseguenti malcontento, perdita dei clienti e di soldi. Riguardo alla protezione dei dati, sono diverse le condizioni che portano a correre rischi di immagine:
• Sottovalutare i pericoli (“A noi non succede…”)
• Non sviluppare adeguate misure di cyber security
• Avere personale non correttamente formato sull’uso corretto dei dati e sui rischi informatici
• Trattare i dati senza una base di legittimità, senza una finalità definita, conservarli oltre il tempo congruo per la finalità, non informare l’interessato o negargli l’esercizio dei suoi diritti.
Oltre a indicare un atteggiamento superficiale verso il trattamento dei dati, queste condizioni possono evidentemente violare il GDPR. Ecco dunque che non rispettare la normativa si può tradurre in danni economici e d’immagine che saranno costosi e difficili da superare. La normativa del resto spiega bene ai titolari del trattamento che cosa devono fare per evitare spiacevoli conseguenze.
Un esempio concreto: il data breach
A titolo di esempio per spiegare quanto illustrato prima, ricordiamo che l’articolo 32 del GDPR affronta le misure tecniche adeguate da mettere in atto per proteggersi da eventuali data breach – oltre che per garantire i diritti degli interessati. È necessario, spiega la legge, dimostrare di aver fatto tutto il possibile per difendere le informazioni personali di cui si è in possesso, attraverso soluzioni come per esempio la cifratura dei dati, il controllo continuo nel tempo delle proprie infrastrutture informatiche, la formazione ad hoc dei dipendenti. Tuttavia, per quanto si adottino le misure corrette e si sia scrupolosi non c’è la garanzia di essere totalmente immuni dagli attacchi informatici. Il GDPR però spiega in quale modo comportarsi verso gli interessati del trattamento in caso di violazioni: viene esplicitato nel regolamento che in caso di data breach bisogna informare le autorità e in caso di minaccia elevata anche le “vittime” della situazione, cioè gli interessati i cui dati sono stati sottoposti a minaccia, per correre ai ripari il prima possibile senza ritardi che potrebbero aggravare la situazione. Dunque, cercare di passare sotto silenzio una violazione per timore di subire danni alla propria immagine conduce, paradossalmente, proprio a un danno alla propria brand reputation: il GDPR spiega chiaramente che la trasparenza e l’onestà sono apprezzate – anzi, obbligatorie per legge.
Le conseguenze reputazionali se si viola il GDPR
L’articolo 82 del GDPR spiega che l’interessato del trattamento che subisce una violazione dei propri dati ha diritto al risarcimento. Si immagini dunque quale danno economico un data breach può comportare per grandi gruppi aziendali che trattano numerosi dati. Oltretutto, se non si dimostra di aver fatto il possibile per evitare questi rischi, può anche scattare la sanzione delle autorità per violazione della normativa. Ma se le casse aziendali vengono colpite direttamente in questo modo, più subdolo ma ugualmente debilitante è la perdita economica causata dal danno d’immagine. Una violazione dei dati comporta un danno reputazionale perché instilla nei clienti l’idea di un’azienda incapace di garantire affidabilità e sicurezza. Per un data breach si possono perdere clienti, si rischia di non riuscire a ottenerne di nuovi: i pericoli per la stabilità dell’organizzazione aziendale sono evidenti. Meno clienti e meno soldi, così il danno alla brand reputation va a braccetto con quello economico per la rovina dell’azienda.
Rimediare a un danno d’immagine seguito a sanzione per violazione del GDPR non è facile. Le soluzioni dipendono dalle circostanze. Se la sanzione inflitta all’azienda prevede oltre al pagamento della multa anche raccomandazioni per porre rimedio alla mancata compliance normativa che ha dato origine al problema, è fondamentale sanare la situazione irregolare. Le azioni per porre rimedio vanno documentate, utile anche valutare se comunicarle alle autorità, agli interessati del trattamento e agli stakeholder.
Gli strumenti giusti per abbinare regolamento GDPR e brand reputation
Per riuscire a trarre il massimo vantaggio dall’adeguamento al GDPR, l’azienda deve, come primo passo, definire la sua policy di data protection, realizzando un documento aziendale che contenga le linee guida. Andranno indicati i processi aziendali attivati, come comportarsi nel caso in cui un interessato voglia esercitare un diritto, la risposta da dare e l’iter procedurale da mettere in atto, nel caso malaugurato di un data breach.
In area brand reputation svolgono un ruolo importante i diversi contact point (portali, app, punti di contatto fisici) che devono contenere le informative sui dati, i consensi (per eventuali attività marketing, news letter, etc.), imprescindibili prima dell’avvio del rapporto azienda-cliente. Nel caso di sistemi di videosorveglianza in punti fisici e punti vendita, ad esempio, dovrà essere affissa ben in vista l’informativa.
Un altro punto di attenzione, in termini di data protection, è costituito dalle app che, attraverso lo smart phone, potrebbero accedere a una grande quantità dati (posizione Gps, contatti rubrica, gusti dell’interessato, dati sanitari, etc.).
Un tema spesso sottovalutato è infine quello dei cookies, presenti su siti web e portali aziendali, che sarebbe utile monitorare con appositi tool, per verificare se il tracking è conforme al GDPR.
Le azioni per garantire il rispetto del regolamento GDPR e brand reputation
L’adeguamento alla normativa prevede una prima fase di GDPR assessment, a partire dalla verifica della documentazione per rilevare eventuali gap e, nel caso l’azienda avesse già provveduto all’adeguamento, verificarne l’effettiva conformità.
Seguono la gap analysis e il remediation plan che, per i gap riscontrati, identifica le priorità sulla base della gravità del rischio e la successiva implementazione del remediation plan, con l’attuazione delle soluzioni necessarie per colmare i gap.
A conclusione, subito prima dell’indispensabile sensibilizzazione del personale, interno ed esterno, si effettua il controllo che dovrà essere ciclico. Le condizioni di conformità al GDPR si evolvono infatti nel tempo e va dunque previsto un processo di manutenzione, monitoraggio e attività per onorare le eventuali richieste degli interessati, con un ruolo del DPO proattivo in termini di GDPR e di brand reputation.
Accountability e brand reputation aziendale
Un’azienda che presta grande attenzione alla data protection e segue scrupolosamente il GDPR può trarre beneficio per la propria immagine comunicando la sua sensibilità nella protezione dei dati. In futuro ci sarà la possibilità, come previsto dall’articolo 42 del GDPR, di conseguire certificazioni, o anche di aderire a codici di condotta a seconda della categoria commerciale cui si appartiene. Sono soluzioni in divenire, ancora non concretizzabili.
Tuttavia, si può predisporre un documento di accountability, il cosiddetto “data protection book” o “modello di gestione della protezione dei dati personali”. Un documento in cui racchiudere tutto quello che l’azienda sta attuando per essere adeguata al GDPR e prevenire i rischi. In questo testo si possono riunire le procedure adottate, il modello organizzativo con i vari incarichi affidati in materia di protezione dei dati, documenti tecnici e legali come analisi dei rischi e informative, ma anche quanto fatto per la formazione del personale, oltre alle indicazioni relative a eventuali data breach subiti e richieste di esercizio dei diritti degli interessati al trattamento.
Paolo Calvi – Data Protection Officer