Cultura del rischio: il caso Facebook

Conoscere i rischi, anche in termini di privacy, genera valore e limita le possibilità di sanzioni.

È di questi giorni la notizia che la FTC (Federal Trade Commission), autorità americana per la protezione dei consumatori e la libera competizione sul mercato, ha multato Facebook per forti irregolarità nella gestione dei dati personali dei suoi utenti. La sanzione è la più alta in assoluto mai comminata ad una società di high-tech: si parla di 4,5 miliardi di euro (ovvero 5 miliardi di dollari). Ora la decisione di FTC verrà trasmessa al Dipartimento della Giustizia.

Una cifra che avrebbe messo in ginocchio molte società o che comunque avrebbe avuto un contraccolpo forte, ma non per Facebook dato che rappresenta meno del 25% del suo utile 2018 e che una cifra di poco inferiore era già stata accantonata proprio per assorbire un simile potenziale impatto e mitigarne in parte il rischio (per loro stessa ammissione).

L’indagine iniziò nel 2018 quando emerse che Cambridge Analytica, società di consulenza politica con sede a Londra, aveva potuto utilizzare i dati di più di 80 milioni di utenti senza regolare autorizzazione. Un caso che coinvolse persone ben in vista negli Stati Uniti e che vide implicata anche l’ultima campagna presidenziale. Un grande scandalo che ha giustamente portato nuovamente in auge il tema della protezione dei dati e della gestione consapevole dei rischi, soprattutto nel mondo del web.

Dato l’accantonamento fatto dalla società, possiamo assumere che Facebook si aspettasse una possibile procedura nei loro confronti per la non corretta gestione dei dati personali dei loro iscritti? e che quindi si è trattato di superficialità abbastanza consapevole nella gestione della privacy? Oppure conoscevano il rischio, ma non hanno saputo gestirlo nel migliore dei modi?

Non lo sapremo mai e di sicuro non saremo noi a fare illazioni, però possiamo affermare che Facebook ha dimostrato di essere in grado di prevedere i rischi e anche di fare una stima di impatto e probabilità abbastanza precisa.

Prendendo spunto da questa vicenda, vogliamo, infatti, ragionare su un altro tema: quasi tutti i Sistemi di Gestione, dalla Qualità alla Sicurezza delle Informazioni, e sempre di più la Compliance normativa (parlando di privacy un ottimo esempio sarebbe il Regolamento UE 2016/679 – GDPR) si fondano su un approccio basato sul rischio (Risk Based Approach), un approccio che implica che il rischio venga percepito, analizzato, conosciuto e quindi gestito.

L’ISO 9001 (Qualità) ha il concetto/requisito di “Risk Based Thinking”, l’ISO 27001 (Sicurezza delle informazioni) ha punti di norma sulla “valutazione e trattamento del rischio”, l’articolo 32 del GDPR parla di mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” assieme alla descrizione di un processo che noi chiameremmo Risk Assessment (analisi del rischio).  Sicuramente i temi della gestione dei rischi sono ben conosciuti anche da questo colosso high tech di oltre oceano e lo dimostra la rapidità con cui è stata riallineata l’asticella.

Una tale conoscenza è fondamentale per tutte le società, indipendentemente dal settore di appartenenza, perché avere la consapevolezza di questi argomenti, essere capaci di valutare l’andamento dei rischi e l’avere un robusto sistema dei suoi controlli permette di evitare sanzioni (ad esempio, il GDPR prevede il 4% del fatturato), ma anche perché è la base per la tutela della propria reputazione e della propria immagine.

Un’infrazione e una conseguente multa possono creare un danno reputazionale a volte difficilmente sanabile, anche con anni di corretti e impeccabili comportamenti professionali.

L’altra sibillina domanda che ci sollecita l’episodio di Facebook è: questi sistemi di controllo quanto diminuiscono il fatturato? Ovvero, se un’azienda applica la normativa in materia di sicurezza e gestione dei dati, avrà meno entrate?

Ad esempio, sempre in tema di GDPR (Regolamento generale sulla protezione dei dati) parliamo di sanzioni economiche quando quella più impattante a nostro avviso è esplicitata nell’art. 58, comma 2, lett. F, che permette all’autorità di controllo di “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento”. Un regolamento questo sicuramente molto restrittivo e a forte tutela dell’utente che ha imposto a tutte le nostre aziende interventi massicci, revisione e adeguamenti del trattamento dei dati. I dati degli utenti non possono più essere ceduti o venduti senza esplicita autorizzazione.

Questo è quindi uno svantaggio?

No, anzi!

È un punto di forza: attrae maggiormente le persone, dando tranquillità e certezza su quello che accadrà; incrementa la trasparenza e la reciproca fiducia tra consumatore e fornitore; diventa il traino per un trend positivo anche in termini economici.

Ce lo dimostra sempre Facebook: aver migliorato immediatamente la gestione in tema di Privacy ha consentito di patteggiare la sanzione e ha fatto subito recuperare il 2% alle azioni del gruppo.

La cultura del rischio nel mondo dell’high tech genera valore e tutela del danno reputazionale.

 

Articolo di Martin Mc Mahon

Faccio parte del team Probitas e scrivo per il Portale 231. Mi occupo di progettazione ed implementazione di sistemi di gestione e analisi organizzativa e di rischio.

Contattaci:

Accetto le condizioni sulla Privacy. [Leggi]