NEWS

La teoria della legittimità e quella degli stakeholder applicate alla protezione dei dati personali

Paige Bartley, analista senior sull’intelligenza artificiale, sostiene che “le organizzazioni devono concentrarsi sui punti in comune e sui principi fondamentali prima di concentrarsi sui requisiti specifici del regolamento [sulla protezione dei dati] in stile checklist”. La teoria della legittimità e quella degli stakeholder aiutano le organizzazioni a focalizzare l’attenzione su alcuni punti cruciali.

La teoria della legittimità e quella degli stakeholder si applicano al contesto della protezione dei dati personali

In questo articolo si vuole comprendere, sia pure in modo estremamente sintetico, come la teoria della legittimità e quella degli stakeholder si applicano al contesto della protezione dei dati personali, consapevoli come tale tema pervada, in modo tanto ampio quanto sorprendente, i processi di un’organizzazione.

La teoria della legittimità - La teoria della legittimità (Legitimacy theory) è un elemento centrale della maggior parte dei regolamenti aziendali, in particolare di matrice anglosassone.

È una soluzione estremamente valida per evitare un approccio rigido alle regole aziendali, fine a se stesso, ed al contempo promuove la responsabilizzazione dei collaboratori aziendali a tutti i livelli.

Le organizzazioni si sforzano di operare all’interno di un quadro, sia esso codificato da norme, che regolamentato da prassi/consuetudini nell’ambito delle regole della comunità di appartenenza. In tal modo le loro azioni sono viste come legittime e quindi accettabili. Il loro sistema di valori è quindi compatibile con quello della società nella quale operano e danno corso ai propri business.

Le organizzazioni agiscono quindi in risposta a pressioni di varia natura (politiche, economiche e sociali), che le legittimano, ed il sistema permette all’organizzazione di continuare ad operare finché soddisfano le regole del sistema sociale.

Un’organizzazione che opera al di fuori della legittimità potrebbe, nei casi più gravi, vedere interrotta la propria attività; in condizioni meno critiche potrebbe: perdere la reputazione e/o quote di mercato, aver difficoltà ad ottenere finanziamenti, non attrarre talenti, dovere far fronte a sanzioni, ecc.

Per legittimare le prestazioni l’organizzazione deve rendicontare e divulgare le azioni pianificate e realizzate, oltre agli ostacoli incontrati. Quindi, attraverso un’adeguata comunicazione, l’organizzazione può agire su due fronti:

Azioni messe in atto per essere allineata o per superare le aspettative:

- dare evidenza dei suoi sforzi per operare nel solco della legittimità;
- dimostrare che le misure applicate sono volte a superare le aspettative delle parti interessate in termini di legittimità – l’organizzazione fa “di più” di quanto non le venga richiesto – promuovendo ed applicando pratiche esemplari (ad esempio tramite iniziative sostenibili).

Azioni per recuperare la credibilità a fronte di eventi, più o meno gravi e/o rispondenti al vero, che l’hanno minata:

- dare evidenza degli sforzi per allinearsi agli “ideali” di legittimità;
- recuperare una situazione critica, ad esempio a seguito di procedimenti penali che hanno coinvolto l’organizzazione o suoi rappresentati di spicco;
- informare e sensibilizzare i suoi interlocutori sulle misure che pone in campo, anche a seguito di eventi che possono aver minato la sua credibilità.

Una comunicazione trasparente che si basi su informazioni verificabili da terze parti è quindi un asset fondamentale per dare credibilità alle azioni poste in essere dalle organizzazioni. Tale approccio è ancora più importante a seguito di eventi che possono aver minato la credibilità dell’organizzazione.

D’altra parte una comunicazione più puntuale, frequente e circostanziata può essere richiesta, anzi imposta, da gruppi di pressione sia interni che esterni all’organizzazione ed aumenta la credibilità della stessa.

Il mancato allineamento porta a quello che può essere definito come un "divario di legittimità", che minaccia un’organizzazione su vari fronti e rappresenta un rischio per la stessa, rischio che può essere mitigato con specifiche misure, come sarà indicato in seguito, nell’ambito della protezione dei dati personali.

Ovviamente il contesto in cui le organizzazioni operano non è cristallizzato, quindi le stesse devono reagire adattando i loro processi alle modifiche, sia sul fronte normativo che su quello delle aspettative, per garantire di agire regolarmente in modo legittimo.

In sintesi, alla base della teoria della legittimità vi è l’idea che un'organizzazione e la società in cui la stessa opera sottoscrivono un "contratto sociale".

Monica Perego

(Nella foto: l'Ing. Monica Perego, docente del Corso 'Il ruolo del DPO nei casi critici e nelle situazioni di emergenza')

La Teoria degli stakeholder - Chi sono gli stakeholder? R.E. Freeman e D.L. Reed nel 1983 ne forniscono una definizione considerata un classico: “Qualsiasi gruppo o individuo identificato che può influenzare o è influenzato dal successo degli obiettivi di un'organizzazione ... Gli azionisti, i creditori, il governo, i dipendenti, le famiglie dei dipendenti, le comunità locali e le generazioni future sono tutti esempi”. (“Stockholders and stakeholders: a new perspective on corporate governance” California Management Review).

Nel 1984, Freeman riassume la teoria in modo molto efficace: “Chi governa l’impresa deve prendere in considerazione i diritti, gli interessi e le aspettative di tutti coloro che possono essere influenzati dalle decisioni manageriali e che, per converso, possono esercitare la loro influenza sui risultati di tali decisioni” (“Strategic management: a stakeholder approach” pubblicato da Franco Angeli).

La teoria degli stakeholder è utile per comprendere come gestire le organizzazioni ed i rapporti con i soggetti che le influenzano e quindi permettere il raggiungimento di obiettivi aziendali in termini di redditività, sviluppo e sostenibilità.

La teoria degli stakeholder ha due valenze:

- etico – morale e normativa;
- manageriale;

La valenza etica del ruolo degli stakeholder comporta che gli stessi sono preziosi in quanto favoriscono un allineamento dell’organizzazione in sé e per sé alla teoria della legittimità.

La valenza manageriale della teoria fornisce indicazioni, che contribuiscono alla migliore gestione degli stakeholder.

Il vertice di un’organizzazione deve gestire gli stakeholder in modo equo, mirando ad ottenere per loro il migliore interesse ed una comunicazione completa (rendicontazione delle azioni svolte). Ovviamente è difficile sottrarsi alla convinzione che le aspettative degli stakeholder, ed in particolare di quelli che possono esercitare più potere, influenzino le regole operative e informative dell’organizzazione e che quest’ultime non rispondano con procedure uguali o simili a richieste provenienti da gruppi diversi.

Il management responsabile deve essere in grado di valutare le richieste degli stakeholder e soddisfarle con l’obiettivo ultimo di raggiungere gli obiettivi strategici dell’organizzazione.

Dall’applicazione della teoria degli stakeholder deriva che:

- gli stakeholder possono avere tra loro interessi parzialmente in contrasto e possono esercitare pressioni per raggiungere i propri obiettivi; l’effetto di tali azioni è influenzato da come gli stessi si organizzano;
- per raggiungere i propri obiettivi un’organizzazione deve soddisfare i propri stakeholder, quindi essa dev’essere in grado di trovare un punto di equilibrio tra esigenze differenti;
- il potere di tali gruppi varia nel tempo in relazione al mutamento di elementi di contesto interni ed esterni, inoltre nel tempo possono emergere nuovi portatori di interessi;
- la considerazione del valore portato dalle parti interessate, piuttosto che dai soli azionisti, non richiede da parte della direzione un'accettazione acritica di tutte le richieste;
- la teoria ha sicuramente un ampio valore descrittivo e strumentale, ma un ridotto valore normativo.

Le due teorie - La teoria degli stakeholder e quella della legittimità si integrano e non devono essere concepite come distinte; la prima si rivolge a gruppi ben definiti, quindi con la individuazione di azioni più mirate; la seconda è orientata a soddisfare le esigenze della società nel suo complesso.
La teoria degli stakeholder è da intendersi quindi organica a quella della legittimità.

Le due teorie e l’impatto sulla protezione dei dati personali - Affrontiamo ora come tali teorie impattano sulla protezione dei dati personali; gli aspetti da considerare sono diversi.

Comunicazione - Entrambe le teorie richiedono:

- comunicazione di dati che potrebbero contenere anche informazioni personali (ad esempio retribuzione del personale);
- trasparenza nelle azioni pianificate e messe in campo, comprese quelle relative alle persone fisiche (ad esempio sanzioni disciplinari).

Tali comunicazioni vanno dall’organizzazione verso gli stakeholder (ad intervalli o in occasione di eventi critici), e viceversa dai gruppi di interesse verso l’organizzazione (anche sotto forma di richieste).

Devono quindi essere previste procedure per la gestione delle comunicazioni da e verso i gruppi di interesse.

Analisi de rischio - La teoria della legittimità comporta che l’analisi dei rischi deve contemplare anche il rischio del "divario di legittimità", in generale e nello specifico, sul fronte della protezione dei dati personali; come misure di mitigazione bisogna prevedere l’individuazione dei seguenti elementi:

- delle fonti per l’aggiornamento normativo;
- della funzione incaricata di monitorare le norme, di verificarne l’applicazione nel contesto dell’organizzazione e di applicarle;
- della funzione incaricata di verificare, durante attività di audit di sistema di gestione o di conformità legislativa, la correttezza della normativa applicata.

Privacy by design - Nella procedura di privacy by design deve essere anche considerato l’impatto della normativa a seguito dell’introduzione o modifica di un trattamento.

Data Breach - deve essere definito un piano di remediation, nel caso in cui un evento di data breach o più in generale un incidente sulla sicurezza delle informazioni si verificasse a seguito del mancato presidio normativo.

Altri aspetti - la teoria degli stakeholder implica che essi si aspettano che:

- quando rivestono il ruolo di interessati (es. dipendenti) sia rispettato il diritto alla protezione dei dati, non solo dei propri, ma anche di altri soggetti (es. familiari) legati alla loro sfera intima;
- quando rivestono il ruolo di soggetti interessati al mantenimento e miglioramento della reputazione dell’organizzazione (es. azionisti, dipendenti), sia garantito, termini generali, il rispetto della normativa in materia di protezione dei dati, attraverso strumenti vari quali la nomina del DPO, l’attività di audit, certificazioni di terze parti, ecc.

Analoghe esigenze sono manifestate dai soggetti interessati alla continuità aziendale (es. azionisti, dipendenti, clienti, fornitori, creditori).

Conclusioni - Secondo la teoria della legittimità, un'organizzazione deve sempre sforzarsi di assicurarsi di essere considerata come operante entro i vincoli e le norme della società in cui opera.

La teoria degli stakeholder riguarda la relazione che esiste tra un'organizzazione e le sue parti interessate, ed afferma che tale relazione debba essere gestita in modo responsabile nei confronti di tali gruppi; inoltre aggiunge la valenza delle “aspettative sociali” alla teoria della legittimità.

Tra le aspettative, di tutte le parti interessate, determinate da norme o da convenzioni vi è anche la protezione dei dati personali, la cui applicazione efficace contribuisce a dare evidenza di del rispetto della normativa e delle aspettative sociali, come richiesto. Il tema è stato approfondito nell’articolo nel solco che la protezione dei dati personali pervade tutti gli ambiti in cui opera un’organizzazione.

Nota: Quest’articolo trae spunti anche da quello dell’Università di Napoli “Il modello di Governance e la Stakeholder Theory”

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev La Commissione Europea vuole mantenerci più al sicuro indebolendo proprio ciò che ci protegge a discapito della nostra privacy
Next La 'Stele di Rosetta' della privacy per evitare l’isolamento di DPO e Privacy Officer in azienda

App di incontri e rischi sulla privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy