Iniziamo ricordando una banalissima verità: un portafogli pieno è molto più attraente di uno vuoto ed è chiaro a quale dei due presterà maggiore attenzione un ladro.
Seconda banale verità: un armadio con meno oggetti è più facile da tenere pulito e ordinato che non un armadio pieno di oggetti inutili di cui molti sono, oltretutto, vecchi soprammobili la cui unica ragione di vita è solo quella di raccogliere polvere.

Il principio di minimizzazione dei dati

Non sono concetti difficili e, probabilmente, qualcuno li ha sentiti dire da una vecchia e saggia nonna che curava la casa in maniera impeccabile.
Adesso questi princìpi di sana gestione dovrebbero essere applicati in ogni azienda non solo perché sono essenziali per ottimizzare spazi e processi, ma anche perché sono obblighi di legge e, purtroppo, qualcuno ancora non riesce a capirlo.

È infatti sufficiente visitare qualche sito aziendale o provare a scaricare uno dei tanti e-book gratuiti offerti sui social per scoprire che in molti hanno ancora la brutta abitudine di chiedere agli utenti una serie di dati inutili e consensi generici per continuare la navigazione o avere informazioni. A chi non è capitato che per avere quella brochure apparentemente gratuita non sia chiesto di lasciare, oltre alla mail (rigorosamente aziendale), anche il telefono o indicare la posizione ricoperta e, pure, alcune preferenze?

Approfondisci l'argomento > Il principio di minimizzazione nel GDPR

Ricordiamolo a beneficio di tutti.
Il Regolamento Generale sulla Protezione dei Dati (GDPR), entrato in vigore il 25 maggio 2018 (sono già sei anni!) ha rivoluzionato il modo in cui le organizzazioni devono trattare i dati personali e, tra i vari principi introdotti, uno dei più cruciali e spesso trascurati è quello della minimizzazione dei dati. Questa basilare regola vorrebbe che vengano raccolti e trattati solo quei dati strettamente necessari per quella specifica finalità richiesta dall’utente e non altri utili all’impresa ma del tutto avulsi dal contesto. Oltretutto si legge, in non poche informative, che quei dati “saranno usati per migliorare la vostra esperienza di navigazione” o anche che “saranno utilizzati da noi e terze parti”. Non ci siamo.

Nonostante la sua importanza, molte aziende e operatori del settore non danno a questo principio l'attenzione che merita, esponendosi a rischi di non conformità e sanzioni.

Potrebbe interessarti > Chi tratta i dati nella tua azienda?

A scopo puramente didattico, ricordiamo che quello della minimizzazione dei dati, sancito dall'Articolo 5(1)(c) del GDPR, è il principio secondo il quale i dati personali raccolti devono essere "adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati". In altre parole, le organizzazioni devono assicurarsi di non raccogliere più dati di quelli realmente necessari per il raggiungimento delle finalità dichiarate.

Gestire i dati

Esistono diverse e valide ragioni per le quali la minimizzazione del dato è spesso trascurato ad iniziare dalla mancanza di consapevolezza oppure dall’utilizzo di processi obsoleti per la raccolta assolutamente non allineati ai canoni del GDPR; magari una schermata creata ben prima del 2016 e che si preferisce mantenere per evitare il costo di un adeguamento.

Tuttavia, e aggiungo purtroppo, uno dei motivi potrebbe essere una errata cultura aziendale caratterizzata dalla tendenza a raccogliere quanti più dati possibili nella convinzione che possano essere utili in futuro, senza avere una chiara finalità definita magari accompagnata da una supposta opinione che davvero servano a migliorare l’esperienza dell’utente.

Concetti erronei che non solo cozzano con la normativa europea ma anche con la possibilità di creare una robusta Digital Trust che faccia sentire l’utente realmente tutelato e che crei la sicurezza che non verranno chiesti dati inutili, ultronei agli scopi e che, infine, non vadano in mano di non ben identificate “terze parti”.
Ignorare, pertanto, il principio di minimizzazione dei dati potrebbe avere gravi conseguenze per le organizzazioni che potrebbero non limitarsi solo a sanzioni significative ma anche ad un danno di immagine e alla reputazione di un’azienda, portando a perdita di fiducia da parte dei clienti e del pubblico.

Approfondisci l'argomento > Digital Trust: i nuovi valori di un'azienda

Aggiungiamo e ricordiamo che, sulla base dei principi di gestione “della nonna” citati nella parte iniziale, trattare una quantità eccessiva di dati può complicare i processi aziendali, aumentando i costi di gestione e riducendo l'efficienza operativa oltre ad essere un segnale di richiamo per i pirati alla ricerca di importanti quantitativi di dati da sottrarre o rapire per chiedere pingui riscatti.

Ecco che ogni organizzazione dovrebbe rivedere e implementare le proprie policy ricorrendo a costanti audit per identificare quali dati vengono raccolti e trattati, e verificare se sono effettivamente necessari.

Potrebbe interessarti > Come si devono proteggere i dati?

Anche la formazione costante dei dipendenti e un regolare aggiornamento dei processi aziendali per garantire che solo i dati strettamente necessari vengano raccolti e trattati sarebbero misure minime non solo per adeguarsi, ma anche per migliorare la gestione dell’impresa.
Per fare ciò è opportuno ricordare che i canoni della privacy by design e by default imporrebbero che no chiaramente definite dall’origine le finalità del trattamento dei dati per raccogliere solo le informazioni necessarie a raggiungere tali scopi.

Il principio di minimizzazione dei dati è una componente fondamentale del GDPR, che richiede una costante attenzione e impegno, anche finanziario, ma che può diventare un importante canone di condotta e sana gestione aziendale anche nell’ottica della nuova formulazione dell’art. 2086 del Codice Civile che impone all’imprenditore l’obbligo di creare una struttura aziendale che eviti ogni possibile rischio.