Alla domanda del titolo molti imprenditori e professionisti rispondono, purtroppo spessissimo, con un “Non lo so; fanno tutto i ragazzi che curano il sito.” Niente di più sbagliato. Lo hanno scoperto a loro (salate) spese, due aziende svedesi che vendono farmaci online.

Il caso 

A partire dal 2017, le farmacie Apoteket e Apohem hanno utilizzato il Metapixel di Meta sui loro siti, uno strumento di tracciamento messo a disposizione dalla società di Zuckerberg.

In maniera imprudente e probabilmente in buona fede, tramite questo tool, hanno condiviso dati sensibili relativi a circa un milione di clienti, senza rendersi conto della portata di tale comportamento. Questo scambio di informazioni è proseguito per anni fino a quando le autorità non sono intervenute, sembra proprio su segnalazione delle due azienda, infliggendo una sanzione complessiva di quasi 4 milioni di euro.

Lo scopo del Metapixel è quello di migliorare le campagne di marketing di Apoteket e Apohem su Facebook e Instagram, ma i dati inviati a Meta sfuggivano al controllo delle aziende. Il flusso di informazioni personali verso l'esterno si è dimostrato molto più ampio del previsto, sollevando gravi preoccupazioni sulla gestione della privacy. Come ha dichiarato Anna Rogmark, direttrice generale di Apoteket AB, in un'intervista:

"Non abbiamo mai avuto intenzione di condividere informazioni in misura così ampia. Ora stiamo cercando di trarre insegnamento da quanto accaduto".

Le parole della dirigente riflettono il tentativo delle aziende di correggere il tiro, ma rimane il dubbio su come una tale situazione sia potuta sfuggire al loro controllo per così tanto tempo.

Approfondisci > Come si devono proteggere i dati?

L'analisi

Questa vicenda dimostra, ancora una volta, l'importanza per le aziende di esercitare un controllo rigoroso non solo sui propri fornitori, ma anche sui reparti interni dedicati al marketing e alla vendita. Adeguarsi tempestivamente ai cambiamenti normativi è solo una parte del problema; le aziende devono anche monitorare con attenzione le evoluzioni nei servizi e negli strumenti offerti dai fornitori esterni, come Meta in questo caso (che possiamo anche considerare in buona fede).

Ciò che viene utilizzato per fini commerciali o promozionali, come il Metapixel, può comportare conseguenze inaspettate se non gestito correttamente.
Quello che emerge da situazioni come questa è la necessità di un dialogo costante tra i vari attori coinvolti, dalle imprese ai fornitori di servizi tecnologici, affinché le regole del gioco siano sempre chiare e trasparenti. Investire in una supervisione accurata, anche a costo di aumentare le risorse dedicate, è essenziale per evitare che si verifichino simili falle nella gestione dei dati personali.

Un piccolo risparmio oggi potrebbe trasformarsi in una sanzione milionaria domani.

Per saperne di più > Minimizzazione del dato: un aspetto spesso trascurato nell’applicazione del GDPR

Dobbiamo richiamare quindi con forza l’attenzione su un altro aspetto fondamentale: il controllo della privacy e l’applicazione del GDPR non può limitarsi esclusivamente a una verifica delle componenti IT. La protezione dei dati richiede un approccio globale che coinvolga anche il settore legale, oltre che una supervisione estesa a tutta la filiera, dai fornitori fino agli incaricati interni. Ogni anello della catena deve essere costantemente monitorato e aggiornato, perché un errore o, peggio, una negligenza in uno solo di questi ambiti può avere conseguenze devastanti per l’azienda e per la fiducia dei clienti.

Non basta implementare le tecnologie più avanzate: è altrettanto cruciale assicurarsi che chi gestisce tali strumenti, sia esso un fornitore esterno o un dipendente interno, sia adeguatamente formato e consapevole delle implicazioni legali e operative delle proprie azioni. La privacy è una responsabilità collettiva, che deve essere affrontata con continuità, aggiornando non solo i sistemi informatici, ma anche le competenze legali e la preparazione del personale.

L’intero ecosistema aziendale, dalla gestione IT fino ai reparti commerciali, deve lavorare in sinergia per garantire che la conformità non sia solo un obiettivo teorico, ma una pratica costante e rigorosa. Solo così si possono prevenire episodi come questo, che avrebbero potuto essere evitati con una supervisione più attenta e una cultura aziendale che metta la protezione dei dati al centro delle proprie operazioni.