«La protezione dei dati deve essere sostenuta da tutt*»

La società madre di Facebook Meta pagherà 390 milioni di euro di sanzione per violazione della privacy. Nessuna azienda vuole leggere qualcosa di simile su di sé. E la nostra protezione dei dati? I dati dei nostri clienti sono sicuri? Hai paura delle sanzioni?
Fortunatamente, il nostro modello di business è molto diverso. Vendiamo prodotti, non dati. Da questo punto di vista, non temo elevate sanzioni. Inoltre, la fiducia in Galaxus e Digitec è un bene prezioso. Una perdita di dati sarebbe un disastro, soprattutto perché abbiamo appena iniziato a operare in paesi come l'Austria, la Francia o l'Italia. Facciamo tutto ciò che è tecnicamente possibile per garantire la sicurezza dei dati. Ma parlare di sicurezza al 100% sarebbe una bugia ecco perché bisogna sempre ottimizzare le possibili soluzioni.

Cosa possono fare i clienti per garantire la sicurezza dei loro dati?
L'esperienza dimostra che un numero sorprendente di persone utilizza una sola password per diverse piattaforme. Ci si dovrebbe impegnare un po' di più e utilizzare password diverse per le varie piattaforme. Le password devono essere complicate, con diverse grafie, numeri e caratteri speciali. Per coloro che ritengono che questo richieda troppo tempo, esistono strumenti di gestione delle password che ne semplificano l'uso. Naturalmente, anche questi strumenti potrebbero essere teoricamente violati. Ma il rischio è molto maggiore se si usa sempre la stessa password ovunque. È inoltre opportuno utilizzare l'autenticazione a due fattori, ossia effettuare il login con un ulteriore elemento di sicurezza. Questo rende i conti molto più sicuri. Galaxus offre questa possibilità e spiega qui come.

Come si diventa responsabili della protezione dei dati presso Galaxus?
Forse è più facile dire come non ci sono diventato: non sono un avvocato, non sono un legale. Ho lavorato per le Ferrovie Federali Svizzere (FFS) nel marketing e successivamente nella gestione di progetti informatici. La protezione dei dati svolge da tempo un ruolo importante nel marketing e nell'IT. Quando il Regolamento generale sulla protezione dei dati (RGPD) è entrato in vigore nell'UE nel 2018, molte aziende svizzere non erano preparate. Il problema era noto, ma a nessuno importava. È così che mi sono appassionato e ho deciso di rimanere in tema. Forse ho inavvertitamente trovato una nicchia di mercato. Persone che conoscono l'aspetto legale della protezione dei dati, ma che capiscono anche il «business». Tra l'altro, anche in Svizzera è in arrivo una nuova legge sulla protezione dei dati quest'anno.

Quindi un background di marketing o IT è un requisito obbligatorio per diventare responsabile della protezione dei dati?
No, affatto. Tuttavia, credo che l'argomento sia più facile da padroneggiare se si ha un'esperienza pratica nel mondo degli affari. Inoltre, la protezione dei dati può diventare rapidamente molto tecnica. Gli aspetti legali possono essere complessi, ma spesso possono essere compresi anche da chi non è un avvocato. La protezione dei dati riguarda tutti e tutte noi nella vita quotidiana, quindi ci sono anche frequenti occasioni per occuparsene.

Hai iniziato a lavorare con noi circa un anno fa. Come hai vissuto la consapevolezza interna sulla protezione dei dati? Sono contenti quando arrivi, o alzano gli occhi al cielo dicendo «Oh no, di nuovo il responsabile della protezione dei dati...»?
Qui ho riscontrato una cultura molto aperta, c'è molto interesse per l'argomento, che non è scontato. Alcuni sono stati sicuramente contenti del fatto che stiamo investendo più risorse nel problema.

Come hanno reagito i dipartimenti?
Alcune aree sono più colpite di altre, ad esempio il marketing, il servizio clienti e le risorse umane. Ma anche il nostro Product Development deve pensare alla protezione dei dati quando crea nuove funzioni nel negozio. In realtà, ci sono poche differenze nelle reazioni dei dipartimenti. Ma sono proprio le aree più colpite ad essere particolarmente disposte a fare qualcosa. Naturalmente, di tanto in tanto ci sono discussioni. Il rispetto della legge può comportare un lavoro aggiuntivo. Soprattutto per quanto riguarda la velocità, questo può essere un problema.

Come hai vissuto la cultura del lavoro in Digitec Galaxus?
I valori dell'azienda sono descritti online e di fatto sono anche vissuti internamente. Tutte le aziende si impegnano a rispettare i valori, ma in questo caso cercano di farlo davvero. È affascinante che si riesca a mantenere il ritmo della start-up in questo modo, anche se il personale conta più di 2 500 persone.

Attualmente sei un combattente solitario nella protezione dei dati. Rimarrà così?
È vero: solo io ho questa designazione. Ma ho i miei referenti per la protezione dei dati in tutti i dipartimenti e lavoro a stretto contatto con la nostra sicurezza informatica. La protezione dei dati funziona solo se tutti e tutte la sostengono. Ad esempio, ogni agente del servizio clienti deve conoscere le nozioni di base del proprio settore, quindi ci affidiamo a una formazione personalizzata per i diversi reparti.

Non è forse vero che i dipendenti stessi devono pagare le sanzioni se commettono un reato in materia di protezione dei dati?
Nell'UE questo non è il caso; qui sono generalmente le aziende a essere responsabili, che possono anche ricevere pesanti multe. Tuttavia, secondo la nuova legge sulla protezione dei dati in Svizzera, la multa va effettivamente al privato e può arrivare fino a 250 000 franchi. Ma deve accadere qualcosa di serio perché ciò accada. Il personale che conosce e rispetta le regole di base non ha nulla da temere.

Grazie mille per l'intervista!