QUANDO Da quando le imprese, incluse le Pmi, iniziano a raccogliere e comunicare dati Esg che riguardano persone fisiche identificabili, soprattutto nell’ambito Social e Governance
COSA SCADE Obblighi di rendicontazione, aggiornamento dei dati e conservazione delle evidenze a supporto del reporting, secondo i cicli di bilancio, audit e verifica previsti dalla Csrd/Esrs e dal Gdpr
PER CHI Grandi imprese e Pmi
COME ADEMPIERE Attraverso una progettazione del reporting Esg che integri privacy by design, minimizzazione dei dati, uso di indicatori aggregati e anonimizzati, governance chiara dei flussi informativi e documentazione della conformità ai sensi del Gdpr

1. In sintesi

La rendicontazione di sostenibilità non è più una scelta opzionale riservata solo alle grandi imprese; anche le Pmi sono oggi coinvolte, spesso indirettamente, nel fornire dati a banche, committenti, clienti strutturati e investitori.

Questionari Esg, richieste di Kpi e format standardizzati stanno diventando parte integrante del dialogo economico.

L’adempimento, tuttavia, non si esaurisce nella pubblicazione di indicatori: esso presuppone la costruzione di sistemi di raccolta, elaborazione e controllo di dati che, specie nelle dimensioni “S” e “G”, possono includere informazioni personali e, talvolta, appartenenti alle categorie particolari ai sensi del regolamento (Ue) 2016/679 (Gdpr).

La sfida, dunque, è conciliare trasparenza informativa e tutela dei diritti degli interessati, evitando che il reporting Esg possa diventare un canale di esposizione indebita di dati sensibili.

Approfondisci l’argomento con la guida “Sostenibilità aziendale” a cura di Alessandra Ponzio e Gianluca Zaniboni, Partner Kpmg in Italia

2. Quando nasce il tema Esg–privacy

Il tema privacy emerge ogni volta che la rendicontazione Esg intercetta informazioni riferibili a persone fisiche. Ciò avviene soprattutto con riferimento ai profili Social e Governance, che coinvolgono lavoratori, amministratori e altri soggetti interni all’organizzazione.

Le richieste, del resto, arrivano spesso attraverso questionari standardizzati, che non tengono conto delle dimensioni dell’impresa e della struttura organizzativa, inducendo a fornire informazioni di dettaglio non sempre necessarie per le realtà aziendali di piccole dimensioni.

Esempio

Richieste ricorrenti sono:

- tassi di assenteismo e infortuni;

- composizione della forza lavoro per genere ed età;

- indicatori di diversity e inclusione (es. pay gap, retention, promozioni);

- formazione e sviluppo professionale;

- whistleblowing, procedimenti disciplinari e presidi di compliance;

- informazioni su governance e compensi.

3. Quali dati entrano nel perimetro privacy

Oltre alle metriche ambientali (emissioni, consumi energetici, uso delle risorse, rifiuti), i report includono dimensioni sociali e di governance:

  • composizione della forza lavoro;
  • indicatori di diversity e inclusione;
  • formazione e sviluppo;
  • salute e sicurezza;
  • relazioni industriali;
  • whistleblowing e procedimenti disciplinari;
  • presidi di compliance.

In tutti questi ambiti, la possibilità di ricondurre l’informazione a una persona fisica identificata o identificabile obbliga all’applicazione delle regole privacy.

Quando il dato, inoltre, rivela aspetti relativi alla salute, all’origine razziale o etnica, alle convinzioni religiose, all’orientamento sessuale o all’appartenenza sindacale, si entra nel regime delle “categorie particolari” (articolo 9 Gdpr), con conseguente innalzamento delle garanzie richieste.

4. Mappatura rapida (30 minuti)

  • raccogliere le richieste Esg ricevute (banca/filiera/clienti) e gli indicatori richiesti;
  • per ciascun indicatore, indicare la fonte dati (Human Resources, Health Safety Environment, Governance, ecc.) e il responsabile interno;
  • segnare quali indicatori siano “potenzialmente identificativi” (anche per piccoli numeri);
  • segnare quali dati possano rientrare in categorie particolari (salute, sindacato, ecc.);
  • definire già il formato di risposta esterna (aggregato/anonimo) e cosa debba restare interno.

5. Necessità e minimizzazione: la regola pratica

La Csrd e gli Esrs perseguono l’obiettivo di rendere comparabili le informazioni di sostenibilità, ma non impongono la pubblicazione di dati personali puntuali.

Il Gdpr chiede di limitare la raccolta ai soli dati necessari per la finalità perseguita (articolo 5, paragrafo 1, lettera c).

Ne deriva una regola pratica: privilegiare indicatori aggregati e anonimi, ricorrendo alla pseudonimizzazione nelle fasi di trattamento interne quando l’anonimizzazione non è praticabile per motivi di controllo o audit.

Quando si trattano categorie particolari di dati, occorre una base giuridica adeguata (ad esempio, obblighi in materia di diritto del lavoro e sicurezza sociale, ecc.) e misure tecniche e organizzative rafforzate (segregazione, cifratura, logging, policy, ecc.).

Esempio operativo: assenteismo (banca)

- Richiesta: dettaglio su assenze/assenteismo

- Risposta corretta: tasso complessivo di assenza e andamento nel tempo (eventuali fasce ampie)

- Da evitare: export nominativi o segmentazioni per micro-unità che rendono identificabili persone

6. Accountability e governance dei dati Esg

Il principio di responsabilizzazione (articolo 5, par. 2, Gdpr) impone di dimostrare, e non solo dichiarare, la conformità.

Ciò si traduce in misure a tutela:

  • mappatura dei flussi informativi del reporting Esg (distinguendo i dati da rendere pubblici da quelli da mantenere all’interno dell’azienda);
  • definizione di ruoli e responsabilità (anche con il coinvolgimento del Dpo ove presente);
  • politiche di conservazione coerenti con i cicli di rendicontazione e con gli obblighi di verifica;
  • registri dei trattamenti che includano le attività connesse al bilancio di sostenibilità (articolo 30 Gdpr);
  • formazione mirata per funzioni Esg, Hr, Hse e Internal audit.

7. Misure a tutela minime nelle Pmi

  • definire un responsabile del dato Esg e un soggetto incaricato della validazione (anche se coincidenti);
  • stabilire un flusso di validazione prima dell’invio a terzi (controllo qualità + privacy);
  • prevedere retention dei dataset di supporto e delle evidenze di calcolo (audit trail);
  • aggiornare il registro trattamenti includendo il reporting Esg;
  • documentare i criteri di aggregazione adottati e le soglie utilizzate per prevenire il rischio di re-identificazione.

8. Doppia materialità e rischio di re-identificazione

L’analisi di doppia materialità richiesta dagli Esrs può essere integrata con una lettura “human-centric”: oltre a valutare la rilevanza finanziaria e di impatto sui fattori ambientali e sociali, è opportuno stimare l’impatto potenziale sulle libertà e sui diritti degli interessati. Inserire la dimensione privacy nella matrice di materialità aiuta a identificare indicatori che, per granularità o piccoli numeri, possono comportare rischi di re-identificazione e a decidere tecniche di aggregazione (soglie minime, classi di grandezza, generalizzazione).

Esempio: piccoli numeri

- Problema: un solo “caso” in una sede piccola > anche senza nomi è riconoscibile

- Soluzione: aggregare su macro-aree, usare fasce ampie e soglie minime di pubblicazione

9. Esempi operativi: risposte pronte per banche, filiera e stakeholder

Caso 1 – Diversity e pay gap

  • Risposta corretta: indicatori aggregati per fasce e quartili; attenzione agli incroci (sede/qualifica/età);
  • Da evitare: segmentazioni troppo granulari che rendono individuabili singoli dipendenti.

Caso 2 – Salute e sicurezza

  • Risposta corretta: Kpi (es. Ltifr e Severity Rate) su popolazioni adeguate; narrazioni qualitative senza riferimenti a casi concreti;
  • Da evitare: dettagli su singoli eventi o contesti circoscritti che “identificano” persone.

Caso 3 – Whistleblowing

  • Risposta corretta: numero segnalazioni, tipologie e tempi medi; protezione identità con segregazione e crittografia;
  • Da evitare: descrizioni di casi specifici o elementi che rendano riconoscibili segnalanti/segnalati.

10. Privacy by design e Dpia nel ciclo di reporting

Fin dalla progettazione del processo Esg è opportuno applicare i principi di privacy by design e by default: minimizzare i dataset, separare domini (operativo, controllo, pubblicazione), implementare accessi per ruoli, tracciare gli accessi, testare tecniche di anonimizzazione e documentare le scelte.

La valutazione d’impatto (Dpia) diventa necessaria quando il reporting implica trattamenti sistematici su larga scala di categorie particolari di dati o combina fonti differenti elevando il rischio per gli interessati.

11. Trigger Dpia (semplificato)

  • dati di salute/sicurezza trattati su larga scala e in modo sistematico;
  • incrocio Hr + performance + salute o altre fonti che aumenta il rischio;
  • piattaforme Esg con profilazioni o scoring su persone/gruppi ristretti.

12. Supply chain e terze parti

La Csrd estende l’orizzonte informativo alla catena del valore: ciò comporta scambi di dati con fornitori, appaltatori e partner.

I contratti dovrebbero prevedere clausole su finalità, basi giuridiche, sicurezza, localizzazione dei dati, subfornitura e audit. È utile definire standard di reporting che privilegino indicatori anonimizzati, evitando di far ricadere sui fornitori l’onere di trattamenti superflui o non proporzionati.

Clausole minime (checklist)

- finalità e perimetro dei dati;

- misure di sicurezza e gestione accessi;

- subfornitori e localizzazione;

- audit e logging;

- standard di aggregazione/anonimizzazione.

13. Verifica esterna (assurance) e data room

La limited assurance sui report di sostenibilità introduce attori ulteriori (revisori e assurance provider) che accedono ai sistemi informativi.

Occorre regolare, magari contrattualmente, riservatezza, protocolli di accesso, ambienti di “data room” con mascheramento dei dati ove possibile e log delle ispezioni, massimizzando l’equilibrio tra verificabilità e tutela dell’individuo.

14. Tecnologia, strumenti e cautele

Dashboard e piattaforme Esg semplificano la raccolta, ma non sostituiscono la responsabilità del titolare del trattamento.

È opportuno svolgere due diligence privacy sui fornitori, verificare certificazioni di sicurezza, valutare la portabilità dei dati e la possibilità di anonimizzazione nativa, prevenendo lock-in tecnologici che ostacolino i diritti degli interessati.

15. Comunicazione e trasparenza verso gli stakeholder

La credibilità del reporting passa da una comunicazione chiara sulle scelte di protezione dei dati.

Il bilancio di sostenibilità può includere una sezione dedicata a politiche, basi giuridiche, tempi di conservazione, misure di sicurezza e criteri di anonimizzazione; le informative privacy devono coprire anche i trattamenti connessi al monitoraggio degli obiettivi Esg, rendendo intelligibile agli interessati come e perché i loro dati contribuiscano agli indicatori pubblicati.

16. Checklist operativa per i Cfo, i Sustainability Officer e i Dpo

  • Mappare i trattamenti legati al reporting Esg e inserirli nel registro (articolo 30 Gdpr);
  • Definire basi giuridiche per ciascun set di dati, specie se di categoria particolare;
  • Stabilire metriche e granularità che impediscano la re-identificazione (soglie/fasce);
  • Implementare anonimizzazione/pseudonimizzazione e controlli di accesso (ruoli, logging);
  • Prevedere retention coerente con audit e accountability;
  • Coinvolgere il Dpo (se presente) e formalizzare policy e procedure;
  • Valutare la necessità di Dpia per trattamenti su larga scala o incrocio fonti;
  • Regolare i rapporti con fornitori e assurance provider con clausole privacy e protocolli di accesso;
  • Documentare le scelte e comunicarle in modo trasparente.

17. Esempi di Pmi virtuose

Non solo grandi gruppi, ma anche le Pmi italiane stanno dimostrando che è possibile integrare Esg e privacy in modo efficace.

Alcuni casi emblematici, utili come modelli replicabili, sono:

Pmi moda (Veneto)

  • indicatori aggregati su diversità e formazione, nessun dato nominativo in disclosure;
  • coinvolgimento del Dpo nelle policy;
  • pseudonimizzazione dei dati Hr nelle fasi interne.

Pmi agroalimentare (Emilia-Romagna)

  • dashboard con Kpi anonimi su sicurezza sul lavoro;
  • separazione dei database clinici e accessi limitati;
  • clausole privacy nei contratti con fornitori.

Pmi tecnologica (Lombardia)

  • piattaforma Esg con anonimizzazione nativa e accessi per ruoli;
  • Dpia preventiva;
  • comunicazione trasparente delle misure nel bilancio di sostenibilità.

18. Conclusioni

La sostenibilità, per essere autentica, deve rispettare i diritti delle persone.

Un reporting Esg robusto e coerente con il Gdpr non riduce la trasparenza: la qualifica.

Attraverso una progettazione attenta, tecniche di anonimizzazione e governance dei dati, le imprese possono soddisfare gli standard Csrd/Esrs e, al tempo stesso, tutelare i diritti degli interessati.

È un investimento di compliance che diventa valore reputazionale e competitività, soprattutto in un contesto in cui la fiducia degli stakeholder è il vero capitale dell’azienda.

PER SAPERNE DI PIÙ
Riproduzione riservata Ⓒ

Argomenti

Esg e informativa non finanziaria