Benché l’attenzione della maggioranza dei commentatori del GDPR si soffermi, per lo più, sul rischio sanzionatorio connesso ad un accertamento dell’Autorità di controllo, come ho già sottolineato in precedenti post (“il danno reputazionale nell’era del GDPR“), l’inadeguatezza delle misure tecniche ed organizzative di un’azienda a presidio dei dati personali può avere rilevanti conseguenze anche sotto il profilo del danno reputazionale.
Applicata al profilo della data protection, la “brand reputation” è, quindi, strettamente connessa alla capacità di un’azienda di garantire un’adeguata protezione dei dati personali che le sono affidati.
Ma come si può dimostrare e calcolare il danno reputazionale a carico di un’azienda operante nel mercato digitale che ha subìto, ad esempio, un data breach per colpa di un fornitore/responsabile del trattamento ex art. 28 non adeguatamente verificato e controllato o che ha mentito in ordine alle misure di protezione che avrebbe dovuto adottare e che non ha, nella realtà, messo in atto?
Come per molte altre tipologie di danno, anche il danno reputazionale di natura patrimoniale può distinguersi in:
- danno emergente, sotto forma delle spese necessarie per ripristinare lo stato reputazionale originario, attraverso un’apposita “campagna reputazionale” on-line studiata ad hoc;
- lucro cessante, consistente nel mancato guadagno conseguente alla perdita dei clienti già acquisiti che decidono, a causa della notizia di data breach, di recedere e/o risolvere i contratti;
- perdita di chances, in relazione ai clienti potenziali che non si avvicineranno all’azienda perché hanno scoperto, magari attraverso una banale ricerca su internet, della vulnerabilità dell’impresa e, pertanto, si sono orientati verso un competitor o un altro prodotto/servizio.
La valutazione economica di questo danno avverrà inevitabilmente su base probabilistica, ma si dovranno utilizzare quanto più possibile dati certi ed oggettivi, quali quelli statistici – per esempio, le attese di vendite di un certo periodo secondo il loro andamento storico – confrontati con il fatturato (minore) realizzato effettivamente dopo l’evento lesivo.
Occorre anche sapere che il danno reputazionale, nella sua “componente on-line”, può essere verificato tramite un’indagine, affidata a società specializzate nella valutazione della web reputation, utilizzando una molteplicità di fonti combinate tra loro: tale attività è prevalentemente fondata sull’analisi dell’identità digitale dell’azienda così come emerge dall’esame dei social media, delle più autorevoli fonti del web e dalla collocazione dell’azienda nei motori di ricerca.
La sfida è quella di quantificare il valore della web reputation trasformando il sentiment del popolo di internet, che è un dato astratto, in un dato oggettivo di natura patrimoniale.
Questo risultato si può ottenere, ad esempio, analizzando la web reputation di un’azienda nel tempo tramite appositi algoritmi in grado di comparare cronologicamente l’apprezzamento degli utenti del web sulla base di un paniere di elementi significativi in relazione ad una determinata azienda, creando un grafico che possa evidenziare in modo oggettivo l’andamento del valore reputazionale prima e dopo l’evento dannoso.
Sarà, inoltre, importante riuscire a valorizzare aspetti quali:
- il numero di siti web in cui il contenuto lesivo è stato riprodotto;
- il grado di difficoltà nell’eliminare il contenuto lesivo e la durata di permanenza del medesimo on-line;
- la somma ragionevolmente stimabile per approntare un’adeguata compagna di riabilitazione della reputazione aziendale sul web.
Quest’ultimo costo – che, come detto, si aggiunge alle più consuete voci di danno quali la riduzione di fatturato e la perdita di clienti attuali e potenziali – può calcolarsi utilizzando, per esempio, come parametro di riferimento i criteri delineati nell’ambito della CTU svolta nella controversia FIAT / AnnoZero decisa dal Tribunale di Torino nel 2012 (il cui testo integrale potete leggere cliccando qui).
In quella situazione, infatti, il Tribunale ha dato spazio ai “rigorosi criteri scientifico-economici illustrati nell’elaborato peritale (…) in riferimento al costo di una campagna pubblicitaria idonea a contrastare i pregiudizievoli effetti” identificandoli, nel dettaglio, in una somma idonea a “finanziare una efficace contro-comunicazione, in grado, a parità di media utilizzati, di: 1. coprire un target di circa 5.100.000 spettatori, pari al 20% di share; 2. essere ricordata da circa l’11% di spettatori (pari a circa 563.750 su 5.109.000 spettatori-target) a distanza nel tempo (almeno 5 mesi); 3. modificare le percezioni (da negative a positive) in misura pari all’l,2% (pari a circa 60.300 su 5.109.000 spettatori-target)”.
Naturalmente, ogni situazione avrà caratteristiche ed elementi di valutazione differenti ma deve, comunque, essere tenuta in debita considerazione la peculiarità del danno connesso (soprattutto ma non solo) alla web reputation, consistente nella sua maggiore diffusività rispetto alle fattispecie del passato, che comporta, a carico di chi ne è responsabile, un onere risarcitorio molto più elevato per la necessità di porre in essere misure compensative adeguate a contrastare l’effetto negativo determinato dalla notizia propagatasi nel web.