Il crescente rilievo della rendicontazione ESG, imposta dagli standard europei e richiesta in modo crescente anche dalla filiera, espone imprese grandi e piccole alla necessità di raccogliere, elaborare e comunicare dati che riguardano persone fisiche. Mentre i fattori ambientali non pongono particolari problemi di privacy, le dimensioni Social e Governance possono facilmente includere informazioni personali, e talvolta persino categorie particolari ai sensi dell’articolo 9 del Regolamento (UE) 2016/679. Il punto critico consiste nel conciliare l’obbligo di trasparenza imposto dalla CSRD e dagli ESRS con la tutela dei diritti e delle libertà degli individui coinvolti. In questo contesto, sostenibilità e privacy diventano due aree interdipendenti, e la rendicontazione non può essere affrontata senza una progettazione coerente con il Gdpr.

La necessità di integrare sostenibilità e privacy emerge quando gli indicatori ESG coinvolgono persone fisiche. Questo accade principalmente nell’area Social, per via di indicatori che riguardano assenteismo, infortuni, composizione della forza lavoro, diversity e inclusione, formazione e persino dati connessi a procedimenti disciplinari o sistemi di whistleblowing. La dimensione Governance include spesso dati relativi a organi societari, regole di remunerazione e misure di compliance. La crescente diffusione di questionari ESG standardizzati, utilizzati da banche, investitori e clienti strutturati, amplifica il rischio che l’impresa fornisca informazioni troppo granulari, potenzialmente riconducibili a singoli dipendenti. Questo fenomeno riguarda anche le Pmi, coinvolte indirettamente nella supply chain.

Per comprendere come gestire sostenibilità e privacy, occorre individuare quali dati ESG rientrano nel perimetro del Gdpr. Quando un indicatore consente l’identificazione diretta o indiretta di una persona, si tratta di un trattamento di dati personali. Se l’informazione riguarda salute, origine etnica, orientamento sessuale o appartenenza sindacale, ci si trova invece di fronte a categorie particolari, soggette a garanzie elevate. Esempi frequenti includono indicatori su infortuni e malattie professionali, dati su maternità, rapporti sindacali o contenziosi disciplinari. Nelle aziende di piccole dimensioni, persino indicatori aggregati possono diventare identificabili, soprattutto quando si riferiscono a sedi con pochi dipendenti.

Un reporting ESG conforme parte da una mappatura sistematica dei flussi dei dati, distinguendo tra informazioni ambientali, informazioni relative al personale e informazioni connesse alla governance. Ogni indicatore deve essere collegato a una fonte interna specifica, come HR, Health and Safety, Compliance o Internal Audit. È necessario valutare il grado di identificabilità dei dati e stabilire quali possano essere aggregati, anonimizzati o pseudonimizzati. La mappatura consente anche di definire il formato di risposta verso l’esterno, decidendo quali informazioni sono pubblicabili e quali devono essere mantenute interne alla documentazione di supporto prevista dagli ESRS.

Il Gdpr impone di raccogliere solo i dati indispensabili per la finalità perseguita. La CSRD e gli ESRS richiedono la pubblicazione di indicatori aggregati e comparabili, ma non impongono la comunicazione di dati personali puntuali. Ne deriva un principio applicativo essenziale: i dati ESG devono essere trattati nella forma meno identificabile possibile. Se un indicatore può essere riportato come percentuale o fascia, questa modalità è preferibile rispetto a informazioni più dettagliate. Quando la granularità è necessaria per audit interni, si può ricorrere alla pseudonimizzazione. Nei casi che coinvolgono categorie particolari occorre individuare una base giuridica adeguata, come gli obblighi di diritto del lavoro e sicurezza sociale, e implementare misure tecniche specifiche quali accessi controllati, cifratura e segregazione dei dataset.

Il principio di accountability richiede che l’impresa sia in grado di dimostrare la conformità del proprio reporting ESG. È necessario documentare le decisioni, registrare le attività di trattamento e aggiornare il registro ai sensi dell’articolo 30 del Gdpr includendo i trattamenti connessi alla rendicontazione. La governance deve chiarire ruoli e responsabilità: le funzioni ESG devono collaborare con HR, HSE e DPO, ove presente. La conservazione dei dati deve essere coerente con il ciclo di bilancio e con le verifiche richieste dall’audit e dall’assurance esterna. Questa struttura favorisce un equilibrio tra trasparenza informativa e tutela dei diritti degli individui.

Anche le Pmi prive di una struttura organizzativa complessa possono garantire un reporting conforme mediante misure essenziali. È utile definire un responsabile del dato ESG incaricato di coordinare raccolta e validazione. Ogni dataset deve essere verificato prima di essere comunicato a soggetti esterni, in modo da evitare pubblicazione accidentale di dati identificativi. Devono essere mantenute evidenze di calcolo e dataset di supporto per eventuali controlli successivi. Documentare le tecniche di anonimizzazione e le soglie utilizzate per prevenire la re-identificazione è un accorgimento fondamentale.

La doppia materialità prevista dagli ESRS richiede di valutare non solo l’impatto dell’impresa sui fattori ambientali e sociali, ma anche il rischio che l’informazione ESG possa incidere sui diritti degli interessati. Nelle realtà più piccole, un singolo caso può rendere identificabile un individuo pur in assenza del nome. Indicatori granulari suddivisi per sede, qualifica o età devono essere aggregati su macro-aree per evitare rischi. L’integrazione di un’analisi human‑centric nella matrice di materialità consente di selezionare indicatori adeguatamente anonimi.

Le imprese possono standardizzare le risposte ai soggetti della filiera per garantire sostenibilità e privacy. Nel caso degli indicatori di diversity e pay gap, è consigliabile utilizzare fasce retributive e quartili. Per la sicurezza sul lavoro si possono adottare indicatori ampi come Lost Time Injury Frequency Rate e Severity Rate. Nei sistemi di whistleblowing è cruciale evitare descrizioni di casi specifici, limitandosi a numeri complessivi e tipologie di segnalazioni, con protocolli di riservatezza e segregazione dei dati.

La progettazione del reporting ESG deve integrare privacy by design e privacy by default, riducendo i dataset, separando i flussi operativi da quelli destinati alla pubblicazione e controllando rigorosamente gli accessi. Una valutazione d’impatto diventa necessaria quando l’impresa tratta categorie particolari di dati su larga scala o combina fonti eterogenee che aumentano il rischio per gli interessati. Le linee guida europee fino al 2024 confermano che l’incrocio tra dati HR, performance e salute rappresenta uno dei trattamenti più critici.

La CSRD estende la rendicontazione lungo tutta la supply chain, richiedendo scambi di dati con fornitori e partner commerciali. I contratti devono prevedere finalità, basi giuridiche, misure di sicurezza, localizzazione dei dati e criteri di anonimizzazione. Il titolare deve evitare di imporre ai fornitori trattamenti non proporzionati o privi di base giuridica. L’adozione di standard condivisi consente di ridurre il rischio e garantire uniformità lungo la filiera.

La limited assurance prevista dagli ESRS introduce revisori e assurance provider che accedono ai sistemi informativi aziendali. La gestione degli accessi deve essere regolata con protocolli che prevedano ambienti protetti, mascheramento dei dati quando possibile e tracciamento delle attività. Questa impostazione consente di conciliare l’esigenza di verifica con la tutela della privacy.

L’integrazione tra sostenibilità e privacy rappresenta una sfida ma anche un’opportunità per costruire un reporting trasparente e responsabile. Il rispetto del Gdpr non limita la capacità dell’impresa di comunicare gli impatti ESG, ma permette di farlo in modo strutturato, credibile e conforme agli standard europei. Un approccio basato su anonimizzazione, governance chiara dei dati e documentazione verificabile consente alle imprese di rafforzare la fiducia degli stakeholder e di trasformare la compliance in vantaggio competitivo.