Un Nuovo Catalogo Normativo

Le imprese sono state travolte, negli ultimi anni, da un catalogo normativo che non ha precedenti nella storia del diritto europeo.

GDPR. Whistleblowing. NIS2. DORA. AI Act. Direttiva sulla trasparenza retributiva. Adeguati assetti organizzativi ex art. 2086 c.c. A questi si aggiungono la Convenzione ONU contro il cybercrime, adottata dall'Assemblea Generale nel dicembre 2024, nuove regole sulla resilienza digitale e una sorveglianza crescente sull'uso delle piattaforme digitali e delle applicazioni di messaggistica.

Gli imprenditori si sentono disorientati. È comprensibile. Molti consulenti rispondono con una soluzione apparentemente rassicurante: "Facciamo la compliance." È una risposta che suona bene. Costa meno di un sistema di governance. Si consegna in una cartellina. Si archivia.

E non serve a nulla.

L’esempio classico? Chi ritiene di essere compliant con il GDPR perché ha una privacy policy sul sito.

Sia chiaro: la compliance è necessaria. Nessuno qui sostiene il contrario. Ma è una checklist. Nulla di più. La checklist può essere perfetta, i documenti impeccabili, le procedure approvate, le policy firmate da tutti i soggetti che il GDPR, la NIS2 o il vostro avvocato vi hanno indicato.

Eppure, l'azienda può trovarsi ugualmente esposta. Esposta a una violazione che nessuno ha saputo prevenire perché nessuno aveva mai letto davvero quella procedura. Esposta a una sanzione che nessuno si aspettava perché il registro dei trattamenti era aggiornato ma il trattamento era cambiato. Esposta a una crisi che nessuno ha gestito perché il piano di risposta agli incidenti esisteva solo su carta.

Il Ruolo della Governance

L'errore più grave che le organizzazioni commettono non è l'assenza di documenti. È la confusione tra il possesso di un documento e l'esistenza di un processo. Tra la firma di una procedura e la sua applicazione. Tra la conformità e la governance.

Il legislatore europeo ha capito questa differenza prima di molti professionisti.

La NIS2 non si limita a chiedere misure tecniche di cybersecurity. Attribuisce responsabilità dirette agli organi di gestione, imponendo che il rischio cyber diventi una questione di governo dell'impresa, non un problema delegato ai tecnici e dimenticato nella riunione successiva.

Il DORA, applicabile dal 17 gennaio 2025 al settore finanziario, non chiede di installare sistemi di sicurezza. Pretende che la resilienza operativa digitale diventi parte integrante della governance aziendale, dei processi decisionali e della gestione dei fornitori critici.

L'AI Act segue la stessa logica: non basta dichiarare che un sistema di intelligenza artificiale è conforme. Occorre comprenderne rischi, impatti, responsabilità e conseguenze. Documentare non è sufficiente. Governare è obbligatorio.

Lo stesso principio si ritrova nell'articolo 2086 del Codice civile, che molti ancora trattano come una norma di diritto societario lontana dalla quotidianità operativa. L'imprenditore ha il dovere di adottare assetti organizzativi, amministrativi e contabili adeguati alla natura e alle dimensioni dell'impresa. Non viene richiesto di possedere un fascicolo. Viene richiesto di governare l'impresa. La differenza è enorme, e i tribunali fallimentari negli ultimi anni l'hanno resa molto concreta.

Un documento può essere acquistato. Un sistema di governance deve essere costruito. E questa distinzione riguarda direttamente i DPO, che spesso si trovano a presidiare la conformità formale di organizzazioni che non hanno mai realmente interiorizzato i processi che quella conformità dovrebbe descrivere.

Una policy sulla protezione dei dati che nessuno conosce non protegge nessuno. Un registro dei trattamenti aggiornato su un server che nessuno consulta non riduce il rischio di un grammo. Una procedura di data breach scritta per soddisfare il Garante e mai testata nella realtà operativa dell'azienda è un documento. Non è una difesa.

Nel frattempo, il mondo criminale continua a evolversi con una velocità che il mondo normativo fatica a inseguire. Gli attaccanti non leggono le vostre policy. Non si fermano davanti al vostro registro dei trattamenti. Cercano il punto in cui il processo reale diverge dal processo scritto. E lo trovano quasi sempre.

La vera domanda che ogni DPO dovrebbe porre alla propria organizzazione non è: "Siamo conformi?" Ma: "Le procedure che abbiamo scritto vengono realmente applicate? Da chi? Con quale frequenza? Con quale risultato verificabile?"

Perché una policy ignorata vale quanto una policy inesistente. Una checklist non impedisce una crisi. E quando la crisi arriva, le conseguenze non si esauriscono in un'aula di tribunale.

Il Garante irroga sanzioni. Emette provvedimenti correttivi, ordini di limitazione o blocco dei trattamenti, misure che possono paralizzare interi processi aziendali dall'oggi al domani. Le autorità di vigilanza settoriali hanno poteri analoghi e li stanno usando con crescente sistematicità.

A queste si aggiungono gli ordini esecutivi che impongono di rifare da capo ciò che era stato fatto male: nuove valutazioni d'impatto, nuovi accordi con i fornitori, nuove nomine, nuovi registri. Lavoro che qualcuno dovrà fare, in fretta, sotto pressione e con il fiato dell'autorità sul collo.

E poi ci sono le conseguenze che non si misurano in euro ma pesano di più. Scrivere ai propri clienti per comunicare una violazione dei loro dati personali è un esercizio che nessun imprenditore dimentica. Non per il costo della notifica. Per quello che quella lettera dice di voi.

Per come quella lettera vi fa sentire. Per come i clienti la leggono e decidono, in silenzio, se continuare a fidarsi.

La reputazione non si ricostruisce con una procedura aggiornata. Si ricostruisce nel tempo, se si riesce.

La compliance è il punto in cui inizia il lavoro. La governance è il punto in cui quel lavoro produce valore. La differenza, quando le cose vanno storte, non la stabilisce solo un giudice.

La stabilisce il mercato.