Il mondo associativo ha avuto un ruolo importante nella crescita dell’economia nazionale soprattutto per le PMI ma, nelle sue forme tradizionali, si tratta di un ruolo calante, addirittura quasi assente nel contesto dell’importante ma complesso processo di compliance al Gdpr.
Proprio riconoscendo le possibili difficoltà insite in questo percorso, infatti, è stato lo stesso legislatore europeo a individuare una possibile soluzione, che vedeva protagonista le associazioni di impresa, con i Codici di Condotta. Ma, come vedremo, quelle italiane, a parte qualche rara eccezione, non hanno affatto colto l’importanza del ruolo che è stato loro attribuito, perdendo l’occasione di rendersi parte trainante di una nuova cultura d’impresa.
Il costo della compliance
Indubbiamente, la conformità a normative e standard industriali costituisce un costo crescente per le imprese, che l’anima imprenditoriale subisce con malcelata sofferenza e talvolta con astio, come un freno alla fantasia, all’efficienza e anche all’efficacia dell’azione dell’azienda.
E’ però un dato di fatto che leggi, regolamenti e standard industriali razionalizzano l’intensa e imprescindibile necessità di garanzie reciproche in una moderna economia che vive di catene del valore molto complesse.
Anche se in questo articolo si farà riferimento principalmente al GDPR, molte delle considerazioni valgono per l’insieme delle regole, delle norme o degli standard trasversali o specifici per un determinato settore cioè per le crescenti esigenze di compliance delle imprese.
Tutti noi ci aspettiamo che l’aereo che prendiamo sia in perfetta efficienza, che il cibo che compriamo non sia trattato con prodotti cancerogeni cioè ci aspettiamo che ci siano delle regole e che siano applicate e controllate. I costi di tutto questo sono pagati con il biglietto o con lo scontrino.
Economia globale e accountability
Per le aziende, questo significa adottare procedure interne che garantiscano l’applicazione delle normative e degli standard applicabili e anche la capacità di dimostrarla perché garantire non significa solo realizzare secondo le regole ma anche poter dimostrare, in qualsiasi momento, di averlo fatto. Senza quest’ultima capacità, la prima rimane basata sulla fiducia, cioè, praticamente non può essere valutata.
E’ il concetto di accountability che chiunque abbia anche solo sfiorato le pene dell’adeguamento al GDPR si è sentito ripetere fino alla nausea.
Essere “accountable”: cioè dare attuazione alle regole ma anche disporsi a rendere conto di ciò che si è fatto, di come lo si è fatto e del perché si è fatto proprio così.
In qualche modo, l’accountability sostituisce la fiducia oppure, se si vuole essere meno cinici, rende oggettivi e accessibili alcuni indicatori della correttezza dell’operato di un’azienda, consentendo la fiducia dell’ecosistema in cui si opera.
Rendere disponibile al consumatore un prodotto o un servizio richiede il lavoro di moltissimi soggetti diversi fra loro, per dimensione e settore di attività, spesso geograficamente dispersi e sottoposti a sistemi di leggi e di valori diversi, in molti casi ignari l’uno dell’altro.
Le razionalizzano l’intensa e imprescindibile necessità di garanzie reciproche. La crescita, in numero e complessità, di leggi, regolamenti e standard industriali risponde al continuo sviluppo del fenomeno sottostante: la progressiva integrazione di sistemi economici diversi, resa possibile dalla digitalizzazione e da diversi altri fattori convergenti.
La crescita del peso della compliance nei bilanci aziendali non è dunque un fatto episodico o un vizio burocratico ma una dimensione strutturale.
Per le PMI questo trend rappresenta indiscutibilmente un problema difficile da affrontare.
In un’economia di prossimità, la fiducia ha ancora un senso e gli operatori si conoscono fra loro e possono stabilire patti solidi e di sostanza anche senza tanta burocrazia. L’economia globale e digitalizzata, viceversa, non lo consente: trasformazione digitale e accesso all’economia globale presuppongono la capacità di essere accountable in molti ambiti, alcuni trasversali altri specifici di ciascun settore.
Le difficoltà del processo di conformità
Adeguarsi al GDPR, come certificarsi (davvero) ISO27001 non solo è un costo rilevante in sé ma presuppone l’esistenza di uno strato organizzativo che le PMI – e non solo le PMI – in genere, non hanno: Risk manager, CISO, Compliance, Internal audit, etc.
L’esperienza di questi due anni di grandi sforzi per l’adeguamento al GDPR ha messo chiaramente in evidenza che la difficoltà non sta tanto nell’ingaggiare un consulente quanto nel farlo operare in modo produttivo, perché questo presuppone interlocutori aziendali che spesso non ci sono e il coinvolgimento di reparti interni e di risorse che hanno altre priorità.
Non solo. La conformità al GDPR non è qualcosa che, una volta raggiunta, è garantita per sempre ma consiste in un modo di operare quotidiano ma, una volta che il consulente ha terminato il suo incarico, è difficilissimo trovare chi, internamente, porti avanti il lavoro fatto. I più rifuggono dalle proposte di occuparsi di privacy. Non perché non sia interessante ma perché sanno che sarà solo un’incombenza in più e che, per di più, saranno soli in questo compito perché l’azienda non li seguirà ma, anzi, tenderà a sentirli come corpi estranei (ovviamente con le dovute eccezioni).
L’innovazione del GDPR, che non detta un insieme di regole valide per tutti, dalla grande banca allo studio di commercialista, ma indirizzi e principi che ciascuno è chiamato a calare nel proprio contesto, non riduce ma moltiplica le difficoltà: chi si farà carico, di volta in volta, delle valutazioni necessarie e di assicurarne poi l’attuazione, il controllo e la documentazione?
Il rischio di aver speso tempo e soldi per niente diventa così altissimo.
L’esito più probabile di questa difficoltà sarà la non applicazione o una applicazione molto superficiale della norma in ampi settori e soprattutto nelle PMI, confidando nella improbabilità dei controlli e delle sanzioni.
I rischi della gestione superficiale dei dati per le PMI
Questo esito ha però due grandi controindicazioni. La prima è che, essendo i dati personali al centro di tutto il processo di trasformazione digitale delle imprese, da cui dipendono i livelli di efficienza e competitività nell’economia globale e, dunque, la loro stessa sopravvivenza, non gestirli correttamente significa costruire il futuro almeno parzialmente sulla sabbia.
La seconda è che grandi imprese che si basassero su un sistema di fornitura e subfornitura non conforme, sarebbero esse stesse non conformi. Si pensi, a questo proposito, alla sicurezza informatica e, in particolare, al numero grandissimo di violazioni subite da grandi organizzazioni, pur molto attente al tema e con cospicui investimenti in sicurezza, che sono state originate da piccoli fornitori di servizi marginali non adeguatamente selezionati e controllati.
Il rischio, qui, per le PMI è che la ricerca di fornitori in grado di garantire un adeguato livello di compliance porti a selezionare imprese diverse da quelle tradizionali, magari più grandi e magari residenti altrove.
I codici di condotta: una soluzione ai problemi delle PMI
Dunque, tirando le fila di questo ragionamento forse troppo articolato, se regolamenti e standard rispondono a un’esigenza strutturale dell’economia globale, se la conformità è un problema per le PMI, se le grandi imprese hanno bisogno di un ecosistema di fornitura in grado di garantire un adeguato livello di conformità e di sicurezza, ne consegue che il sistema produttivo italiano, così centrato sulle PMI, si trova di fronte a una grande e difficile sfida.
La cosa per certi versi sorprendente è che il legislatore europeo ci ha pensato e ha dato al problema una soluzione non banale né burocratica.
Innanzitutto, ha individuato in ambito privato e non pubblico il soggetto che può farsi carico della semplificazione: le associazioni di impresa, che rappresentano in modo capillare le diverse sfaccettature del sistema economico e hanno la missione di aiutare i propri associati nelle attività pre-competitive.
Poi, attraverso due articoli (GDPR, artt. 40 e 41) ha introdotto la possibilità di redigere dei Codici di Condotta che sono una specializzazione del GDPR per uno specifico settore di attività, individuando anche le forme del controllo di tale verticalizzazione della normativa generale.
Attribuendo al Garante nazionale l’onere di approvare i Codici di condotta ha conferito a questi ultimi l’autorevolezza necessaria a dare certezze operative alle imprese aderenti.
Infine, ha previsto benefici sostanziali per gli aderenti al Codice di condotta, visto che l’adesione rimane volontarie e dunque libera.
Associazioni di impresa italiane, non pervenute
Considerato lo stato comatoso di molte associazioni di impresa derivante dalla fortissima spinta alla disintermediazione nell’era dell’economia digitale, sarebbe stato lecito pensare che il ricco mondo associativo italiano si sarebbe buttato a corpo morto in questa direzione, incalzando il legislatore e il Garante perché completassero gli adempimenti attutivi degli articoli citati.
Invece no. Poche associazioni meritorie si sono mosse. Le poche che hanno preso in considerazione il tema l’hanno fatto con molte perplessità e incertezze che derivano dalla resistenza passiva degli associati per i retropensieri di cui parlavo all’inizio.
Il risultato è che l’European Data Protection Board il 4 giugno scorso ha approvato le linee guida relative ai Codici di Condotta, il Garante italiano ha stipulato una convenzione con Accredia per la definizione dei criteri e dei percorsi di certificazione e accreditamento e regolato con un provvedimento specifico i propri processi interni: cioè le Istituzioni hanno fatto il loro dovere mentre sul fronte associativo regna l’attesa o forse il disinteresse.
Il 28 maggio scorso si è tenuto un convegno a Roma su questo tema, organizzato da agendadigitale.eu, con relatori di rilievo, a partire dal contributo del Garante Europeo, Giovanni Buttarelli, ma con scarsa partecipazione del mondo associativo e della politica che pure dovrebbe dedicare al tema una certa attenzione, viste le implicazioni per l’economia nazionale che non sta attraversano certo il suo migliore periodo.
Gli avvocati Anna Cataleta e Rocco Panetta hanno illustrato i contenuti e le implicazioni degli articoli 40 e 41 del GDPR, il Dott. De Paoli, dirigente di rilievo dell’Autorità Garante ha delineato le strategie del Garante in materia.
Il contributo dell’avvocato Sara Perugini dell’Autorità Garante della Concorrenza e del Mercato (AGCM) ha tracciato un’interessante e innovativa correlazione fra i Codici di condotta e la tutela del consumatore mentre Corrado Giustozzi esperto di AGID ha affrontato i temi della sicurezza.
Dietro i Codici di condotta c’è una riduzione importante dei costi di sistema per la compliance al GDPR perché ciò che dovrebbe essere pensato e valutato da ogni impresa può essere definito centralmente una volta per tutte, con la certezza che deriva dall’approvazione del Garante.
Ridurre i costi e dare certezze migliora la sostenibilità economica, tecnologica e organizzativa della compliance cioè la sostenibilità della partecipazione al nuovo contesto economico globale e digitale per le PMI.
Accompagnare il sistema delle imprese nell’era digitale è una nuova missione di rilievo che rilancia il ruolo delle Associazioni di impresa non tanto, o non solo, sul piano dell’interazione con il processo legislativo quanto nella costruzione e diffusione di una cultura d’impresa rinnovata e adatta al nuovo contesto, accompagnate da servizi ad alto valore aggiunto in quell’ambito pre-competitivo di cui la compliance è un esempio importante.
