Anticorruzione, privacy, trasparenza: spinti dal peso degli adempimenti e dalla riduzione di risorse, molti organismi pubblici stanno puntando a realizzare sinergie di tipo organizzativo e gestionale. Analizziamo come una visione olistica possa coniugare prospettive diverse tagliando costi materiali e umani.
“Conosci te stesso” è, insieme, un responso ed un’esortazione che proviene dalla tradizione della Grecia antica. Oggi, può essere considerato il leit‑motiv dell’azione normativa europea e nazionale degli ultimi vent’anni, con riguardo ai soggetti giuridici privati ma, soprattutto, rispetto agli organismi pubblici. Un’analisi del meccanismo alla base e l’applicazione di un approccio olistico in grado di rispettare più efficacemente il dettato normativo soprattutto nel settore pubblico.
L’azione regolatrice, nei due decenni passati, è stata caratterizzata da approcci basati sulla capacità di auto‑analisi ed auto‑valutazione delle organizzazioni ancorché facenti parte di un contesto esterno allargato ai cittadini, al mercato, ai media (insomma ai cosiddetti stakeholder): D.Lgs. 231/2001, D.Lgs. 82/2008, L. 190/2012, D.Lgs. 33/2013, Reg. UE 2016/679 (GDPR) sono alcuni esempi di esortazione (proprio come quella dell’Oracolo di Delfi) del legislatore ad approfondire la conoscenza dei processi interni alle organizzazioni.
Inoltre, nella maggior parte dei casi, l’invito del legislatore è a valutare i rischi: rischi di responsabilità delle società, rischi per la salute dei lavoratori, rischi di corruzione, rischi per i dati personali.
Un approccio che, in Italia, ha fatto fatica a diventare consuetudine giacché, diciamolo con franchezza, la tradizione ha sempre privilegiato norme di tipo prescrittivo rispetto alle quali si è consolidato, nel pubblico e nel privato, un comportamento meramente adempitivo.
Per fortuna, però, quando gli adempimenti sono vissuti come una successione di pesi quasi insostenibili, qualcuno pensa che potrebbe essere il caso di applicare all’analisi dei processi un approccio olistico ottenendo due risultati:
- alleggerire il peso degli adempimenti cercando di razionalizzarne almeno l’approccio metodologico;
- rendere effettivo lo spirito delle norme e, quindi, innescare un vero circolo virtuoso di miglioramento dell’efficacia delle azioni richieste dal legislatore.
Per questo molti organismi pubblici hanno pensato di far scorrere su un unico binario la mappatura dei processi e la gestione del rischio (intesa come classica sequenza di risk assessment-risk treatment-risk acceptance) attraverso u approccio che possa, quindi, coniugare prospettive diverse, senza sprechi di risorse e, magari, senza troppe spese in consulenze.
Cercheremo, dunque, di incoraggiare questo approccio chiarendo quali possono essere le economie di scala applicabili dagli organismi pubblici oltre che gli specifici punti di vista che ciascun obbligo normativo porta con sé.
Approccio olistico nell’anticorruzione
La norma che, in Italia, nasce per contrastare il fenomeno della corruzione è la L. 190/2012 che obbliga gli organismi pubblici a produrre un piano di prevenzione della corruzione (art. 1 comma 5) ed a trasmetterlo all’Autorità Nazionale Anticorruzione (ANAC) entro il 31 gennaio di ogni anno (art. 1 comma 8). Il comma 9 dello stesso articolo 1 individua, inoltre, a quali esigenze risponde il piano di prevenzione della corruzione: si tratta, in pratica di individuare i rischi, prevedere meccanismi di controllo e monitorare il loro reale funzionamento. Niente di diverso da quello che, in maniera più puntuale, prevede l’Anti Bribery Management System di ISO 37001 e che, in generale, prevedono tutte le norme ISO che introducono sistemi di gestione del rischio (compresa la ISO 27001 con riguardo alla sicurezza delle informazioni).
I piani triennali di prevenzione della corruzione e trasparenza (PTPCT), inoltre, devono essere redatti conformemente alle linee guida presenti nel Piano Nazionale Anticorruzione (art. 1 comma 2‑bis) che è adottato annualmente dall’ANAC.
E, proprio le novità contenute nell’ultimo schema del Piano Nazionale Anticorruzione (PNA), la cui consultazione pubblica si è conclusa lo scorso 15 settembre, hanno indotto molte amministrazioni a riflettere sulla persistenza dell’utilità di ribadire le consuetudini che le hanno guidate negli ultimi anni durante la redazione del PTPCT. Lo schema del PNA, a pagina 11, dice, ancor più chiaramente di quanto non faccia il citato comma 9, art. 1 della legge L. 190/2012, che
Finalità del PTPCT è quella di identificare le misure organizzative volte a contenere il rischio di assunzione di decisioni non imparziali. A tal riguardo spetta alle amministrazioni di valutare e gestire il rischio corruttivo, secondo una metodologia che comprende l’analisi del contesto (interno ed esterno), la valutazione del rischio (identificazione, analisi e ponderazione del rischio) e il trattamento del rischio (identificazione e programmazione delle misure di prevenzione).
Ancora più forte, quindi, è l’invito ad un approccio metodologico strutturato analogo agli standard previsti dai sistemi di gestione del rischio.
Gestione del rischio: uno standard
Ma, nell’ottica della razionalizzazione, si muove ancor più incisivamente l’Allegato 1 (Indicazioni metodologiche per la gestione dei rischi corruttivi) dello schema di PNA quando afferma, a pagina 11, che
Una mappatura dei processi adeguata consente all’organizzazione di evidenziare duplicazioni, ridondanze e inefficienze e quindi di poter migliorare l’efficienza allocativa e finanziaria, l’efficacia, la produttività, la qualità dei servizi erogati, e di porre le basi per una corretta attuazione del processo di gestione del rischio corruttivo. È, inoltre, indispensabile che la mappatura del rischio sia integrata con i sistemi di gestione spesso già presenti nelle organizzazioni (controlli di gestione, sistema di auditing e sistemi di gestione per la qualità, sistemi di performance management), secondo il principio guida della “integrazione”, in modo da generare sinergie di tipo organizzativo e gestionale. Ad esempio, laddove una mappatura dei processi sia stata già realizzata anche per altre finalità (es. revisione organizzativa per processi o sistema di performance management), si suggerisce di considerarla come un punto di partenza, in modo da evitare duplicazioni e favorire sinergie, finalizzandola alla gestione del rischio di corruzione.
e, a pagina 12, che
È opportuno ribadire che i processi individuati dovranno fare riferimento a tutta l’attività svolta dall’organizzazione e non solo a quei processi che sono ritenuti (per ragioni varie, non suffragate da una analisi strutturata) a rischio.
In pratica, il nuovo PNA, in parte estendendo il contenuto della lettera a), comma 9 dell’art. 1 della L. 190/2012, afferma che:
- tutti i processi devono essere analizzati ed il rischio deve essere valutato in maniera strutturata;
- in questa attività conviene riferirsi ad una mappatura completa dei processi che l’amministrazione potrebbe aver messo a punto per altri scopi e che copre tutte le attività svolte.
Gli obblighi di trasparenza per le PA
Com’è noto, dalla stessa L. 190/2012 discende il D.Lgs. 33/2013 che disciplina gli obblighi di trasparenza delle pubbliche amministrazioni e l’impegno, per ogni organismo pubblico, ad integrare le misure di trasparenza in un’apposita sezione del PTPCT.
Le misure di trasparenza diventano, quindi, in un’ottica solo parzialmente integrata, una parte fondamentale del treatment del rischio corruttivo: la trasparenza come massima espressione di accountability da parte delle pubbliche amministrazioni e, quindi, come misura di riduzione del rischio di corruzione.
Tuttavia, la trasparenza, a sua volta, può (e deve) essere filtrata da un’attenta analisi (non proprio una gestione del rischio completa) che lo schema di PNA 2019‑2021 affronta con una notevole dose di profondità nel paragrafo 4. Le amministrazioni, infatti, devono, per ogni processo, sottoporre a bilanciamento il “diritto di ogni cittadino a vedere tutelata la propria dignità” con il “diritto di ogni cittadino alla partecipazione alla vita pubblica”.
È evidente, dunque, che la trasparenza porta con sé alcuni pericoli (non ancora rischi) che vanno valutati rispetto alla disciplina della protezione dei dati personali.
La protezione dei dati personali
Infatti, proprio rispetto alla privacy, lo schema di PNA 2019‑2021 richiama la consulenza del Responsabile della Protezione dei Dati Personali (DPO) affinché sia d’aiuto nell’eseguire il bilanciamento dovuto.
Ma anche il DPO non potrà agire in maniera destrutturata e caso‑per‑caso. Il GDPR, similmente alle altre normative che abbiamo esaminato, obbliga ad introdurre un sistema di gestione del rischio considerando che, all’art. 32 dispone che
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
Questo vuol dire che tutti i processi di trattamento sono da sottoporre alla terna risk assessment‑risk treatment‑risk acceptance. C’è da dire che molti DPO dimenticano l’esistenza di questo obbligo e ritengono che solo i processi che rientrano nei casi previsti dal comma 1 dell’art. 35 debbano essere sottoposti a valutazione d’impatto sulla protezione dei dati. Invece, il combinato disposto dell’art. 32 e dell’art. 35 prevede che:
- tutti i processi presenti nel registro delle attività di trattamento devono essere sottoposti alla valutazione pre‑DPIA (con l’ausilio delle linee guida 248 del WP29);
- i processi che risultano positivi al test pre‑DPIA devono essere sottoposti alla valutazione d’impatto secondo le previsioni dell’art. 35;
- i processi che risultano negativi al test pre‑DPIA devono essere sottoposti ad una metodologia di gestione del rischio “semplificata” (quale può essere, per esempio, quella proposta dall’ENISA).
Molti obblighi, un solo approccio
Per quanto il GDPR sia relativamente giovane rispetto alla precedente normativa che impone obblighi di anticorruzione e di trasparenza, ha il vantaggio di aver introdotto alcuni princìpi e, soprattutto, alcuni strumenti che possono essere utili ad un approccio olistico alla gestione del rischio.
Il registro delle attività di trattamento è, tra gli strumenti introdotti dal GDPR, quello che può costituire la base di partenza per condurre attività di risk assessment anche da altre prospettive (anticorruzione e trasparenza); possiamo, infatti, considerarlo un catalogo comune adatto a soddisfare l’auspicio di “sinergie di tipo organizzativo e gestionale” dichiarate all’interno delle già citate “Indicazioni metodologiche per la gestione dei rischi corruttivi”.
Il registro, inoltre, soddisfa il requisito della completezza (anche questa auspicata dall’allegato al PNA quando parla di analisi di “tutta l’attività svolta dall’organizzazione”) giacché, per le pubbliche amministrazioni, esiste una corrispondenza biunivoca tra processo e processo di trattamento di dati personali visto che non esistono processi puramente “di trasformazione industriale” che non trattano dati personali.
Quindi, si può partire dal registro delle attività di trattamento per sottoporre i processi ad un risk assessment che tenga conto sia degli aspetti di protezione dei dati personali sia del rischio di corruzione e degli obblighi di trasparenza. Gli esempi più classici riguardano l’analisi dei profili autorizzativi presenti in un sistema di elaborazione delle buste paga o di e‑procurement: in entrambi i casi, seppur con prospettive differenti, possono essere riscontrate vulnerabilità comuni seppur a fronte di possibili conseguenze diverse (violazione di dati personali per il GDPR o corruzione per la 190/2012).
L’approccio olistico può , inoltre, trarre vantaggio dall’applicazione sistematica dei paradigmi “by design” e “by default” (introdotti dal GDPR) anche agli ambiti del contrasto alla corruzione e della trasparenza oltre che, naturalmente, alla protezione dei dati personali.
Approccio olistico, i fattori abilitanti
Appare chiaro che questo tipo di percorso richiede, comunque, un’attenta definizione dei criteri di identificazione e valutazione dei rischi da tutte diverse le prospettive che si intendono coprire. Per esempio, le “Indicazioni metodologiche per la gestione dei rischi corruttivi” suggeriscono di valutare con attenzione alcuni fattori abilitanti (eccessiva regolamentazione, scarsa responsabilizzazione interna, mancata attuazione del principio di distinzione tra politica e amministrazione, ecc.) che, in sostanza, possono considerarsi vulnerabilità specifiche associabili al rischio di corruzione.
Tuttavia, è un cammino che sembra promettere buoni risultati soprattutto se, come è auspicabile, ogni struttura interna all’organismo pubblico venisse sufficientemente coinvolta.
