Come orientarsi tra tecnologie e norme:
la sfida della compliance

Privacy, dati, leggi, direttive: essere conformi alle regole è sempre più complesso. Ma può diventare un’opportunità

Il 2018 è stato l’anno della privacy, nel bene e nel male. Da una parte il caso Cambridge Analytica, con l’utilizzo non autorizzato di dati dei profili Facebook, ha innescato una nuova consapevolezza negli utenti e spinto le grandi piattaforme a rivedere le proprie politiche. Dall’altra, il 25 maggio è entrato in vigore il Gdpr, il Regolamento europeo sulla protezione dei dati personali. Tutti, dalle grandi aziende ai gestori di piccoli blog, si sono dovuti adeguare. Ogni utente può aver visto comparire sui siti che era solito frequentare comunicazioni o richieste riferite al trattamento dei dati personali. È stata una delle espressioni visibili di qualcosa di molto più complesso che non si limita al Regolamento: la compliance normativa, cioè la conformità alle regole che le aziende sono tenute a rispettare. Gestirne i rischi è complesso, perché la compliance incrocia leggi nazionali, direttive comunitarie, regolamenti, norme giuridiche e tecniche in un ambiente sempre più digitale e quindi capace di sfumare i confini tra Stati.

Non stupisce allora che, in questo quadro sempre più composito, sapersi muovere nella fitta selva di norme stia assumendo, soprattutto per le grandi aziende, un peso crescente nello sviluppo della propria infrastruttura IT. Raggiungere la conformità normativa richiede, infatti, un approccio del rischio informatico su più dimensioni. Non c’è solo da salvaguardare l’infrastruttura “fisica”, ma anche la gestione dei processi, la fatturazione elettronica, la corrispondenza, l’autenticazione…

Il Gdpr è stato senza dubbio un passaggio decisivo. Anzi, di più: un’analisi condotta da IDC poco prima che il regolamento europeo entrasse in vigore l’ha definito “una rivoluzione copernicana”. La normativa ha infatti introdotto criteri più stringenti sul trattamento dei dati personali, definito responsabilità in tale ambito (uno degli aspetti particolarmente innovativi è infatti l’“accountability”, che comporta anche verificabilità e trasparenza per l’utente sulle modalità di utilizzo e gestione dei propri dati personali) e fissato procedure e sanzioni (in capo alle aziende) in caso di violazioni (i cosiddetti “data breach”). Nell’aprile 2018, solo il 17% delle aziende italiane con più di 250 addetti affermava di essere già in regola con il regolamento. Sono stati quindi necessari sforzi di adeguamento notevoli: la spesa in sicurezza IT, “trainata dal Gdpr”, afferma IDC, raggiungerà i 230 milioni nel 2019. E crescerà a una media del 15,3% l’anno tra il 2017 e il 2021.

Il Gdpr ha quindi messo al centro della sicurezza IT la protezione dei dati personali di clienti, cittadini e aziende. Un obiettivo che si può raggiungere solo con un approccio al tema della sicurezza nel trattamento dei dati personali “by design”, ponendone la valutazione alle fondamenta di ogni progetto. Un provider deve quindi garantire, oltre a elevati standard di sicurezza, che vi sia, da parte dei propri clienti, il pieno controllo dei dati e della loro “localizzazione” geografica. Il fatto che le informazioni siano custodite in data center europei sarà un valore aggiunto: infatti, le normative hanno ridefinito i criteri non solo della gestione ma anche della “localizzazione” del dato. Prima il regolamento sull’internet “aperto” del 2015 (che vieta limitazioni e discriminazioni nazionali sul traffico, come i costi di roaming) e poi il Gdpr hanno portato norme condivise tra gli Stati membri e marcato la distanza con le aree extra europee, non soggette agli stessi vincoli, imponendo che il trasferimento di dati in tali aree sia condizionato alla presenza di garanzie ben delineate. Da questo punto di vista, l’Ue si è dimostrata all’avanguardia: sia il Congresso Usa sia grandi compagnie come Facebook, ad esempio, si sono augurati l’estensione del modello Gdpr anche negli Stati Uniti.

La compliance normativa non si limita però al solo regolamento europeo sulla privacy. Il 14 settembre 2019, ad esempio, è entrata in vigore la nuova direttiva europea sui servizi di pagamento, la PSD2 che apre (si parla infatti di “open banking”) a una maggiore condivisione di informazioni tra istituti e terze parti (come app e circuiti di pagamento), rafforzando allo stesso la protezione dei dati degli utenti.

La sfida della conformità coinvolge anche il settore pubblico, che per definizione riguarda i dati dei cittadini e si muove in base agli ordinamenti nazionale e comunitario. L’Agenzia per l’Italia digitale punta a spingere il cloud nella PA per “migliorare l’efficienza operativa dei sistemi Ict e conseguire significative riduzioni di costi”. Come suggeriscono queste parole dell’Agid, le normative non implicano solo rischi ma anche opportunità. Conoscere a fondo le regole che governano un settore consente di sfruttare le norme a proprio favore. È il caso, ad esempio, degli incentivi legati all’Industria 4.0. Secondo l’ultimo rapporto Anitec-Assinform sul mercato digitale in Italia, sgravi e ammortamenti per l’ammodernamento degli impianti hanno permesso al comparto industriale di avanzare del 5,2%. Eppure, si legge nella relazione illustrativa del Decreto Crescita, solo il 13% delle imprese potenzialmente interessate ha usufruito delle agevolazioni. Poco. A conferma di un tesoro normativo disponibile ma non sfruttato. A proposito di opportunità: per le imprese sta diventando sempre più preziosa la sostenibilità ambientale, che passa anche attraverso le certificazioni energetiche. Alimentare la propria attività attraverso fonti rinnovabili non è ancora un obbligo normativo. Ma esistono già incentivi che le aziende potrebbero cogliere, anche perché la tendenza, a livello normativo, è chiara: la “compliance green” sarà sempre più importante. E presto si tradurrà in un vantaggio competitivo ed economico.

Investire per adeguare i sistemi alle normative si traduce in valore per aziende e cittadini

Muoversi tra rischi e opportunità, tecnologia e norme, non è semplice. Anche perché, sia l’una che le altre sono in continua trasformazione. Servono tempo e competenze che i team interni spesso non hanno. Occorre studiare le regole e far sì che prodotti e processi le rispettino. La compliance non può, quindi, essere relegata ad attività collaterale, ma dovrebbe guidare le scelte delle imprese. Le aziende potrebbero istituire, ad esempio, un ufficio o una figura dedicata alla conformità normativa. E nella scelta del provider IT potrebbero accertarsi dell’attenzione posta dal partner alla compliance normativa: localizzazione dei server, gestione dei dati, ma anche (in ottica green) approvvigionamento da fonti rinnovabili e processi produttivi sostenibili.

Il provider, d’altra parte, non dovrebbe solo essere a prova di compliance. Dovrebbe anche promuoverla. Cioè diventare un consulente, capace di indicare gli obblighi di legge, offrire soluzioni e mettere a disposizione le proprie risorse specializzate.

I danni, in caso contrario, potrebbero essere notevoli. L’ambito legale è il primo a cui si pensa: se non si rispettano le norme, scattano sanzioni che pesano sulle casse delle imprese. Ma il sapore può essere molto più salato di una multa. Se, ad esempio, l’azienda espone i dati dei clienti in seguito a un attacco hacker, potrebbe dover limitare le proprie attività. Se quotata, potrebbe risentirne il corso delle azioni. E ci sarebbero anche ripercussioni sulla reputazione, che farebbero lievitare il conto. Ecco perché l’esborso per l’IT rivolto alla compliance non è una spesa: è un investimento.