Prima di parlare di costi relativi alla compliance aziendale, è opportuno chiarire cosa si intende con questo termine. La compliance aziendale racchiude tutti i processi e le buone pratiche che le aziende devono mettere in atto per rispettare la normativa sulla protezione dei dati e sulla privacy. È di fatto – come suggerisce la traduzione – la conformità alle regole in vigore sulla materia, sia quelle emanate dall’Unione Europea che dai singoli paesi in cui le aziende operano, al fine di evitare sanzioni e implicazioni legali. Il mancato rispetto di tali norme comporta gravi conseguenze non solo dal punto di vista legale, ma anche economico.
La compliance aziendale è diventata di forte importanza negli ultimi anni in Europa; le aziende non possono sottrarsi all’adeguamento a tali leggi, perché farlo potrebbe intaccare la loro reputazione, dal momento che la privacy è un tema particolarmente osservato.
L’adeguamento alle regole sulla privacy, però, ha ovviamente dei costi, che spesso sono abbastanza significativi. Tali costi possono pesare sul bilancio delle aziende, soprattutto se si tratta di piccole realtà. Certamente, ogni azienda dovrà coprire costi differenti in base al settore in cui opera, la posizione che ha sul mercato e le sue dimensioni. In generale, però, molte aziende lamentano l’elevato costo che ha ristrutturare la propria attività secondo la normativa, e talvolta si chiedono se sia una manovra necessaria per cui valga la pena investire.
Le aziende devono rispettare vari principi normativi – non solo quelli dettati dal GDPR – tra cui il Dlgs 196/03 sulla protezione dei dati, il Dlgs 231/01 sulla responsabilità amministrativa e il Dlgs 81/08 sulla sicurezza sul lavoro. Ci sono inoltre le normative europee sul commercio elettronico e sull’antiriciclaggio e il codice del consumo. Le normative a cui adattarsi non sono poche, e quelle sulla privacy e sulla protezione dei dati personali sono piuttosto complesse da implementare in toto. Adeguare la propria attività al GDPR ed essere realmente compliant, che implica rispettare tutte le norme previste, non è semplice, perché è fondamentale stabilire il principio di privacy by design, ovvero proteggere i dati personali sin dalle prime fasi di progettazione di un servizio: costruire, cioè, ogni prodotto o servizio di un’azienda tenendo alla base come principio fondante il trattamento adeguato dei dati personali e gli eventuali impatti negativi che potrebbe avere sulla privacy.
Quali sono i costi associati alla conformità?
Per far rispettare tutte le leggi e disposizioni, c’è bisogno di una figura che monitori il comportamento dell’azienda sotto questo aspetto e faccia sì che vengano applicate e seguite le best practice. La consulenza legale necessaria per l’implementazione della normativa, infatti, è uno dei costi più cospicui che deve sostenere un’azienda. Assumere esperti legali per raggiungere la compliance non è l’unica spesa, perché l’adeguamento alla normativa deve trasformarsi in azioni concrete. Un altro costo considerevole è l’attuazione di sistemi IT alle misure di sicurezza per garantire la conformità dei processi aziendali dal punto di vista informatico. Questo implica ovviamente consistenti investimenti nelle nuove tecnologie e in strumentazioni avanzate che garantiscano la sicurezza dei dati, ad esempio, sistemi di crittografia, firewall, software di gestione delle identità e degli accessi.
Si tratta di una vera e propria trasformazione interna delle aziende che provoca dei cambiamenti anche strutturali: queste strumentazioni devono essere maneggiate in modo consapevole dal personale, che necessita, dunque, di formazione, sia sull’importanza della protezione dei dati, sia sull’utilizzo di dati strumenti e sui vari rischi.
Si tratta di una vera e propria trasformazione interna delle aziende che provoca dei cambiamenti anche strutturali: queste strumentazioni devono essere maneggiate in modo consapevole dal personale, che necessita, dunque, di formazione, sia sull’importanza della protezione dei dati, sia sull’utilizzo di dati strumenti e sui vari rischi.
In caso di non conformità, però, le aziende sono soggette a sanzioni elevate, il che apporterebbe ulteriori costi per l’azienda. Come anticipato, non tutte le aziende devono sostenere gli stessi costi per l’adeguamento alla normativa. Il peso finanziario che ha la compliance è dettato dalla dimensione delle aziende stesse: le grandi aziende hanno dei costi maggiori rispetto alle piccole e medie imprese, come è ragionevole che sia. La dimensione non è però l’unico fattore che influenza i costi. Anche il settore di appartenenza può influenzare l’impegno economico dell’azienda: ad esempio, ci sono settori a cui sono richiesti requisiti di sicurezza molto più stringenti di altri, come quello sanitario e finanziario, che trattano in modo massiccio i dati personali e sensibili delle persone. Di conseguenza, per tali settori vi è un controllo più rigido.
Tra gli ambiti più vulnerabili ci sono appunto i settori medico, finanziario e legale. La sicurezza informatica per uno studio legale è cruciale, anche se in questo caso è necessario fare un’ulteriore distinzione: le esigenze di sicurezza differiscono tra un piccolo studio legale e una grande law firm. I piccoli studi legali hanno risorse limitate da investire e sono suscettibili a minacce meno sofisticate, come il phishing e l’introduzione di malware, gestibili con poco. Il problema maggiore riguarda le grandi law firm che hanno sistemi e infrastrutture informatiche più complesse, anche perché gestiscono una grande quantità di dati sensibili. Qui gli investimenti da fare sono maggiori, perché le minacce sono più complesse, dagli attacchi ransomware e ai tentativi di furto di proprietà intellettuale, e rendono le grandi law firm soggette quindi a regole più stringenti.
Le resistenze di alcune aziende verso la compliance aziendale
I costi si rivelano il problema principale dell’adeguamento alle normative sulla privacy e sul trattamento dei dati personali, soprattutto per le aziende che hanno risorse limitate, come nel caso delle piccole e medie imprese (PMI). I processi da adattare sono complessi e le competenze sono scarse, così come le risorse economiche da investire, sia nelle tecnologie che nella formazione. Non avendo personale qualificato per adeguare la struttura alle norme, è necessario rivolgersi a terzi, il che comporta un’altra spesa che pesa sul bilancio di aziende già in difficoltà. Inoltre, spesso questo tipo di azienda non considera la privacy una priorità e non si rende conto dei rischi in cui può incorrere.
Per aiutare le PMI a sostenere questa trasformazione, i governi e l’UE hanno stanziato diversi incentivi. Quest’ultima, inoltre, ha dato vita ad un progetto con l’obiettivo di supportare le piccole e medie imprese nell’adattamento al GDPR: SMEdata. Questo progetto fornisce gli strumenti e le conoscenze per conformarsi alla normativa e aumentare la consapevolezza sull’importanza di una certa prevenzione, formando le risorse e semplificando gli strumenti per cercare di migliorare il processo di compliance. Gli aiuti esterni vanno ad alleggerire i costi legati alla conformità per le aziende che non riescono a sostenerli in autonomia.
Anche se è più difficile per le aziende con poco fatturato, creare una cultura basata sull’importanza della privacy, che mette in primo piano la protezione dei dati personali in ogni progetto o servizio che offre, è una tendenza che porterà risvolti positivi.
Anche se è più difficile per le aziende con poco fatturato, creare una cultura basata sull’importanza della privacy, che mette in primo piano la protezione dei dati personali in ogni progetto o servizio che offre, è una tendenza che porterà risvolti positivi.
Le conseguenze della non compliance
La conformità alle normative sulla protezione dei dati rappresenta un impegno economico non indifferente; non solo, significa anche uno stravolgimento del modus operandi dell’intera azienda. Questo sforzo che sono chiamate a fare le aziende, però, è un investimento per il futuro, perché migliorare la sicurezza dei dati personali non comporta solo il rispetto della normativa, ma aumenta la reputazione e la credibilità del marchio. Inoltre, rende l’azienda meno vulnerabile ed esposta ad attacchi che potrebbero creare danni immani, anche dal punto di vista economico. Sebbene i costi da sostenere sembrino, e sono, elevati, si tratta di investimenti che si rivelano salvifici per la sopravvivenza dell’attività. Il peso della compliance è controbilanciato dai costi che dovrebbe sostenere l’azienda se non si adeguasse a tali leggi. Fermo restando che la sanzione è commisurata al tipo e alla gravità della violazione e ai danni causati da una crisi informatica, le cifre sono molto più alte di quanto si possa spendere in protezione.
In via generale, le aziende sono sanzionate fino a 10 milioni di euro o il 2% del fatturato per le violazioni meno gravi, mentre fino a 20 milioni e il 4% del fatturato per gli illeciti più gravi. La sanzione amministrativa non è l’unica conseguenza che rischiano le aziende non compliant. Al di là delle loro dimensioni, che siano multinazionali o PMI, i danni collaterali alla reputazione dell’azienda e al bilancio possono essere di grande portata. Inoltre, vi è da considerare il risarcimento alle persone fisiche i cui dati sono stati violati o trattati in modo illegittimo. Questo può portare ad un’ulteriore spesa, quella delle spese legali per difendersi. Il tutto porta ad un danno reputazionale molto grave dell’azienda, che compromette la sua sopravvivenza sul mercato. Se l’incidente risulta particolarmente grave le autorità possono vietare all’azienda di trattare i dati personali per un determinato periodo di tempo: in alcuni settori questo può rivelarsi fatale e l’azienda dovrà essere costretta all’interruzione dell’attività, se non definitiva, almeno temporanea.
Il numero di aziende che ad oggi è pienamente compliant in Italia è molto basso – non supera infatti il 25%. Questo significa che c’è ancora molto da fare, e soprattutto bisogna cambiare la percezione con cui viene vista la normativa relativa alla privacy. Gli svariati controlli dell’Autorità Garante ancora non bastano a far cambiare alcune idee radicate nell’ecosistema imprenditoriale italiano.
Hai un articolo nel cassetto? Legal Tech Magazine è sempre alla ricerca di nuove voci attraverso cui raccontare l’evoluzione del settore. Puoi sottoporci la tua proposta attraverso il seguente form: avremo cura di leggerla e di valutarne la pubblicazione.
Non solo un Magazine, ma anche una Mappa, un Forum, un Report e un’Academy. Se ti interessano i progetti di Legal Tech Italy e desideri ricevere aggiornamenti sulle sue iniziative presenti e future, iscriviti alla newsletter e non perderti nessuna novità.
