La gestione della compliance normativa è diventata un tema molto importante in considerazione della proliferazione, sovrapposizione e pervasività di un quadro normativo sempre più articolato, sia a livello nazionale che internazionale (regolamenti, direttive, norme primarie e secondarie, …). Quadro normativo a cui si sommano standard e norme privatistiche (sistemi di gestione, norme tecniche, linee guida, …), sempre più preponderanti nei modelli di funzionamento di Imprese e Pubbliche Amministrazioni (PA), anche rispetto ai processi di trasformazione digitale in atto (es. Internet of Things, Intelligenza Artificiale, Blockchain).
Tutti questi adempimenti generano uno sforzo importante per Imprese e PA, non solo nell’adattamento ai cambiamenti imposti dall’esterno, ma soprattutto nel rendere effettive le modalità di lavoro di cui l’organizzazione si è dotata, anche rispetto alla prevenzione e gestione dei rischi aziendali.
Who's Who
Luca Galetti
La crescita della complessità e dell’impatto della compliance normativa su Imprese e PA rende necessario affrontare questo tema con un approccio innovativo (e integrato), che eviti duplicazioni di logiche, strutture, processi, metodologie, documenti e sistemi informativi. Le ragioni sono almeno tre.
Le compliance sono legate tra loro
La prima ragione è che spesso c’è un collegamento diretto o indiretto tra diverse normative e standard vigenti. Per esempio in ambito di prevenzione e contrasto alla corruzione c’è una relazione tra Standard ISO 37001, i PTPCT, la legge 190/2012 e il d.lgs 231/2001. Analogamente in ambito di salute e sicurezza sul luogo di lavoro c’è una relazione tra ISO 45001, l’art. 30 del d.lgs 81/08 e i Modelli Organizzativi Gestionali (MOG) ex art. 25 septies del d.lgs 231/01. Infine in ambito ambientale, di fronte a un quadro normativo sempre più articolato, si evidenzia la relazione tra ISO 14001, Regolamenti EMAS, i MOG ex articolo 25 undecies del d.lgs.231/01 ed il d.lgs 152/06 e s.m.i.
Quando le normative impongono obblighi, ma non danno soluzioni
La seconda ragione è la crescita significativa di normative che forniscono indicazioni di “alto livello”, ma senza entrare nel merito dei requisiti richiesti. L’esempio forse più eclatante in questo momento è il GDPR, il Regolamento Europeo per la Data Protection, dove si parla di misure tecniche e organizzative “adeguate” per garantire un livello di sicurezza commisurato al rischio. Gli standard, in questo senso, possono essere una leva importante per dare più solidità al modello di compliance normativa adottato. Si pensi ad esempio alla possibilità di adottare il Cybersecurity Framework NIST o la ISO 27001 per dimostrare la conformità dei sistemi informativi dell’azienda o ente pubblico (e delle relative misure di sicurezza) nell’ambito di normative come GDPR, PSD2 e NIS.
Gli standard sono diventati “quasi” obbligatori
La terza ragione è la sempre più frequente richiesta nelle trattative, nelle gare e nei requisiti accreditativi, già in fase pre-contrattuale, della conformità a standard di riferimento (es. ISO 9001, ISO 27001, SA 8000, ecc), considerati sullo stesso piano degli obblighi di legge, da leggere come una “garanzia” di serietà e solidità di Imprese e PA, oltre che come un requisito fondamentale per la formalizzazione e l’avvio di un rapporto contrattuale e di lavoro.
Detto questo quindi l’opportunità di adottare un modello integrato di gestione delle compliance è evidente, ma come procedere? In un secondo articolo nei prossimi giorni vedremo nel dettaglio un approccio in 10 punti che suggerisce appunto come “maneggiare” gli adempimenti, con le necessarie condizioni al contorno di governance, change management, e monitoraggio.
