Compliance: un investimento strategico per la crescita aziendale

Compliance: un investimento strategico per la crescita aziendale

7 ottobre 2024

di Marco CASSARO e Stefano GALLI

A cosa ci riferiamo quando parliamo di “compliance”?

Nel contesto delle aziende operanti nel settore finanziario, la definizione di “compliance” è generalmente ben consolidata e trova riscontro nelle normative specifiche di settore.

Tuttavia, quando si parla di altri ambiti industriali, spesso ci si trova di fronte a difficoltà non solo nel comprendere il ruolo strategico della compliance, ma anche negli ambiti in cui essa deve operare.

Questo è particolarmente evidente quando le richieste di adeguamento a normative specifiche provengono dalla Pubblica Amministrazione o dai clienti di tali imprese, creando una maggiore pressione per adottare pratiche di conformità.

Entriamo più nel merito: nel settore finanziario, la compliance si riferisce principalmente alle normative di settore e alle disposizioni di Banca d’Italia, che consentono di identificare la funzione di compliance come una funzione di secondo livello dedicata alla conformità alle norme di settore e di legge. Questa funzione:

  1. non solo garantisce l’adeguamento normativo, ma
  2. svolge anche un ruolo cruciale nel mitigare i rischi legali e reputazionali che le istituzioni possono affrontare.

Ad avviso di chi scrive, nel contesto odierno che caratterizza le imprese dei settori diversi da quello finanziario, i giuristi d’impresa e le aziende stesse devono affrontare una varietà di normative riguardanti tematiche diverse, tra cui la privacy, il whistleblowing, la sostenibilità ambientale e sociale (ESG), l’anticorruzione, l’antiriciclaggio, il D.lgs. 231/2001 e molte altre normative specifiche cui ogni impresa è soggetta. 

Ciò che appare chiaro è che la conformità e, possibilmente, una gestione integrata di queste normative concede fin da subito: 

  • interesse strategico per il fornitore nei confronti dei clienti;
  • diminuzione dei rischi;
  • abbassamento delle possibili sanzioni applicabili;
  • migliore reputazione aziendale;
  • rafforzamento della fiducia dei clienti e degli stakeholder.

Come sempre, il concetto “prevenire è meglio che curare” vale anche nel settore della conformità. 

In questa sede, ci proponiamo di esaminare le conseguenze derivanti da un mancato adeguamento e gestione al GDPR – Regolamento UE 679/2016.

Fonti rilevanti 

Con l’obiettivo di fornire una panoramica riassuntiva di quanto non adeguarsi al GDPR possa costare dal punto di vista economico alle aziende, punto di vista economico (i.e. sanzioni), che, come sappiamo, sono molto spesso alla base di un’azione proattiva al recepimento della norma, faremo riferimento a tre documenti recenti e significativi:

  • Études économiques d’impact du RGPD: la vision du régulateur(1) della CNIL (Commissione Nazionale per l’Informatica e le Libertà della Francia);
  • Report Cost of a Data Breach(2) condotto dal Ponemon Institute (un istituto di ricerca statunitense specializzato nella protezione dei dati e nelle tecnologie informatiche emergenti) e sponsorizzato, analizzato e pubblicato da IBM (azienda leader nel settore informatico);
  • Relazione 2023 del Garante per la protezione dei dati personali(3), pubblicato dal Garante Italiano.

Progettato per tutelare i diritti fondamentali dei cittadini europei, come sappiamo, il GDPR può essere valutato anche da una prospettiva economica, al fine di misurare non solo i costi, ma anche i benefici che esso comporta per le imprese. Questa analisi permette di considerare variabili importanti come la:

  • fiducia dei consumatori;
  • reputazione aziendale; e
  • gestione del rischio legale. 

Si consideri altresì che l’impatto del GDPR si estende oltre le frontiere dello Spazio Economico Europeo, influenzando così la competitività delle aziende europee in un mercato globale sempre più interconnesso.

Sanzioni: un costo non così irrilevante

Ora, se prima dell’entrata del vigore del GDPR, capitava assai molto spesso, che le aziende, data l’inconsistenza delle sanzioni applicabili, si adeguassero alla normativa in materia di protezione e tutela dei dati personali successivamente ad un rilievo da parte dell’Autorità, oggi, come vedremo nel seguito, non è più possibile. 

Ci spieghiamo meglio. 

Innanzitutto, è utile ricordare, come ormai noto a tutti, che le sanzioni in caso di violazioni della normativa cogente in materia di dati personali, possono arrivare:

  • fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale;
  • fino a 20 milioni di Euro o, nel caso di imprese, fino al 4% del fatturato totale annuo mondiale;

senza contare le ulteriori conseguenze previste dalla normativa nazionale applicabile (D.lgs. 101/2018 che integra il Codice Privacy D.lgs. 196/2003). Sicuramente, le sanzioni hanno una natura graduata come previsto dalle “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR(4) emanate dal EDPB, ma questi costi possono rivelarsi devastanti, specialmente per le piccole e medie imprese, che spesso non dispongono della liquidità necessaria per affrontare un onere finanziario così significativo. 

A tal proposito, giova segnalare che il Garante nella sua relazione annuale relativa all’anno 2023, riporta di aver riscosso euro 7.977.343 per le sanzioni irrogate e rileva come nella maggior parte dei casi quest’ultime dipendano da inadeguate misure di sicurezza e contestuale violazione dei dati (cd. data breach). 

Ovviamente, tale spaccato riguarda solo ed esclusivamente l’ambito nazionale, ma se diamo uno sguardo al di là del nostro naso, tramite banalmente il sito enforcementtracker.com, noteremo subito che le sanzioni applicate a causa di insufficiente compliance alla normativa è estremamente diffuso.

Costi conseguenti ad un data breach mal gestito

Quando si parla di violazione dei dati personali, non basta limitarsi a valutare le uscite per far fronte alle sanzioni imposte dalle Autorità. Le imprese devono considerare attentamente anche i costi indiretti. A questo proposito, è utile consultare il report “Cost of a Data Breach 2024” di Ponemon Institute e IBM, che:

  • analizza in dettaglio i costi associati a una violazione dei dati; e
  • tiene conto degli elementi innovativi nel settore (e.g. come i cambiamenti tecnologici che hanno portato a un aumento dei dati “shadow” e dell’impatto e dei costi delle interruzioni aziendali causate dalle violazioni, etc.).

Primo dato che emerge dal Report è che nel 2023, il costo medio di una violazione dei dati è aumentato significativamente, passando da 4,45 milioni a 4,88 milioni di dollari, con un incremento del 10%. Questo aumento è attribuibile, secondo il Report medesimo, a vari fattori, tra cui:

  • interruzioni del servizio;
  • perdita di clienti;
  • l’assunzione di personale extra per l’assistenza ai clienti.

Un aspetto, forse ancora un po’ sottovalutato ma di notevole importanza, è sicuramente la fiducia dei clienti e le relazioni commerciali esistenti. 

In un contesto competitivo, dove la fiducia e la reputazione sono fondamentali per il successo, affrontare le conseguenze di una violazione del GDPR può rappresentare una sfida insormontabile per molte imprese.

Il rapporto con i Clienti, infatti, si configura come un aspetto cruciale nel contesto della gestione dei dati personali. È opportuno richiamare l’attenzione sull’articolo 82 del GDPR, il quale, al comma 1, stabilisce un principio fondamentale: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.”

L’art. 82 GDPR sottolinea la responsabilità degli attori coinvolti nel trattamento dei dati, evidenziando il diritto dei Clienti di essere risarciti nel caso in cui i loro dati siano gestiti in modo non conforme alle normative vigenti. In particolare, nel caso in cui un’impresa operi come responsabile o sub-responsabile del trattamento ai sensi dell’articolo 28 del GDPR, essa è tenuta a garantire la massima attenzione nella gestione dei dati personali.

La responsabilità civile, quindi, si estende non solo ai danni diretti subiti dai Clienti, in qualità di Titolari del trattamento, ma anche a eventuali danni cagionati agli interessati. Questo implica che l’impresa deve adottare misure adeguate e tempestive per prevenire possibili violazioni, poiché una gestione negligente dei dati potrebbe risultare in sanzioni significative, inclusa l’irrogazione di penali economiche o, in casi estremi, la risoluzione del contratto stipulato con il Cliente.

Ancora una volta, torna utile il Report “Cost of a Data Breach 2024“, secondo il quale il 46% delle violazioni analizzate coinvolge dati personali dei clienti. In particolare, le violazioni hanno coinvolto informazioni di identificazione personale (PII) dei clienti, che possono includere dati indentificativi (e.g. codice fiscale, documenti d’identità, etc.) e dati di contatto (e-mail, numeri di telefono e indirizzi di residenza). Si evidenzia altresì che i dati di proprietà intellettuale (IP) sono al secondo posto (43% delle violazioni). Il costo dei dati IP è aumentato considerevolmente rispetto all’anno scorso, passando dai 156 dollari per record relativo al 2022 ai 173 dollari del report relativo al 2023.

Inoltre, in un mercato sempre più competitivo, la reputazione aziendale:

  • si è trasformata in un asset prezioso,
    • influenzando le decisioni d’acquisto e la lealtà del Cliente.

Un approccio orientato alla protezione dei dati, accompagnato da una comunicazione chiara e aperta, non solo contribuisce a minimizzare i rischi legati alle violazioni della privacy, ma anche a posizionare l’azienda come un leader responsabile nel proprio settore. In questo modo, l’organizzazione non solo risponde alle aspettative normative, ma si distingue anche come un partner affidabile e consapevole nella gestione delle informazioni, creando così un ciclo virtuoso di fiducia e reputazione positiva

Non sorprende che la privacy rappresenti uno dei pilastri fondamentali della sostenibilità, come dimostra il “GRI 418: Privacy dei clienti”, un KPI specifico di rendicontazione delle azioni relative alla privacy, incluso tra i temi sociali della serie 400 degli Standard del Global Reporting Initiative (GRI).

Di fronte a questi dati, diventa evidente, dunque, quanto sia essenziale per le aziende adottare un approccio responsabile alla conformità con il GDPR. Non si tratta quindi solo di evitare sanzioni, ma anche di creare un vantaggio competitivo, in un’epoca in cui i dati personali rappresentano un bene prezioso. Basti pensare che, nel corso degli ultimi anni, il valore di questi dati è aumentato in modo esponenziale, fino a diventare una delle risorse più strategiche della nostra era, spesso definita come il “nuovo petrolio”.

Compliance, una scelta vincente

In definitiva, il GDPR non è solo un vincolo normativo, ma è e deve diventare un catalizzatore per la crescita, l’innovazione e la creazione di valore a lungo termine per le imprese. 

Infatti, un’efficace gestione dei dati può:

  • aumentare la fiducia dei consumatori;
  • migliorare la reputazione aziendale;
  • aprire nuove opportunità di business;

contribuendo a un ritorno economico positivo per chi decide di impegnarsi in questa direzione. 

Il Report di Ponemon Institute e IBM, infine, sottolinea anche che il tempo necessario per identificare e contenere una violazione è un indicatore chiave di successo: le aziende che riducono questi tempi grazie a soluzioni avanzate di sicurezza possono evitare perdite significative, sia economiche sia reputazionali.

Tra le principali raccomandazioni del Report, spiccano:

  • l’importanza di una visione completa del landscape dei dati;
  • la necessità di implementare politiche di sicurezza avanzate per l’intelligenza artificiale generativa;
  • l’adozione di strumenti di automazione per la prevenzione delle violazioni. 

Le imprese che sapranno implementare queste strategie non solo potranno limitare l’impatto economico di eventuali attacchi, ma avranno anche l’opportunità di trasformare la protezione dei dati in un motore di crescita, innovazione e competitività nel panorama digitale globale.

In un’epoca in cui le violazioni dei dati sono sempre più comuni e costose, le aziende non possono permettersi di trattare la compliance come un costo da minimizzare. Piuttosto, dovrebbero vederla come un investimento fondamentale per il futuro, capace di proteggere i loro asset più preziosi e di garantire la loro competitività sul mercato. In un contesto competitivo e sempre più regolamentato, la compliance rappresenta una scelta strategica vincente. La conformità al GDPR, quindi, rappresenta non solo una protezione per i diritti dei cittadini, ma anche un volano per l’adozione di pratiche innovative che possono garantire una crescita sostenibile e duratura nel lungo periodo.

Intervento di:

Marco CASSARO, Avvocato | Responsabile Ufficio Legale & Compliance e DPO di Gruppo | Kirey Group

Dott. Stefano GALLI, Legal & Compliance Senior Specialist | Kirey Group

Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) CNIL (Commissione Nazionale per l’Informatica e le Libertà della Francia), (2024), Études économiques d’impact du RGPD: la vision du régulateur

(2) Ponemon Institute and IBM, (2024), Report Cost of a Data Breach

(3) GPDP (Garante per la protezione dei dati personali), (2024), Relazione 2023 del Garante per la protezione dei dati personali

(4) EDPB (European Data Protection Board), (2023), Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *