LA GOVERNANCE DEI DATI NON E’ (PIU’) UNA QUESTIONE INFORMATICA CHE RIGUARDA SOLO PASSWORD E ANTIVIRUS, MA TOCCA TUTTA L’AZIENDA.

In Italia, il concetto di corporate governance ha sempre avuto una doppia anima: quella che si mostra nei documenti ufficiali, nei report di sostenibilità, nei codici etici redatti con calligrafia perfetta (o impaginatura eccezionale e allineata), e quella reale, fatta di consigli d’amministrazione dominati da famiglie, soci silenziosi che tutto vedono, partecipazioni incrociate e meccanismi opachi ma perfettamente tollerati, purché funzionino. Si è sempre pensato che bastasse inserire qualche parola inglese nei regolamenti interni (audit, compliance, privacy, cybersecurity e post briefing) per essere al passo coi tempi. Poi è arrivato il GDPR, poi la NIS2, ora l’AI Act. E all’improvviso le aziende si sono accorte che la governance non è più solo una questione di equilibrio tra proprietà e controllo, ma di sopravvivenza.

E magari si inizia a comprendere anche che si tratta di concetti validi per tutte le imprese e non solo per le multinazionali o le quotate in borsa.

Non si tratta più di scrivere su una carta che il consiglio è autonomo, né di approvare qualche policy scaricata da internet. Non è più sufficiente affidare al DPO o al sistemista l’illusione della sicurezza.

La catena si spezza nel punto più debole. E quel punto, oggi, può essere ovunque. Può essere un collega che carica dati riservati su un cloud personale perché “è più rapido”. Un’agenzia esterna di marketing che fa profilazione senza sapere nemmeno cosa implichi l’articolo 22 del GDPR. Un fornitore di AI che consegna un software che discrimina, e lo fa in silenzio, perché nessuno ha pensato di chiedere come funziona. Può essere la divisione commerciale che registra riunioni su Zoom e poi le condivide senza cifratura, convinta che tanto nessuno le ascolti. Oppure il dirigente stesso che, nel CDA, alza la mano e dice “ci stiamo adeguando”, ma non saprebbe spiegare nemmeno cos’è il principio di accountability.

Quello che manca, in troppi casi, è la consapevolezza che questi non sono più problemi tecnici, ma responsabilità legali, morali, etiche e strategiche. Perché il GDPR, piaccia o no, è una forma evoluta di tutela della persona. Perché la NIS2 impone agli organi di vertice, non ai tecnici, di vigilare e garantire la sicurezza delle infrastrutture e dei dati. E perché l’AI Act, che qualcuno ancora finge di non conoscere, mette nero su bianco che chi usa un’intelligenza artificiale a rischio alto deve saperne rispondere. Non solo davanti al Garante, ma davanti agli utenti, ai clienti, agli azionisti.

In tutto questo, c’è un errore di fondo che troppe aziende continuano a fare: pensare che basti fare le cose per bene “nel proprio reparto”. Che basti mettere le mani avanti con una mail al consulente, con un disclaimer, con un “abbiamo informato il personale”. No. La compliance vera non è compartimentalizzata. È sistemica. Non riguarda un singolo processo ma l’intera struttura organizzativa. È la saldatura profonda tra governance, gestione e cultura del rischio. E sì, è scomoda. Perché impone di alzare la testa, farsi domande, dire di no quando è più comodo dire sì.

Impone di coinvolgere ogni funzione, ogni linea, ogni lavorazione.

Serve un salto di qualità, che è prima culturale e poi operativo. Serve capire che il giurista d’impresa non è più un garante del regolamento, ma un architetto della resilienza. Serve qualcuno che sappia tradurre una norma in azione, che sappia leggere un algoritmo, che conosca le responsabilità in solido e quelle da delega, che sappia dire: questa pratica non è solo rischiosa, è miope.

Perché oggi governare significa anche prevenire la reputazione, non solo il danno. Significa pensare prima che un errore diventi un caso. Significa non aspettare che sia il Garante, la stampa o una causa collettiva a spiegarti perché il tuo sistema era vulnerabile.

Le aziende italiane hanno già pagato, e caro, il prezzo della superficialità. Ma il punto non è solo evitare la sanzione. È capire che, in un contesto in cui i dati sono identità, in cui le decisioni automatizzate incidono sui diritti fondamentali delle persone, e in cui la sicurezza è una responsabilità giuridica dei vertici, continuare a pensare che basti installare un antivirus equivale a lasciare la porta aperta e lamentarsi dei ladri.

Ecco perché, oggi, chi siede in un CDA, ma anche e ancora di più i titolari delle aziende medio piccole e a conduzione familiare, dovrebbe chiedersi ogni volta, davanti a ogni nuova tecnologia adottata, non soltanto se sia utile o se sia conforme, ma se sia giusta. E se sa davvero di cosa sta parlando. Perché il futuro della governance non sarà scritto nei regolamenti. Ma nelle conseguenze di ogni singola decisione.

Fonte: Federprivacy