Per molto tempo, si è pensato che per garantire la compliance normativa fosse necessario e sufficiente produrre documentazione e che riempire faldoni, firmare procedure e compilare registri servisse a dimostrare di essere in regola in caso di controllo.
Oggi, tuttavia, lo scenario è mutato. Le recenti normative europee – come il GDPR, la NIS 2 e l’AI Act – superano la logica dell’adempimento formale e tardivo.
Pur disciplinando ambiti diversi, queste discipline condividono la medesima filosofia di fondo: impongono alle aziende l’obbligo di valutare i rischi prima di adottare qualsiasi decisione strategica.
Quindi, la progettazione deve precedere l’azione perché l’analisi preventiva è diventata l’unico modo per governare un’organizzazione.
Indice degli argomenti
Il grande equivoco della compliance e la metamorfosi dell’accountability
Esiste un malinteso strutturale che da anni condiziona il dibattito sul governo d’impresa, una tendenza radicata a credere che le norme si traducano principalmente in un elenco di obblighi documentali composti da informative, registri, politiche interne e verbali da archiviare.
Sebbene questi strumenti mantengano una loro indiscutibile utilità probatoria, l’errore emerge quando essi vengono considerati il punto di partenza dell’azione aziendale.
Nella realtà dei processi organizzativi, la documentazione rappresenta quasi sempre il punto di arrivo, la fotografia finale di un percorso che deve essersi già compiuto altrove.
Le normative europee dell’ultimo decennio sono state concepite proprio per modificare profondamente il modo in cui vengono prese le decisioni strategicamente rilevanti.
Confondere i documenti con la compliance è come scambiare lo scatto fotografico con il paesaggio reale, smarrendo il senso profondo del dettato legislativo.
Il rischio associato a ogni singola scelta
Questa trasformazione appare evidente quando si analizza il Regolamento Generale sulla Protezione dei Dati, il GDPR, che viene talvolta ridotto a una “complessa normativa sulla privacy”.
Questa definizione, pur essendo corretta, rimane parziale se non si coglie la sua vera natura di testo normativo sulla responsabilità decisionale.
Tutto l’impianto del Regolamento ruota infatti attorno al principio cardine dell’accountability, un termine che viene frequentemente tradotto come responsabilizzazione ma che nel suo significato operativo implica un dovere ben più stringente.
Chi governa un’organizzazione deve dimostrare di aver compreso, valutato e gestito il rischio associato a ogni singola scelta, potendo ricostruire a ritroso il percorso logico seguito.
Il principio di privacy by design
L’espressione più limpida di questo approccio si ritrova nel principio di privacy by design, che impone di considerare la protezione dei dati personali non come un correttivo dell’ultimo minuto ma fin dal momento embrionale della progettazione, ben prima che un software venga acquistato o un nuovo trattamento di dati abbia inizio.
Lo stesso principio governa la valutazione d’impatto, la DPIA, per la quale il legislatore non pretende la compilazione di un modulo fine a sè stesso, ma richiede una riflessione preventiva e strutturata sugli effetti che una determinata scelta potrebbe produrre sui diritti e sulle libertà delle persone, sancendo il primato logico della comprensione sull’azione.
I capitoli precedenti della pentalogia
Il governo della sicurezza e la responsabilità dei vertici nella NIS 2
Spostando lo sguardo verso la cyber security, la direttiva NIS 2 introduce una svolta metodologica che può apparire provocatoria, poiché non chiede semplicemente alle aziende di essere sicure, ma impone loro di governare la sicurezza.
La differenza per un’organizzazione è fondamentale, quasi antropologica.
Un’impresa può investire capitali ingenti nell’acquisto delle tecnologie più sofisticate sul mercato e rimanere comunque del tutto vulnerabile se si dimostra incapace di governare il proprio ecosistema di rischio.
Consapevole di questo limite strutturale, il legislatore europeo ha scelto di scardinare la vecchia prassi che delegava la sicurezza informatica esclusivamente ai tecnici, posizionando il management e gli organi di amministrazione al centro del sistema di responsabilità.
Vertici al centro del sistema di responsabilità
Gli articoli dedicati ai doveri dei vertici aziendali rappresentano l’elemento più innovativo della direttiva, poiché affermano il principio secondo cui le contromisure e le difese non possono derivare da intuizioni estemporanee o da reazioni ansiose a seguito di un incidente.
Al contrario, esse devono essere il risultato di un processo rigoroso di analisi preventiva che investe l’intera catena del valore.
L’impianto della governance by design
I leader sono, così, chiamati a comprendere i propri servizi essenziali, a mappare le interdipendenze operative, a vagliare l’affidabilità dei fornitori e a valutare l’impatto economico e sociale di un eventuale blocco delle attività.
Solo in seguito a questa approfondita istruttoria diventa possibile decidere, con cognizione di causa, quali misure tecniche e organizzative adottare.
Si ritrova qui la medesima sequenza lineare che governa l’intero impianto della governance by design, un cammino obbligato dove l’analisi precede la decisione e la decisione guida l’azione.
L’algoritmo consapevole: l’AI Act e la convergenza in un’unica filosofia
L’esempio più moderno e sfidante di questa evoluzione del diritto è rappresentato dall’AI Act, il regolamento europeo sull’intelligenza artificiale.
In questo testo, l’attenzione del legislatore non si concentra sulla tecnologia in sé ma si focalizza con forza sugli effetti che essa produce sulla vita delle persone.
Consapevole dell’impossibilità di rincorrere e normare ogni singola evoluzione tecnologica o riga di codice, l’Unione Europea ha rinunciato a costruire un sistema rigido basato solo su divieti statici, preferendo edificare un’architettura giuridica fondata sulla classificazione del rischio e sulla valutazione preventiva degli impatti.
La richiesta di documentazione tecnica, l’obbligo di garantire la sorveglianza umana, la gestione dei bias e la valutazione dei diritti fondamentali sono strumenti complementari orientati a un fine comune che è quello di impedire che si introduca un sistema di intelligenza artificiale all’interno di un’organizzazione o sul mercato, senza comprenderne prima le implicazioni sistemiche.
La riflessione deve precedere l’utilizzo e la progettazione deve governare
l’implementazione, saldando l’AI Act alla medesima filosofia che anima il GDPR e la NIS 2.
Il fil rouge fra normative applicate in contesti così eterogenei
Ci si potrebbe chiedere per quale motivo normative applicate in contesti così eterogenei finiscano per raccontare, con parole diverse, la stessa identica storia.
La risposta risiede nella complessità intrinseca delle organizzazioni contemporanee, dove le decisioni non rimangono mai confinate all’interno del perimetro aziendale, ma generano esternalità diffuse.
Un algoritmo difettoso può discriminare migliaia di candidati in un processo di selezione, una vulnerabilità informatica può paralizzare un ospedale o un’infrastruttura energetica, e una gestione opaca dei dati può ledere la dignità individuale su larga scala.
Dinanzi a una simile concentrazione di potere e di rischio, il diritto moderno non può limitarsi a imporre regole di condotta minute e dettagliate che diverrebbero obsolete nel giro di pochi mesi.
Ha bisogno, al contrario, di costringere le organizzazioni a sviluppare una propria autonoma capacità di valutazione e di governo, sostituendo in modo definitivo la cultura reattiva del “poi vediamo” con quella proattiva del “prima comprendiamo”.
Governance by Design come governo dell’innovazione
Se osserviamo GDPR, NIS 2 e AI Act nel loro insieme, ci accorgiamo che esse testimoniano una transizione epocale che ridefinisce il rapporto tra la conformità e le scelte strategiche d’impresa.
Per decenni, abbiamo vissuto la compliance come una funzione periferica e successiva, un controllore strabico che interveniva a cose fatte per verificare la correttezza di progetti già avviati o, peggio, per sanare violazioni già consumate.
Oggi, il legislatore europeo ribalta completamente questa prospettiva, esigendo che la conformità entri di diritto nella fase genetica in cui si concepiscono e strutturano le decisioni.
La compliance non deve più inseguire affannosamente i progetti aziendali, ma deve accompagnarne la nascita, offrendo il proprio contributo alla progettazione stessa dell’architettura di business.
È in questo preciso cambio di passo che risiede il significato autentico della governance by design, un concetto che si eleva a vero e proprio processo di governo dell’innovazione.
Il salto di maturità culturale
Studiare il GDPR, la NIS 2 e l’AI Act come compartimenti stagni significa perdere l’opportunità di cogliere la più importante evoluzione del diritto contemporaneo in materia di rischio e responsabilità.
Queste norme, lette in filigrana, chiedono alle organizzazioni di compiere il medesimo salto di maturità culturale: comprendere prima di decidere, valutare prima di agire e progettare prima di implementare, trasformando il dovere legale nel più potente strumento di sostenibilità e difesa del valore aziendale.
Nel prossimo e ultimo capitolo della pentalogia, lasceremo il terreno delle norme per entrare nella vita reale delle organizzazioni.
Vedremo come costruire concretamente una governance by design attraverso ruoli, responsabilità, flussi decisionali e meccanismi capaci di portare le domande giuste sul tavolo prima di prendere le decisioni.
Partecipa alla community