NEWS

Quando procedure e linee guida sono disallineate dalle prassi reali aumentano i rischi organizzativi e privacy

La sentenza n. 167 del 13 aprile 2026 del Tribunale di Udine – Sezione Lavoro, è intervenuta su una vicenda disciplinare relativa all’utilizzo di WhatsApp da parte di una lavoratrice per comunicare il protrarsi della propria assenza. La dipendente aveva inviato messaggi vocali e documentazione a un referente aziendale che aveva ricevuto le comunicazioni, interagito con lei e organizzato le sostituzioni operative. Solo successivamente l’azienda aveva contestato l’utilizzo del canale, richiamando procedure interne che prevedevano modalità differenti.

Il Tribunale ha tuttavia osservato come tali procedure, pur formalmente esistenti, non risultassero concretamente presidiate nella fisiologia organizzativa dell’ente, essendo risultate, nella prassi organizzativa, tollerate modalità comunicative differenti rispetto a quelle formalmente previste, senza che tali deviazioni fossero concretamente contrastate.

La decisione assume quindi rilievo non tanto per il mero utilizzo di WhatsApp, quanto perché consente di evidenziare un fenomeno sempre più frequente nelle organizzazioni contemporanee: il progressivo disallineamento tra procedure ufficiali, governance dichiarata e prassi operative reali.

Ciò può determinare una significativa vulnerabilità organizzativa quando l’ente perde la capacità di rappresentare, presidiare e controllare le modalità effettive attraverso cui dati, comunicazioni e decisioni vengono concretamente gestiti.

È in questa prospettiva, e non con riferimento diretto alla specifica vicenda giudiziaria, che assume rilievo anche per la protezione dei dati personali post-2018 la questione dei flussi informativi che iniziano a svilupparsi attraverso ecosistemi relazionali paralleli, tollerati ma non realmente governati.

Il GDPR ha progressivamente trasformato la protezione dei dati personali in una disciplina di governo dei processi informativi, come emerge dalla logica combinata degli artt. 5, 24, 25 e 32 del Regolamento UE.

Accountability, privacy by design e misure organizzative adeguate non richiedono soltanto procedure formalmente corrette, ma assetti concretamente capaci di governare i flussi informativi reali.

Il tema non riguarda soltanto informative, registri o adempimenti documentali. Riguarda, più profondamente, la capacità dell’organizzazione di mantenere conoscibilità, tracciabilità e governabilità dei trattamenti effettivamente svolti.

Il problema organizzativo emerge soprattutto quando la deviazione dalla procedura non è episodica, ma diventa prassi organizzativa tacitamente accettata. In tali situazioni, il rischio non consiste soltanto nella violazione della singola regola, ma nella progressiva perdita di corrispondenza tra modello organizzativo formale e funzionamento reale dell’ente.

In questo scenario si inserisce anche il fenomeno dello “shadow IT”. L’utilizzo di strumenti informali o sviluppati autonomamente dagli utenti aziendali, così come di canali comunicativi alternativi, non nasce spesso da una volontà elusiva, ma dalla necessità di mantenere rapidità decisionale e continuità operativa all’interno di processi che le architetture ufficiali non riescono più a sostenere efficacemente.

Per questa ragione, le funzioni di secondo livello — compliance, privacy office, Operational Risk Management e cybersecurity governance — non possono limitarsi a una verifica meramente documentale della conformità.

In tale contesto, con riguardo ai dati personali, il Responsabile della protezione dei dati, nell’ambito delle proprie funzioni di sorveglianza e consulenza previste dall’art. 39 GDPR, è una delle poche figure chiamate a osservare in maniera trasversale i trattamenti, i flussi informativi e la coerenza tra processi dichiarati e processi concretamente esercitati.

Proprio per questo, il Responsabile della Protezione dei Dati (Data Protection Officer) può trovarsi in una posizione privilegiata di osservazione dei disallineamenti organizzativi che coinvolgono dati personali: utilizzo di canali informali, strumenti non censiti, piattaforme esterne o flussi sviluppatisi al di fuori delle architetture formalmente previste.

Ciò non significa attribuire a questa figura responsabilità gestionali o funzioni di controllo operativo continuo, che restano in capo al management e alle funzioni di secondo livello. Tuttavia, il Data Protection Officer può svolgere una funzione importante di segnalazione, raccordo e lettura critica delle incoerenze tra governance dichiarata e trattamenti concretamente effettuati.

Sotto un profilo organizzativo, nei contesti più evoluti, un ruolo centrale compete alla funzione di Operational Risk Management che dovrebbe essere in grado di intercettare gli scostamenti tra processo rappresentato e processo concretamente esercitato, osservando canali paralleli, escalation informali, strumenti operativi non censiti, deviazioni sistematiche rispetto ai workflow formalizzati e incoerenze tra flussi dichiarati e modalità operative reali.

Il rischio operativo tende così a diventare il punto di convergenza tra rischio privacy, rischio cyber, rischio organizzativo e rischio reputazionale. In questo quadro, il ruolo del terzo livello assume particolare rilievo.

L’internal audit diventa allora centrale non perché “risolva” il problema, ma perché può produrre una lettura indipendente degli scostamenti tra modello formale e realtà operativa, verificando se il sistema dei controlli interni continui realmente a intercettare i processi sostanziali dell’organizzazione oppure se stia auditando soltanto una rappresentazione formale dell’ente.

Solo in presenza di una valida azione di controllo di secondo livello e di un effettivo coordinamento con le relative funzioni, l’internal audit può svolgere pienamente tale ruolo di garante dell’affidabilità del sistema di controllo interno e di governo dei rischi.

In questa prospettiva, il presidio e riallineamento continuo tra procedure formali e operatività reale richiede una mappatura effettiva dei flussi informativi e degli strumenti concretamente utilizzati, inclusi quelli emersi informalmente nella prassi operativa, insieme a un costante aggiornamento di procedure e workflow sulla base delle modalità reali con cui l’organizzazione opera.

In tale contesto, la data governance assume un ruolo centrale nel garantire conoscibilità, tracciabilità e presidio dei flussi informativi, favorendo il coordinamento tra management, funzioni di controllo, cybersecurity governance, Operational Risk Management, DPO e internal audit, anche al fine di intercettare tempestivamente canali paralleli, strumenti non censiti e deviazioni sistematiche rispetto ai processi formalizzati.

Forse la riflessione più significativa che emerge dalla sentenza del Tribunale di Udine riguarda proprio questo profilo: nelle organizzazioni contemporanee, le situazioni di maggiore vulnerabilità non sembrano manifestarsi soltanto quando una regola viene apertamente violata, ma anche quando procedure, prassi operative e modalità concrete di funzionamento iniziano progressivamente a non coincidere più, senza che l’organizzazione riesca pienamente a percepirlo o governarlo.

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Prev Andrea Quacivi nominato Direttore Generale dell'Agenzia per la Cybersicurezza Nazionale
Next Nel digitale la cybersecurity è diventata decisiva anche per guadagnare la fiducia dei clienti

Il Presidente di Federprivacy a Settegiorni su Rai Uno

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy