Cyber-Governance e compliance nella supply-chain, il GDPR come best practice
La moderna “Data Governance” – in particolar modo alla luce di quel normale processo evolutivo di innovazione tecnologica, che ha portato a quella che comunemente viene definita “Artificial Intelligence” - non dovrebbe essere vista come un mero adempimento di compliance alle normative e regolamenti emanati negli ultimi 10 anni (a mero titolo esemplificativo e non esaustivo: GDPR, la NIS2, DORA, Data Act, etc.).

Il tutto dovrebbe essere letto ed interpretato nel contesto di quella UE Digital Agenda che vuole essere non una imposizione di obblighi, bensì un atto di responsabilità politica e di governo, che ha la finalità elevata di consentire di vedere - a tutti i livelli - la visione sui possibili scenari che si stanno venendo a creare, nella interazione tra assetti geopolitici, possibilità tecnologiche, interessi economici, e mutamento (anche culturale) delle diverse comunità sociali locali.
Sebbene non sia espressamente dichiarato, l’osservatore attento, può intravedere una corretta applicazione di quel “G-Local” di Baumann, che è chiave di lettura dei moderni fenomeni.
Invero il quadro legislativo degli ultimi anni, è caratterizzato da interventi regolatori basati sulla visione strategica multilivello: pone l’attenzione (nella logica dell’approccio basato sul rischio) sulla preventiva risposta ad ipotetici ed attesi (expected) eventi negativi: tematica complessa, di cui gli attori - pubblici e privati, ossia pubblica amministrazione, aziende e cittadini - sono de facto poco consapevoli.
Pertanto, il significato di fondo dell’azione dell’UE è di sensibilizzare e di rafforzare la consapevolezza (digital awareness), sui nuovi fenomeni tecnologici e geopolitici, al fine di poter prevenire ed evitare i potenziali effetti distorsivi, in specie di natura sistemica.
Anche per le precedenti considerazioni, dal punto di vista tecnico (e lessicale) si dovrebbe fare – più opportunamente - riferimento alla Digital Governance (secondo la definizione data dal legislatore Europeo), che ricomprende contestualmente dati e infrastruttura, ossia componente tangibile ed intangibile. Anche se in effetti, sarebbe anche possibile sostituire il primo termine con “cyber”, visto che si richiama e si conferma il riferimento ad una dimensione ibrida, senza alcuna soluzione di continuità.
Una chiosa - Quotidianamente, ciascuno di noi genera, elabora e processa una molteplicità di dati (personali e non; sintetici; impersonali; etc.) e metadati, senza soffermarsi su alcune considerazioni (apparentemente) “banali”.
Lo strumento utilizzato (device) su cui li “trattiamo” è uno solo; i processi di trattamento avvengono tanto “stand alone”, quanto su complesse supply chain (basti pensare ai cloud); ciascun device è ormai AI-based , al di la della effettiva consapevolezza del singolo interessato, utente, provider.
A fronte di un tale scenario senza compartimenti stagni, al contrario, le normative sono verticali su singoli aspetti.
Per cui, se da un lato aziendale è necessario adottare una visione/approccio olistico-complesso ; dall’altro, ben venga la scelta del legislatore UE di armonizzare le diverse norme.
Dal costo all’investimento - Purtroppo, si rileva come la declinazione della “compliance” si sia ridotta ad un inadeguato approccio (spesso) “formalistico” e non sostanziale: sovente demandato ad una serie di check list elaborate a fronte delle singole richieste normative, traducendo il tutto in un inutile e gravoso costo aziendale, senza alcun output funzionale e di interesse.
Al contrario, occorrerebbe adottare una visione gestionale (per l’appunto di Governance strategica) per cui si procede con un investimento per irrobustire la componente tecnologica (infrastruttura e software) a presidio nonché di cybersecurity dell’asset immateriale, oggigiorno, più significativo: il dato (personale e non).
È indiscutibile come il dato (nella sua accezione più ampia) abbia un valore intrinseco che, da un lato, può essere quantificato (a mero titolo esemplificativo, con una serie di accortezze e specifiche metodologie, impiegando lo IAS38); dall’altro, è possibile individuare la sua strumentalità strategico-organizzativo e d’uso dai quali possono derivare profitti (tanto nel breve che nel lungo termine), quanto vantaggi non immediati.
(Nella foto: il Prof. Manlio d'Agostino Panebianco, docente al Corso "Data governance e compliance nella supply chain")
La riservatezza lungo la supply-chain - In tal senso, la tutela della “riservatezza” e della “segretezza” nonché la capacità di “custodia” (proprio con l’accezione giuridica del termine) risultano essere gli elementi che caratterizzano le nuove policy, in una duplice prospettiva di gestione: “stand-alone” e inseriti in un contesto di “supply chain”.
Questa seconda, non è solo o tanto legata a specifiche richieste normative (ad esempio, AI-Act e Nis-2) ma, piuttosto, alla sempre più diffusa e progressiva adozione dei modelli di esternalizzazione (outsourcing) a matrice o a stella, in cui aumenta l’esposizione al rischio di perdita del controllo e/o di riduzione della qualità della cybersecurity lungo i diversi anelli della catena.
Una best practice, che può fungere da azione di eliminazione e/o mitigazione del rischio, è il GDPR quando in sede di individuazione di un potenziale Responsabile Esterno, richiede preventivamente di valutarne le «garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate» al trattamento dei dati.
L’insorgenza ed il governo di nuovi rischi - È opportuno notare come il focus non riguardi solo la componente tecnologica, bensì la continua e dinamica interazione tra “uomo e macchina” (sia permessa questa licenza).
Circostanza che, de facto, impone la rilevazione e la misurazione dell’esposizione (quantomeno) al rischio di infedeltà e/o di concorrenza sleale , che insorge già nel momento in cui si autorizza all’accesso ed al trattamento dei dati. È opportuno evidenziare che la tematica della lealtà e della fedeltà sono oggetto di puntuali attenzioni tanto nel Codice Civile, quanto in ambiti specifici (ad esempio, in quello bancario, nelle disposizioni di Vigilanza).
Un tale approccio convergente ed integrato (infra descritto), potrebbe risultare coerente ed adeguato, per la mitigazione degli impatti attesi.
La Cyber Governance: tra accountability e business continuity - Per cui, la Data Governance (alla luce del quadro regolamentare cogente e vigente) risulta essere assimilabile al contesto dei “business critics”, in una logica di business continuity: in tale prospettiva, acquisisce sempre maggiore importanza - quella che il legislatore italiano ed europeo definiscono – l’“autoresponsabilità” ovvero “Accountability Model” (per utilizzare un del mondo anglosassone), al fine di contrastare la “colpa da organizzazione” (anche richiamando il MOGC ex D.Lgs.231/01).





