Impresa senza organizzazione? è vietato dalla legge e i dati personali ne fanno parte essenziale

• Il punto di vista
• Lunedì, 05 Maggio 2025 13:06

L’articolo 2086 del Codice Civile, nella sua nuova versione a seguito della riforma del Codice della crisi d’impresa, impone all’imprenditore l’obbligo di adottare un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa. È una norma essenziale che, pur non fornendo un elenco dettagliato di strumenti o adempimenti, impone una visione complessiva, quasi culturale, del modo di fare impresa.

(Nella foto: l'Avv. Gianni Dell'Aiuto, speaker al Privacy Day Forum 2025 nel panel dell'Accademia Italiana Privacy)

Non si tratta solo di tenere la contabilità in ordine, verificare i pagamenti o di predisporre qualche procedura, ma di strutturare l’intera organizzazione in modo coerente, razionale e funzionale alla sopravvivenza e alla competitività dell’impresa nel tempo.

L’articolo 2086 impone, in sostanza, di tenere sotto controllo tutte le dimensioni rilevanti dell’attività imprenditoriale: non solo l’amministrazione o la gestione ordinaria, ma anche l’innovazione, la competitività, l’evoluzione dei mercati, l’ingresso di nuovi player, le dinamiche della concorrenza, l’internazionalizzazione e l’adeguamento tecnologico. Fare impresa, nel senso del 2086, significa osservare il presente, anticipare il futuro e organizzarsi per affrontarlo. Significa comprendere che il rischio oggi non è solo quello classico d’impresa, ma è una dimensione a più livelli compreso quello digitale. È il rischio di restare indietro, di perdere dati, di subire attacchi, di non saper rispondere a una criticità improvvisa che porterebbe ricadute non solo sul piano economico e dell’organizzazione, ma anche su quello reputazionale.

In questo quadro, il tema della sicurezza informatica e della protezione dei dati personali non è affatto marginale. È anzi centrale. Il rischio cyber, negli anni recenti, si è trasformato in una delle principali minacce alla stabilità e alla continuità delle imprese, e non è più relegabile a un piano tecnico o informatico. L’imprenditore che vuole rispettare davvero il dettato dell’art. 2086 non può ignorare la dimensione digitale della propria attività, e deve considerare la sicurezza informatica parte integrante degli assetti richiesti.

E diventa sempre più difficile delegarlo in toto all’esterno: l’imprenditore deve avere la conoscenza e il controllo dei suoi sistemi e delle procedure che toccano i dati che, non dimentichiamolo, sono un valore inestimabile non solo perl’azienda.

Il GDPR, da parte sua, all’articolo 32, impone al titolare del trattamento di garantire la sicurezza dei dati personali attraverso misure tecniche e organizzative adeguate. Anche in questo caso, non si fa alcun elenco vincolante: l’adeguatezza va valutata alla luce del contesto, della natura del trattamento, dei rischi per i diritti e le libertà delle persone. Si tratta, ancora una volta, di un obbligo strutturale e strategico, non meramente documentale.

L’accostamento tra l’art. 2086 c.c. e il GDPR è quindi tutt’altro che forzato. Entrambi i testi normativi, pur operando su piani diversi, richiamano il principio dell’adeguatezza come fondamento della responsabilità. E questa responsabilità, per l’imprenditore, non si esaurisce nella scelta di un software o nell’installazione di un firewall. Si manifesta nella capacità di costruire un’organizzazione consapevole dei propri punti deboli, capace di reagire agli imprevisti, dotata di personale formato e sensibilizzato, supportata da procedure, controlli e documentazione coerenti.

Un attacco informatico, una violazione dei dati, una crisi di reputazione online, oggi possono avere un impatto devastante su qualunque struttura, a prescindere dalle dimensioni.

L’adeguatezza non si misura sulla grandezza dell’impresa, ma sulla sua consapevolezza. E l’imprenditore, chiamato a dimostrare di aver fatto tutto ciò che era ragionevolmente esigibile, non può affidarsi al caso o all’improvvisazione.

L’art. 2086 non detta cosa fare, ma impone di sapere come fare impresa. Questo significa che ogni scelta deve essere pensata, motivata, giustificabile, e che ogni rischio deve essere preso in considerazione. Compresi quelli digitali, che non sono più futuristici o ipotetici, ma reali, concreti e quotidiani. Fare impresa, oggi, significa anche sapere proteggere il proprio patrimonio informativo, prevenire le minacce, garantire la continuità operativa e la riservatezza dei dati.

Chi guida un’impresa deve farlo con piena consapevolezza delle sue responsabilità. L’art. 2086 è, in questo senso, un faro per l’organizzazione. Non una gabbia, ma una guida.

È una norma che non pretende conformismo, ma consapevolezza. E che chiede, silenziosamente ma con fermezza, un salto culturale: dall’improvvisazione alla prevenzione, dalla gestione all’organizzazione, dalla reazione alla progettazione.

In questo contesto, la figura di un legale assume un rilievo particolare. La cybersecurity non è più solo competenza dell’IT, ma un terreno condiviso, dove diritto, tecnologia e organizzazione si incontrano. Un avvocato d’impresa, oggi, deve conoscere i flussi dei dati, le vulnerabilità dei sistemi, le persone che li gestiscono e le logiche che li governano.

Deve sapere dove si annida il rischio, prima ancora che si manifesti. Non basta conoscere le norme, serve capirne lo spirito e applicarlo dove i manuali tacciono. Un buon legale non rincorre il danno, lo anticipa. Non corregge gli errori, li evita. E soprattutto non resta alla porta: entra, osserva, ascolta. Perché chi difende un’impresa, deve prima saperla capire.

L’art. 2086 CC è stato modificato per evitare la crisi d’impresa e il fallimento (oggi chiamato liquidazione giudiziale); un data breach può esserne, oggi, la causa scatenante.