NEWS

 

Le sfide della digitalizzazione: l’approccio multi-compliance come fattore strategico

La trasformazione del mercato digitale e tecnologico a cui abbiamo assistito negli ultimi anni ha spinto il legislatore europeo ad adottare interventi normativi tempestivi, per offrire strumenti efficaci per affrontare le sfide emergenti che le organizzazioni si sono trovate a fronteggiare in ambiti cruciali quali la cybersicurezza, la tutela dei dati personali e l’impiego dell’intelligenza artificiale.

(Nella foto: l'Avv. Valentina Frediani, Founder e CEO Colin & Partners, speaker al Privacy Day Forum 2025)

In tale fermento digitale, l’evoluzione normativa in ambito legal-tech ha imposto alle imprese una trasformazione sostanziale, richiedendo loro l’adozione di nuovi modelli gestionali fondati su un approccio integrato e, al contempo, su una profonda revisione delle procedure operative, capace di coniugare innovazione tecnologica, conformità regolamentare e gestione del rischio.

L’esigenza di introdurre un quadro regolatorio più rigoroso, determinata dalla crescita vertiginosa ed inarrestabile dell’impiego di dati, di tecnologie di intelligenza artificiale e di infrastrutture digitali ha trovato espressione nell’adozione delle quattro principali normative di riferimento ad oggi in vigore: il GDPR concepito per tutelare i diritti e le libertà fondamentali delle persone fisiche e garantire un trattamento lecito, corretto e trasparente dei dati personali; la NIS2 per la sicurezza informatica di enti, imprese ed infrastrutture critiche; l’AI ACT a sostegno di un uso sicuro, trasparente, etico e rispettoso dei diritti fondamentali dei sistemi di intelligenza artificiale e, infine, il D.Lgs. 231/2001, un provvedimento di grande rilevanza per la compliance delle organizzazioni la cui finalità è quella di prevenire reati informatici e aziendali.

Questa epocale evoluzione del quadro normativo europeo ha fatto emergere un concetto ormai imprescindibile: l’adeguamento ai diversi impianti normativi non può più essere affrontato attraverso interventi settoriali o disgiunti, ma richiede un approccio trasversale e integrato, nell’ottica di rispondere in maniera simultanea e coerente alle disposizioni previste da più discipline normative.

Valorizzare il dialogo e le connessioni tra i diversi ambiti regolatori sta alla base di una prospettiva multi compliance e permette da un lato di ottimizzare le risorse impiegate – sia in termini umani che di tempo ed investimenti – dall’altro di sviluppare un sistema di governance uniforme, coerente e sinergico, in grado di accrescere l’efficacia complessiva dei presidi aziendali.

L’allineamento tra le diverse normative non deve essere letto come un mero esercizio di conformità, ma rappresenta una sfida gestionale complessa che incoraggia il coordinamento di più funzioni aziendali. Le direzioni IT, legale, compliance e sicurezza informatica sono chiamate a cooperare in modo sinergico, integrando le rispettive competenze al fine di assicurare una tutela adeguata degli asset informativi e di contenere i rischi connessi a responsabilità legali, contenziosi, sanzioni pecuniarie e danni reputazionali.

Ecco allora che la definizione degli elementi a fattor comune delle diverse cornici giuridiche diventa il punto di partenza per razionalizzare i processi di implementazione. Limitandoci ad una sintesi esemplificativa risulta ben evidente - nel contesto della sicurezza informatica e della protezione dei dati personali - la marcata simmetria tra il Regolamento Generale sulla Protezione dei Dati (GDPR) e la Direttiva NIS2, entrambe orientate ad imporre l’adozione di misure tecniche e organizzative adeguate a garantire la sicurezza delle informazioni e la resilienza delle infrastrutture digitali critiche.

L’approccio risk-based previsto dalla NIS2 per le organizzazioni destinatarie ben si coniuga con le disposizioni del GDPR, favorendo la costruzione di un sistema integrato di gestione della sicurezza e della protezione dei dati, in linea con i requisiti previsti da entrambi gli ordinamenti.

Sul fronte dell’intelligenza artificiale applicata al trattamento dei dati personali, l’AI Act introduce da un lato obblighi specifici in materia di trasparenza, tracciabilità e governance dei dati, pienamente allineati ai principi fondamentali del GDPR, dall’altro - soprattutto per i sistemi classificati ad alto rischio - richiama direttamente i principi di accountability e sicurezza, ponendosi in continuità sia con la NIS2 che con il D.Lgs. 231/2001 in materia di responsabilità amministrativa dell’ente.

Accountability, privacy by design, adozione di misure tecniche e organizzative adeguate, approccio risk based, obbligo di notifica degli incidenti, importanza della formazione aziendale devono essere letti come principi strutturali condivisi tra le diverse architetture regolatorie, fondamentali per coltivare un terreno favorevole all’adozione di un approccio multi-compliance. In tale prospettiva questa convergenza normativa non è più meramente teorica, ma si traduce in opportunità operative concrete per le organizzazioni soggette a più di uno degli impianti normativi citati, coinvolgendo in maniera diretta sia gli aspetti di natura legale che quelli tecnici e tecnologici.

Note sull'Autore

Valentina Frediani Valentina Frediani

Avvocato esperto di privacy e diritto delle nuove tecnologie, Founder e CEO Colin & Partners -  Web: www.consulentelegaleinformatico.it

Articoli correlati

Prev Etica artificiale: chi decide cosa è giusto in un mondo governato da algoritmi
Next L'effetto "allucinazione" come violazione: verso una nuova forma di diffamazione automatizzata

Galleria Video

Siamo tutti spiati? il presidente di Federprivacy a Cremona 1 Tv

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza