Pmi e compliance normativa nella società digitale: un rapporto complesso
Sono molti gli adempimenti normativi a cui le società (siano essere piccole, medie o grandi) sono tenute ad uniformarsi; trattasi peraltro di adempimenti previsti da normative sempre in continua evoluzione che necessitano, dunque, di un’attenzione costante.
(Nella foto: l'Avv. Micaela Barbotti, Founding Partner Albè & Associati, speaker al Privacy Day Forum 2025)
Per le PMI - che rappresentano oltre il 70% del tessuto imprenditoriale nazionale - l’essere “compliant” comporta uno sforzo davvero significativo, richiedendo risorse organizzative ed economiche di cui spesso non dispongono o che ritengono di dover dedicare principalmente, se non addirittura in via esclusiva, al core business aziendale.
Per alcune PMI, inoltre, taluni adempimenti anche se previsti dalla normativa cogente (privacy, whistleblowing, antiriciclaggio, sostenibilità ambientale, ecc.) vengono intesi unicamente come l’ennesima burocratizzazione e non, invece, anche come un’occasione di miglioramento organizzativo e di prevenzione dei rischi. Sotto l’aspetto della protezione dei dati personali sono numerosi i casi in cui, solo a seguito del verificarsi di un data breach, le PMI decidono di adeguarsi alle disposizioni del Regolamento UE 2016/679 (GDPR), anche affidandosi ad esperti in materia. Tamponare una situazione di emergenza non può, però, essere la giusta strada da percorrere.
Se è vero che vi sono numerosi fattori che ostacolano le PMI nel percorso di adeguamento (difficoltà di interpretazione della normativa spesso di derivazione comunitaria, mancanza di figure interne competenti, scarsa sensibilizzazione sul tema, ecc.) la sfida è quella del cambiamento organizzativo e della visione strategica, perché fondamentali nell’accrescimento della competitività.
Deve tenersi in debita considerazione che i dati trattati costituiscono un asset aziendale di primaria importanza che, in quanto tale, deve essere tutelato con i dovuti accorgimenti, rappresentando una risorsa competitiva e di immagine. Essere in grado di proteggere correttamente i dati diviene, quindi, sinonimo di affidabilità, fondamentale per accrescere l’attrattività sul mercato. Invece, il tema della sicurezza è spesso sottovalutato dalle PMI, ritenendo che le grandi imprese e le pubbliche amministrazioni siano obiettivi più appetibili. La realtà, però, dimostra l’esatto contrario.
Nella società digitale, sono proprio le PMI ad essere colpite da attacchi informatici, in quanto spesso sprovviste di misure di sicurezza adeguate ed efficaci e, dunque, più vulnerabili.
La semplificazione del Regolamento UE 2016/679 prospettata dalla Commissione Europea - che, come sottolineato da molti, non dovrà comportare una mera “standardizzazione” degli adempimenti a scapito del principio di accountability - potrebbe essere la giusta strada per motivare le PMI ad avviare un percorso di adeguamento in ottica di miglioramento organizzativo.
Si consideri, da ultimo, che le diverse normative sono sempre più connesse tra loro: Regolamento UE 2016/679, Decreto Whistleblowing e Direttiva NIS 2 ne sono un esempio. Una violazione di dati personali sarà, infatti, rilevante non solo ai fini privacy, ma anche sotto l’aspetto della responsabilità amministrava degli enti ex D. Lgs. 231/2001 e della cybersecurity. La Direttiva NIS 2, prescrivendo il rafforzamento delle infrastrutture critiche per favorire una risposta efficace alle nuove minacce cibernetiche, al contempo rafforza notevolmente la protezione dei trattamenti dei dati personali dettata dal Regolamento UE 2016/679, creando così una sinergia operativa tra queste due importanti normative di settore.
È quindi utile un approccio integrato, fondamentale per garantire l’implementazione di un sistema, nel suo complesso, davvero efficace e funzionale.
