Con un 2021 già in corso, abbiamo rivolto alcune domande all’Avvocato Vittorio Colomba, partner di SC Avvocati Associati, che si occupa – tra le altre cose – di compliance in collaborazione con SCnet Compliance&Corporate, in merito a come la situazione dello scorso anno abbia messo a dura prova le aziende nella gestione dei rischi, a cominciare dall’aggiornamento del piano di gestione delle crisi.

I piani di gestione delle crisi di molte aziende sono stati messi a dura prova durante quest’anno. Dal punto di vista della compliance cosa crede cambierà in modo significativo (dal punto di vista della governance ed operativo), a seguito dell’esperienza appena vissuta? A cosa le aziende dovranno porre maggiore attenzione?

In primo luogo, a dotarsi davvero di un piano di gestione della crisi, perché a cavallo tra febbraio e marzo 2020, nei giorni in cui Covid-19 ha cambiato il mondo, molte imprese si sono accorte che un piano non ce l’avevano, o che l’avevano relegato in un cassetto, senza mai averlo letto o testato.
Se c’è una lezione che dovremmo avere imparato dall’emergenza sanitaria è proprio l’importanza di un “piano B”, esigenza che la nostra cultura aziendale ha sempre colpevolmente sottovalutato. E invece deve, e sottolineo deve, essere elaborato più di un modello che permetta di conseguire il proprio obiettivo aziendale, in sicurezza e nel rispetto delle norme. Non farlo è semplicemente sinonimo di incoscienza.

A parte il rischio della pandemia, secondo lei, su quali maggiori rischi dovranno focalizzarsi le aziende nel prossimo futuro e quale potrà essere il contributo che la funzione di compliance dovrà fornire?

Dipende chiaramente dal loro core business. Ci sono imprese che funzionano solo se riescono a mantenere i propri dipendenti in opera presso le sedi aziendali, ed altre che hanno invece la possibilità di delocalizzare sensibilmente le attività lavorative. Le prime, a causa della pandemia, sono costrette esprimere sforzi extra-ordinari in punto di rispetto delle linee guida in materia di salute e sicurezza sui luoghi di lavoro. Le seconde, invece, hanno scoperto insieme allo smart working i rischi legati alla cybersecurity e alla gestione dei dati. Molte imprese appartenenti a quest’ultimo gruppo faranno buon uso di ciò che stanno ob torto collo imparando e decideranno di “normalizzare” questo nuovo modo di fare impresa, anche quando non vi saranno più costrette dal rischio pandemico. Per loro, quindi, sarà sempre più indispensabile acquisire una corretta cultura legata ai temi della sicurezza informatica e del trattamento dei dati personali.

La disponibilità e la qualità dei dati si è dimostrato un punto cruciale, soprattutto nei rapporti con i regolatori, che hanno spesso richiesto reporting aggiuntivi rispetto ai normali processi di invio di informazioni. A che punto crede che sia la normativa sugli aspetti relativi alla disponibilità ed alla qualità dei dati? Vede possibili revisioni regolamentari per il prossimo futuro?

Non credo che la pandemia abbia fatto emergere nuove “verità” sull’adeguatezza delle norme in materia di data protection. I punti di forza e di debolezza del GDPR e della nostra regolamentazione nazionale sono sempre gli stessi. Semmai, la continua crescita del patrimonio informativo di cui dispongono le aziende ha reso progressivamente più difficile strutturare un’organizzazione interna che consenta il rispetto di quei principi, senza che si verifichino pericolose e sanzionabili lacune.

Dal punto di vista aziendale, cosa crede vada ancora rafforzato dal punto di vista della governance dei dati?

I clienti che seguiamo, in SC Avvocati Associati e in SC Net, ci hanno insegnato che esistono due possibili approcci sbagliati ai dati personali: da un lato non afferrarne l’importanza, sottovalutare l’utilità di un adeguato sistema di tutela, e finire per esporre il proprio patrimonio informativo a rischi inutili, frutto di semplice incuria; oppure comprenderne fin troppo bene il valore e le potenzialità, al punto di spingersi in politiche di gestione spregiudicate e sorde ai precetti normativi. Va rafforzata, in punto di governance, la cultura del trattamento: per gestire correttamente i dati è indispensabile conoscerne il valore ed essere consapevoli di quanto sia importante preservarlo.

In termini di dispositivi ed azioni per la salute e sicurezza delle persone, quali sono secondo lei le evoluzioni più significative che sono state messe in campo dalle funzioni di conformità e nell’ambito dei modelli 231?

È stato compiuto un grande sforzo per adattare le procedure aziendali alle linee guida – non sempre chiarissime – diffuse in questi mesi in materia di salute e sicurezza sui luoghi di lavoro. Anche i modelli organizzativi 231 sono stati necessariamente implementati, con la previsione di procedure specifiche che affrontassero, da diverse prospettive, i rischi legati alla diffusione del Covid-19. L’efficacia delle misure messe in atto, e di quelle che ancora sarà necessario implementare, sarà testata non appena ci avvicineremo ad una nuova normalità e si faranno i conti con chi ha operato bene e con chi invece non vi è riuscito.

Come potrebbe evolvere il rapporto tra la Compliance e le altre funzioni di controllo, in termini di maggiori / diverse responsabilità? Ed in termini di condivisione di analisi ed approcci in termini di rischi e controlli?

La “condivisione”, che sia di analisi, piuttosto che di supporto o intervento, in realtà mi preoccupa un po’. Preferirei che il perimetro di competenza delle diverse funzioni di controllo fosse sempre ben delimitato. Tra Internal Audit, Compliance e Risk Management, Organismo di Vigilanza e – da ultimo – Data Protection Officer, non è sempre chiaro chi debba occuparsi di che cosa e se vi sia, tra le varie figure, un chiaro ordine gerarchico in termini di competenze e responsabilità. Si tratta di presìdi che, chiaramente, dovrebbero dialogare tra loro perché, in fin dei conti, incaricati di contribuire al raggiungimento del medesimo obiettivo: consentire all’impresa di operare in sicurezza e nel rispetto delle norme. Prima, tuttavia, di immaginare tra essi una virtuosa comunità d’azione, è senz’altro indispensabile separarne chiaramente gli ambiti operativi. Il rischio, se non si opera in questo modo, è che diversi ruoli si trovino impegnati – non di rado in conflitto tra loro – ad affrontare gli stessi problemi, oppure, forse ancor peggio, che intere attività aziendali non risultino presidiate da nessuno, a causa della convinzione dell’uno che il compito spetti all’altro.

Molto si è parlato in questi mesi di maggiore rischio di condotte illecite, utilizzo improprio di aiuti pubblici, collusione con la criminalità, occultamento di situazioni di dissesto dell’azienda …come potrebbero le strutture organizzative rafforzarsi per ridurre questi rischi? Sulla base della vostra esperienza, avete visto esempi significativi di risposta e reazione di qualche società in questo senso?

Le condotte che ha citato hanno tutte, tendenzialmente, natura dolosa e penale rilevanza. Nelle imprese di grandi dimensioni, l’insieme delle funzioni di controllo e delle procedure di autoregolamentazione interna hanno proprio l’obiettivo di ostacolare l’eventuale avvio (o la prosecuzione) di percorsi criminosi. Le realtà più piccole e meno strutturate hanno invece labili controlli interni, e ove nascesse – nel management o nella proprietà – l’impulso a delinquere, difficilmente qualcuno potrebbe intervenire con efficacia. Potrei citare solo esempi virtuosi, per la nostra esperienza professionale, di imprese che stanno cercando in ogni modo di reagire alle difficoltà economiche e ai problemi operativi che la pandemia gli ha, ingiustamente, scaraventato addosso. Capisce, però, che rivolgersi ai nostri servizi di consulenza ed assistenza è già di per sé il segnale di voler bene operare, seppure in difficoltà, e che non è ipotizzabile che imprese che intendano delinquere si affidino ad esperti di compliance.