Organizzarsi è prevenire
Spesso il tempo impiegato per organizzare bene un’attività è visto come una perdita in questioni burocratiche. Fino a che non succede qualcosa…
Non neghiamolo: compliance, gestione del rischio e attività di controllo interne sono tutte cose che alla maggior parte degli imprenditori suonano come inutili perdite di tempo che producono scartoffie e burocrazia che non porta nessun vantaggio e nessun beneficio produttivo.
Questa credenza popolare spesso porta gli stessi soggetti a ritenere i consulenti come me e i miei colleghi soltanto degli artisti del documento, il cui unico compito è scrivere qualcosa che è dovuto per legge, solo perché così, con quel manufatto, si sentono al sicuro da eventuali sanzioni… Come se fosse un oggetto magico, insomma.
Quello che – ahimè – non capiscono, è che non è la carta ad avere il potere, ma il suo contenuto.
Un contenuto che è frutto di esperienza e lavoro, e che per essere efficace (e solo in secondo luogo efficiente) ha bisogno che si investa adeguatamente del tempo per fare in modo che abbia effetti sull’organizzazione aziendale.
Voglio offrirvi un esempio e mi limiterò a citare i fatti e a fare alcune considerazioni.
Un soggetto A, tempo fa mi contattò per richiedere assistenza in tema di protezione dei dati. La sua attività prevedeva (e prevede tutt’ora) tra le altre cose la raccolta e l’elaborazione di determinati dati personali.
In un’ottica di gestione del rischio e di prevenzione di eventuali reclami, suggerii di adottare una procedura per l’eventuale restituzione dei dati agli interessati, in modo che si potesse essere ragionevolmente sicuri di consegnarli soltanto a loro o a persone autorizzate.
All’epoca, il soggetto A mi disse che non era il caso, perché avrebbe portato via parecchio tempo e non sarebbe stato agevole per i suoi clienti.
Capita così che alcuni giorni fa un soggetto ignoto si presenti al soggetto A, identificandosi come un congiunto di un suo cliente, e facendosi consegnare le copie dei documenti di quest’ultimo. Il cliente, scoperto l’accaduto, si è – giustamente – arrabbiato parecchio.
Quanto è successo non è molto chiaro, però si possono fare due considerazioni:
- C’è stata una sostituzione di persona, che ha indotto fraudolentemente il soggetto A ad agire come descritto.
- C’è stata una violazione dei dati personali del cliente.
Sulla base di questo, si può certamente affermare che:
- Se fosse stata adottata e applicata una procedura per la restituzione dei documenti, che prevedesse un’autorizzazione specifica e preventiva da parte dell’interessato o un altro sistema di delega da parte sua, questo tipo di violazione non si sarebbe verificato (o, almeno, non in questo modo).
- La mancanza della procedura è stata, di fatto, una inadeguatezza delle misure organizzative di sicurezza. Fortunatamente si può escludere un risvolto penale (mi riferisco all’art. 167 del Codice, visto che si tratta di comunicazione o diffusione) perché la violazione non è stata commessa a vantaggio o nell’interesse del soggetto A, che dal suo punto di vista è stato raggirato.
- Il soggetto A ha dovuto contattare il sottoscritto e altri specialisti per vedersi rassicurare e farsi consigliare al meglio su eventuali strategie difensive, preoccupato che potesse accadere qualcosa a livello legale.
Al di là di qualsiasi altra discussione, il messaggio che vorrei che passasse forte e chiaro è che i professionisti come me non servono a procurare alle imprese un prodotto cartaceo che serve (più o meno) in caso di emergenza. Il nostro scopo è consigliare la strategia migliore, considerato il contesto di riferimento, per applicare al meglio una disposizione di legge i cui effetti non sono discutibili, al contrario dei metodi per ottenerli.
Il metodo migliore è sempre lo stesso: organizzarsi.
Citando Machiavelli, il fine giustifica i mezzi. Ovviamente se non si investe sui mezzi (organizzazione adeguata), non ci si può aspettare di raggiungere il fine sperato (fare business in tranquillità).