Governance Risk e Compliance, mitigare il rischio sanzionatorio: conservazione AgID e GDPR

Nelle imprese italiane manca ancora la consapevolezza rispetto la conformità normativa sul trattamento e la tenuta delle informazioni raccolte, prodotte, gestite o variamente archiviate e alle opportunità offerte da un approccio corretto alla conservazione.

 

Nelle aziende c’è ancora molta incertezza in merito alle metodologie e agli strumenti da adottare per mitigare i rischi sanzionatori legati al non corretto trattamento dei documenti.

Tra linee guida AgID (che a dispetto del nome sono veri e propri obblighi di legge, anche per le imprese private) e prescrizioni del General Data Protection Regulation (GDPR), raggiungere la compliance oggi è molto complesso, specie quando non si conosce l’esatto confine tra la semplice archiviazione e la conservazione vera e propria.

 

I perimetri di rischio che ruotano attorno al documento informatico

Sono nella fattispecie due i perimetri di rischio in cui incorrono le imprese che non conoscono o che sottovalutano i requisiti necessari a garantire la piena applicazione del framework normativo”, spiega Luca Lonardi, G.R.C. Practice Directordi Maxwell Consulting, società di Archiva Group, specializzata nella progettazione e nell’implementazione di soluzioni di document management.

“Il primo è in ambito fiscale/tributaristico, ed è collegato a molte delle attività gestite dagli uffici amministrativi. Nonostante si tratti di un’area funzionale cara al CFO, e di solito affidata a persone ben consapevoli dell’importanza della conservazione (basti pensare al tema dell’opponibilità ai rilievi delle Autorità durante eventuali controlli) è tipicamente la prima a inciampare sulla compliance. I rischi maggiori, però, si riscontrano nei settori meno burocratizzati, specie se l’azienda non ha perfezionato i criteri per soddisfare i requisiti normativi che vigono per tutti i documenti informatici, e non solo per quelli che hanno carattere fiscale”.

Ma quali sono esattamente i documenti informatici che necessitano di una conservazione a norma?

Per Luciano Quartarone, CISO & Data Protection Director di Archiva, va messo nel novero qualsiasi documento prodotto attraverso strumenti elettronici che costituisca la rappresentazione di atti e fatti giuridicamente rilevanti.

“Se è facile comprendere che una fattura o un contratto allegati a una PEC rientrano in questa categoria, la conservazione di altre tipologie di documenti, magari ricevuti o inviati con posta ordinaria, è spesso disattesa. Basti pensare all’ufficio HR, dove si lavora ogni giorno con documenti informatici soggetti alle prescrizioni di legge che però vengono semplicemente archiviati”.

Lo scenario italiano, tra false convinzioni e inerzia culturale

Da qui si genera tutta una serie di rischi: al di là delle sanzioni che un’impresa può ricevere dalle Autorità competenti, la mancata conservazione dei documenti a norma di legge diminuisce l’efficacia probatoria di un documento in caso di controversie. E purtroppo, secondo Lonardi e Quartarone, la situazione delle PMI italiane, da questo punto di vista, non è molto incoraggiante.

“Di tutte le aziende clienti con cui negli ultimi anni ho avviato sessioni di risk assessment, posso dire che circa la metà non conservava nemmeno le PEC”, racconta Lonardi, che aggiunge: “E a proposito di posta certificata, non sono pochi quelli che credono che affidandosi a un provider di servizi PEC si possa demandare al gestore, nel servizio standard, la responsabilità di mantenere nel tempo le copie dei documenti e i log che testimoniano l’accettazione e la consegna dei messaggi. Si tratta di una convinzione sbagliata, in quanto dopo 30 mesi di solito questo tipo di garanzia scade, e il provider ha piena facoltà di liberare spazio di archiviazione eliminando i log”.

Nel descrivere il contesto italiano, Luciano Quartarone parla invece di una certa inerzia culturale e di un approccio alla conservazione documentale guidato essenzialmente dalla necessità di ottemperare agli obblighi di legge.

“Anche questo atteggiamento, per quanto possa sembrare corretto, aumenta l’esposizione al rischio, in quanto non prende in dovuta considerazione l’importanza della formazione del personale e dell’opportunità di prevedere specifici ruoli aziendali per migliorare i processi. Per esempio, il fatto che – a differenza di quanto accade nella pubblica amministrazione – la figura del responsabile della gestione documentale non sia obbligatoria nelle aziende private, non implica automaticamente che non debba essere prevista nell’organigramma. Si tratta di una professionalità che garantisce il corretto disegno dei flussi di dati e che lavorando affianco all’IT manager e al Data Protection Officer e in coordinamento con il Responsabile della Conservazione, può contribuire in modo significativo all’identificazione dei criteri con cui vanno formati e gestiti i documenti ai fini della conservazione, a partire dalla corretta scelta dei metadati di conservazione da associare a ciascuna tipologia documentale”.

I vantaggi offerti da un approccio corretto alla conservazione

La conservazione ha in effetti come scopo primario quello di tenere memoria dell’attività istituzionale di un’organizzazione. Ottimizzare le operazioni in questo senso non vuol dire solo semplificare il reperimento di evidenze e documenti del passato, ma anche armonizzare gli obblighi di conformità con le esigenze reali dell’impresa.

Il GDPR per esempio impone un vincolo di specificazione relativo all’inizio e alla fine delle attività di trattamento dei dati personali dei cittadini europei”, ricorda Lonardi.

“Il tempo di conservazione deve essere dunque commisurato alle finalità del trattamento, ed è evidente che il curriculum vitae di un candidato ha da questo punto di vista caratteristiche e requisiti del tutto differenti da una fattura o da un contratto. Un approccio strutturato al document management, o per meglio dire al Record Management, può aiutare a trovare il giusto bilanciamento tra esigenze di conservazione e obblighi imposti dal GDPR”.

Allo stesso modo, prevedere specifici set di metadati da applicare a ciascuno dei documenti generati o ricevuti permette di raggiungere diversi importati obiettivi operativi e normativi: la corretta classificazione e reperibilità dei documenti, l’ottimizzazione dei processi di selezione e scarto, l’interoperabilità con altri sistemi di gestione documentale o sistemi di conservazione.

“Se nella PA ogni documento è nativamente associato a un preciso protocollo, lo stesso non si può dire per l’impresa privata, i cui pacchetti informativi rischiano di non essere recepiti da soggetti terzi per problemi di compatibilità”, sostiene Quartarone.

Così Compet-e aiuta a ottimizzare la gestione documentale

Passare dalla teoria alla pratica vuol dire prima di ogni altra cosa accettare il fatto che in qualsiasi processo di trasformazione, da sempre, l’anello debole della catena è la persona.

Anche nel momento in cui si decide di potenziare la governance della conservazione, è necessario intervenire prima sulla popolazione aziendale per accrescere competenze e conoscenze.

Inutile dotarsi dell’ultima versione della soluzione più gettonata del mercato, se poi non si è in grado di calarla in un contesto culturalmente maturo e in una serie di processi strutturati”, avverte Quartarone.

La formazione è un elemento indispensabile per dominare questa materia specifica, ed è il motivo per cui Archiva, facendo leva sulle diverse anime che costituiscono il gruppo, ha dato vita a un’offerta integrata”, prosegue Lonardi.

Stai cercando un software che consenta di gestire gli adempimenti normativi di uno o più ambiti di competenza sopra descritti e non solo?

GRC CORA è una soluzione altamente personalizzabile e modulabile in base alle specifiche esigenze di ogni realtà.
Per consulenti, aziende di qualsiasi dimensione o settore, pubblica amministrazione.

In più noi di Compet-e abbiamo sviluppato diversi corsi di formazione che eroghiamo in aula o online, in base alle esigenze di ogni realtà, scoprili qui.

Se hai bisogno di informazioni, puoi scriverci un’email a questo indirizzo, risolveremo ogni tuo dubbio!

Condividi