Compliance integrata: privacy, ESG e Risk Management insieme per ridurre rischi e inefficienze in azienda
Nella nuova puntata di “A little privacy, please!“, il nostro format, condotto da Sergio Aracu e Laura Liguori, che racconta le questioni della Data Protection in chiave pop, sono intervenute due professioniste di Dedalus Group per raccontarci un progetto editoriale nato dal lavoro sul campo: Selina Zipponi, Data Protection Officer e ospite ricorrente del programma, e Valentina Paduano, Group Chief Risk, Compliance & Sustainability Officer e Chief Audit Executive.
Le due sono co-autrici di “Compliance Integrata. Privacy, whistleblowing, sostenibilità e governance“, pubblicato da Maggioli Editore nel 2025. Il volume offre un quadro sintetico ed esaustivo delle tematiche più importanti da tenere in considerazione nella definizione di un sistema di compliance integrato, in grado di coniugare in modo efficace esigenze di business, governance e compliance. Gli argomenti spaziano dalla responsabilità degli enti (ai sensi del d. lgs. 231/2001) alla disciplina della protezione dei dati personali, del whistleblowing e della sostenibilità.
Ascolta anche: Il trattamento dei dati tra necessità di trasparenza, intelligibilità e accessibilità
Il libro non è un’opera accademica, e le autrici lo rivendicano con chiarezza. È il distillato di anni di collaborazione quotidiana all’interno della stessa organizzazione, su progetti che quasi sempre richiedevano di mettere intorno allo stesso tavolo competenze diverse. “Dopo mesi e anni di lavoro insieme abbiamo deciso di mettere a disposizione di tutti quella che è la nostra esperienza pratica”, spiega Zipponi. Il risultato è un testo che, nei capitoli finali, scende nel dettaglio operativo: come si struttura un Compliance Risk Assessment con focus sulla privacy? Come si integrano i controlli nella valutazione della catena di fornitura? Come si gestisce il whistleblowing tenendo conto di tutti i profili normativi coinvolti?
Una delle riflessioni più interessanti dell’episodio riguarda proprio il significato profondo del termine compliance. Paduano lo smonta con precisione: ridurla a un esercizio di verifica del rispetto dei requisiti significa perderne il valore reale. “La compliance supporta il business nell’andare a rivedere un processo in un’ottica di miglioramento”, spiega. Il punto di partenza è sempre l’identificazione del rischio sottostante; non la norma in sé, ma l’obiettivo che quella norma persegue. Ed è proprio questo approccio risk-based a costituire il linguaggio comune che rende possibile l’integrazione tra funzioni aziendali diverse.
L’integrazione come risposta alla complessità
Il panorama normativo europeo degli ultimi anni ha moltiplicato le incombenze: GDPR, 231, normativa whistleblowing, CSRD, NIS2, AI Act. Ogni nuova norma porta con sé nuovi specialisti, nuove autorità, nuovi processi. Il rischio, avvertono le ospiti, è che la risposta automatica a questa complessità sia un’ulteriore verticalizzazione. Ma è una trappola.
“Di fronte a processi sempre più complessi – osserva Paduano – non serve solo mantenere la propria visione specialistica: serve una visione d’insieme“. L’analogia con la medicina è efficace: si può essere ottimi specialisti e tuttavia non riuscire a curare il paziente se non si sa cosa sta dicendo il collega di un’altra branca. Un Data Breach è l’esempio portato in puntata: in un solo evento convergono profili privacy, NIS2, 231 se si configura un reato informatico, e persino ESG perché impatta dipendenti e stakeholder. Ignorare uno solo di questi profili significa esporre l’azienda a rischi che si potevano prevedere.
C’è poi un elemento che le autrici sottolineano con insistenza e che non compare nei manuali: la dimensione umana.
La compliance integrata funziona se chi la pratica è disposto a rinunciare alla protezione del proprio perimetro, a esporsi, a imparare dal collega. “Bisogna avere un atteggiamento di curiosità verso gli altri adempimenti”, dice Zipponi. Paduano aggiunge che integrare richiede uno sforzo reale, perché implica sempre una messa in discussione dei propri obiettivi alla ricerca di un punto di caduta condiviso. Sul lungo periodo, però, il guadagno è netto: meno ridondanze, meno effort per le funzioni di business, un linguaggio comune con il management, e una compliance che da ostacolo percepito diventa vantaggio competitivo.
Ascolta anche: La legge italiana sull’intelligenza artificiale tra luci e ombre
