Analisi

Data management e data protection: differenze e affinità

Le due discipline hanno numerosi punti in comune, a partire dai dati aziendali che devono essere analizzati per orientare le decisioni dell’imprenditore, e allo stesso tempo tutelati e protetti.

12 Apr 2022

Andrea Cecchetti

Dottore commercialista Repubblica di San Marino, partecipante Corso Alta Formazione “Data Management e consulenza d’impresa” di SAF Emilia Romagna

I dati sono una delle principali risorse a disposizione di un’azienda e rappresentano il patrimonio informativo aziendale, ma, nonostante ciò, non sempre vengono valutati e gestiti in modo efficiente.

Da un lato vi sono i dati aziendali di natura economico-finanziaria che devono essere elaborati nell’ambito di un adeguato controllo di gestione, ad oggi necessario anche nelle pmi, e dall’altro vi sono i dati personali e le informazioni riservate da tutelare a norma di legge e da proteggere dai frequenti attacchi informatici.

Le due discipline hanno numerosi punti in comune, a partire dai dati aziendali che, anche se classificati in categorie distinte, rappresentano un valore aziendale e per tale motivo devono essere analizzati per orientare le decisioni dell’imprenditore e allo stesso tempo tutelati e protetti.

I dati aziendali

Ogni azienda gestisce e amministra un insieme di dati e informazioni che consentono di svolgere quotidianamente ogni attività aziendale.

Un dato è un insieme di elementi (numeri, parole, lingue e formati diversi) che individua un determinato fenomeno interno o esterno all’azienda.

WHITEPAPER
Big Data Analytics: dai browser ai social. Come analizzare la quantità crescente di dati?

I dati in azienda possono essere suddivisi in linea teorica in due grandi categorie:

  • dati personali, definiti dall’articolo 4 del Regolamento Europeo 679/2016 come qualsiasi informazione riguardante una persona fisica identificata o identificabile in modo diretto oppure indirettamente. Esemplificando, sono i dati identificativi e di contatto del personale dipendente, dei clienti aziendali, dei loro referenti nonché dei partner e fornitori aziendali. In azienda sono anche raccolti dati personali cd. particolari (ex. sensibili) quelli relativi allo stato di salute con riferimento ai dipendenti.
  • dati diversi dai personali, ovvero i dati economico-finanziari, i dati di natura contabile ed extra-contabile che sono oggetto di analisi, riclassificazione e rappresentazione per consentire all’imprenditore di prendere decisioni strategiche in modo consapevole.

Ogni azienda, anche la più piccola, è dotata di un sistema informativo, ovvero dell’insieme coordinato di persone, procedure e mezzi tecnici (hardware e software) che consente di elaborare e condividere le informazioni e i dati all’interno e all’esterno dell’azienda.

Assunto che ogni azienda ha al suo interno un insieme di dati ed informazioni, risulta necessario dotarsi di procedure che siano in grado di gestire questo patrimonio informativo in modo ottimale a seconda delle finalità di raccolta dei dati:

– i dati personali sono raccolti per numerose finalità contrattuali e legali e devono essere trattati nel rispetto dei principi e delle regole indicate nel Regolamento Europeo 679/2016 tutelando tutti gli interessati coinvolti in termini di diritti a loro riconosciuti.

– i dati diversi dai personali devono essere gestiti nell’attività di controllo di gestione, con l’obiettivo di ordinare e sintetizzare dati per renderli comprensibili all’imprenditore e alle figure aziendali che sono tenute quotidianamente a prendere decisioni e a raggiungere determinati obiettivi.

Da dove si inizia? Dalla mappatura dei processi aziendali, attività propedeutica e comune in entrambe le discipline accennate.

Mappatura dei processi aziendali

L’European Association of Business Process Management definisce un processo, quale una serie di attività predefinite, che possono essere realizzate da persone o macchine, per il raggiungimento di un obiettivo, partendo da specifici eventi (input) e terminando con specifici risultati (output).

Data la premessa metodologica, è chiaro che ogni processo aziendale genera dati che debitamente organizzati forniscono informazioni. Analizzando i processi quindi si è in grado di conoscere l’azienda in termini organizzativi e di sapere in che modo sono scambiati internamente ed esternamente i dati aziendali, mappandone il flusso. Nelle Pmi si inizia questa attività focalizzandosi sui reparti aziendali individuati nell’organigramma.

La mappatura dei processi non è un’attività semplice e molto spesso si cade nell’errore di volere rappresentare qualsiasi processo in modo troppo dettagliato con il risultato di creare confusione. Non è questo l’obiettivo; il fine è quello di rappresentare in modo semplice, chiaro e intellegibile (anche con l’ausilio di flowcharts e grafici) i processi aziendali che sono necessari a svolgere le attività di adeguamento privacy e di controllo di gestione. Non è necessario quindi mappare ogni processo subito, ma è importante partire con gradualità e soprattutto focalizzarsi sugli obiettivi finali e sulle esigenze di ciascuna impresa.

Quali sono i processi da analizzare?

  • nell’ambito dell’attività di adeguamento privacy, ogni processo che coinvolge dati personali quali, a titolo esemplificativo e non esaustivo, la gestione del personale dipendente, le attività di natura commerciale e marketing nei confronti della clientela, la gestione dei rapporti con i fornitori.
  • in merito al controllo di gestione, i processi che attengono alla direzione aziendale quali la scelta degli obiettivi aziendali, il processo di gestione amministrativa, contabile e finanziaria, il processo di fatturazione, produzione e gestione delle commesse.

In entrambi i casi è necessario analizzare nel dettaglio il sistema informativo aziendale e in particolare la struttura hardware e software aziendale ovvero il cuore dei dati aziendali da gestire e proteggere.

La conoscenza del sistema informativo aziendale nonché dei presidi tecnici a protezione dello stesso rappresentano la base per un’altra attività comune alle due discipline ovvero quella del risk assessment.

Analisi del rischio

La norma UNI-ISO 31000 definisce il concetto di rischio come l’effetto dell’incertezza in relazione agli obiettivi. L’analisi del rischio è l’insieme di attività necessarie a guidare e tenere sotto controllo un’organizzazione con riferimento al rischio a cui è esposta.

Attualmente i rischi maggiori che gravano su un’azienda, e in particolare sul patrimonio informativo aziendale, rientrano nella categoria degli incidenti informatici (cd. data breach, quando coinvolgono dati personali), sempre più diffusi e purtroppo ancora troppo sottovalutati nelle Pmi italiane.

L’analisi del rischio è un’attività obbligatoria per quanto riguarda i dati personali. Ai sensi del Regolamento Europeo 679/2016, i dati personali devono essere trattati in modo da garantirne un’adeguata sicurezza, in termini di protezione, da minacce esterne che possano provocarne la perdita di riservatezza, integrità e disponibilità. L’azienda deve dotarsi quindi di misure tecniche e organizzative “adeguate”.

Ma quali sono tali misure e soprattutto quando si considerano adeguate?

Viene in soccorso l’analisi del rischio. Senza una puntuale e preliminare attività di analisi del rischio non è possibile individuare quali misure tecniche e organizzative sono da implementare per fronteggiare i rischi, perché non si conoscono quelle già adottate.

Proteggendo i dati personali da minacce esterne si tutelano anche i dati economico-finanziari e le informazioni riservate che sono trattate in azienda. Per tale motivo l’analisi del rischio è un’attività trasversale applicabile a tutto il patrimonio informativo aziendale.

Data management e data protection a confronto

Da un lato abbiamo l’attività di messa in sicurezza e adeguamento del complesso dei dati personali trattati dall’azienda, obbligatoria ai sensi del Regolamento Europeo 679/2016, e dall’altro troviamo il percorso che porta a un modello di controllo di gestione aziendale anch’esso necessario e obbligatorio per le pmi italiane con l’introduzione del nuovo Codice delle crisi d’impresa (D. Lgs. 12.01.2019, n. 14).

In particolare, per garantire la necessaria attenzione al tema della continuità aziendale, il suddetto Codice espressamente obbliga l’imprenditore che opera in forma societaria o collettiva (art. 375, c. 2, che modifica l’art. 2086 C.C.) a dotarsi di un adeguato assetto organizzativo, amministrativo e contabile finalizzato, anche, alla rilevazione tempestiva della crisi dell’impresa e perdita della continuità aziendale. L’art. 2086 C.C. prevede che l’assetto organizzativo, amministrativo e contabile sia adeguato alla natura e alle dimensioni dell’impresa, ma non dispone alcuna esclusione dall’obbligo nemmeno per le microimprese.

Come descritto nei precedenti paragrafi, le fasi trasversali e in comune alle due discipline si riferiscono alla mappatura dei processi aziendali e all’attività di analisi del rischio, due attività necessarie a conoscere nel dettaglio l’azienda in termini organizzativi e di sicurezza informatica.

L’adeguamento privacy comporta la redazione di un modello organizzativo ovvero un documento sinottico che evidenzia in modo strutturato l’organizzazione aziendale volta ad assicurare l’osservanza delle disposizioni di legge e l’insieme di modulistica, contrattualistica e procedure adottate.

Il controllo di gestione, seppure in un ambito completamente diverso, deve anch’esso definire un metodo, ovvero un insieme di processi che aiutano l’imprenditore nelle decisioni aziendali, processi che registrano e interpretano dati aziendali sotto forma di numeri che l’azienda genera quotidianamente.

Conclusioni

Entrambi i percorsi terminano con la fase di miglioramento continuo, ben descritto dal ciclo di Deming, ovvero un metodo usato per controllare e migliorare la qualità dei processi aziendali. L’obiettivo dell’approccio è di applicare il metodo “Plan – Do – Check – Act” ai processi aziendali, compreso quello di compliance alle normative in materia di trattamento dei dati personali e del controllo di gestione. L’input dell’approccio sono i documenti e le risultanze prodotte in fase di adeguamento e in fase di analisi. L’output è identificato nelle misure aziendali volte a migliorare e implementare da una parte il processo di compliance “privacy” e dall’altra il processo di monitoraggio delle performance aziendali.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy
@RIPRODUZIONE RISERVATA
C
Andrea Cecchetti
Dottore commercialista Repubblica di San Marino, partecipante Corso Alta Formazione “Data Management e consulenza d’impresa” di SAF Emilia Romagna

Articolo 1 di 4