Grande momento di confronto al Digeat Festival tra Luca Bolognini, Fulvio Sarzana, Sarah Ungaro, Irma Padrone e Dario Denni su GDPR, certificazioni, responsabilità e filiere. Ringraziamenti all’Avv. Andrea Lisi e agli organizzatori del Festival.
Compliance e Responsabilità nella Filiera IT: La Sfida tra Norme Complesse, Asimmetrie Globali e Costi per le PMI
Lecce, 28 Novembre 2025 – Il rapporto tra committente, titolare del trattamento dei dati, e fornitore IT è oggi un crocevia di sfide legali, economiche e operative. Al centro del dibattito vi è la necessità di garantire la fiducia nei servizi e nelle infrastrutture, un elemento fondamentale su cui poggia l’economia digitale. Le discussioni più recenti hanno messo in luce una profonda e strutturale non corrispondenza tra il “giuridico astratto formalizzato” e la realtà operativa, un divario che genera la maggior parte delle non conformità reali, anche in presenza di presupposti che formalmente possono apparire corretti.
La gestione della filiera della fiducia è complicata dall’impossibilità di ricostruire tutto ciò che accade “sotto” la superficie tecnologica, un problema endemico nei sistemi software complessi. Se da un lato si cerca di assicurare un certo grado di responsabilizzazione, dall’altro si scontrano le esigenze di compliance con i costi e la competitività del mercato, specialmente per le piccole e medie imprese.
Capitolo I: Il Divario Normativo e la Struttura della Filiera
1.1 Il Mismatch tra Diritto e Realtà Operativa
La problematica principale nella vigilanza sui fornitori risiede spesso nella non corrispondenza tra l’impianto normativo ideale e l’esecuzione pratica. Questa tensione tra l’astrazione formale e l’attuale situazione del trattamento dei dati è l’ambito dove si verificano le vere problematiche di non conformità.
Quando si affrontano temi complessi come la catena di fornitura IT (la “filiera della fiducia”), i soggetti coinvolti devono gestire una responsabilità che non è solo del titolare, ma che si propaga a tutti gli attori coinvolti. Diventa cruciale riuscire a dimostrare il rispetto delle norme lungo l’intera catena.
È fondamentale consolidare il principio di responsabilità anche quando la scelta del fornitore non è stata ottimale. Le difficoltà nascono anche dall’interfaccia con livelli di competenza molto diversi che rendono difficile trovare un punto di caduta delle aspettative.
1.2 L’Elefantiasi Normativa e i Costi della Compliance
Dopo aver impiegato vent’anni per far comprendere agli europei l’importanza dei propri dati, e gli ultimi dieci per farla capire alle aziende, siamo arrivati al 2025, anno in cui anche la Commissione Europea ha riconosciuto la necessità di procedere verso la standardizzazione e la semplificazione.
Tuttavia, il percorso intrapreso mostra una “delegificazione” non nuova, caratterizzata da troppe norme scritte male che evadono la conoscibilità e soprattutto l’esattezza. Il tentativo di semplificazione, definito “proposta omnibus”, si è tradotto in una mole documentale spropositata: 200 pagine di proposta, 200 pagine di working documents, 150 pagine di clausole standard per i contratti cloud e 100 pagine di data strategy. Questa “dimensione dell’errore” solleva dubbi su chi effettivamente ne tragga beneficio, dato che riconoscere, studiare e implementare questa massa di norme è estremamente costoso.
La Commissione Europea ha riconosciuto per iscritto che i costi associati alla compliance sono effettivamente molto gravosi, specialmente per le piccole e medie imprese (PMI). Contrariamente alla retorica che dipinge la sostenibilità normativa come un investimento, per qualunque impresa essa rappresenta un costo significativo che incide sul fatturato e sul rischio d’impresa. Nelle PMI, in particolare, l’impegno richiesto rischia di bloccare l’operatività aziendale, tagliandole fuori dal mercato se procedure complesse come certificazioni e audit distolgono risorse essenziali.
Capitolo II: Certificazioni, Affidabilità e Limiti
2.1 L’Utilità delle Certificazioni nella Filiera
Di fronte alla complessità della vigilanza, le certificazioni sono utili ma a volte non sufficienti per assicurare l’affidabilità. Hanno l’obiettivo di vincolare i fornitori a una serie di misure e standard che sono spesso meglio specificati rispetto alla lettera generale della legge. Tali standard dovrebbero facilitare l’azione di vigilanza da parte del titolare del trattamento, specialmente attraverso l’attuazione di audit preliminari o periodici.
Per i fornitori, in particolare le PMI che sono sommerse da richieste di due diligence, le certificazioni offrono un modo per semplificare la risposta. Possono fornire rapidamente un dato per dimostrare di possedere gli standard richiesti, riducendo il tempo e le risorse che altrimenti consumerebbero in lunghe fasi di risposta.
Nonostante i benefici, le certificazioni non devono far perdere di vista la realtà operativa, dove può esserci una non corrispondenza tra il giuridico astratto e l’attuale. C’è il rischio di una conformità solo apparente. Le certificazioni sono considerate un buon passo verso la standardizzazione e dimostrano l’impegno dell’impresa, ma il loro valore finale è ancora oggetto di dibattito.
Un punto critico è che, ad oggi, non è stata ancora trovata una valutazione ufficiale per le certificazioni nell’ambito del GDPR. Sono un buon inizio, ma i costi che comportano per le piccole imprese sollevano interrogativi sul loro effettivo impatto rispetto al risultato ottenuto.
Capitolo III: L’Asimmetria del Potere e la Legal Engineering
3.1 I Giganti Globali e la “Super Compliance”
Quando ci si confronta con provider IT di natura globale, come i fornitori di GPT, la struttura del mercato crea una profonda asimmetria. Un fornitore globale possiede una capacità economica e di reazione alle modifiche normative che è superiore probabilmente persino a quella degli enti di controllo.
Questi operatori possono trovarsi in un contesto di “super compliance” (un termine coniato per descrivere la loro capacità). Spesso, i grandi operatori globali tendono prima a ostacolare le norme dove arrivano le regole, salvo poi cercare di aderirvi per trasformare la compliance in un vantaggio competitivo.
Questa dinamica è amplificata dalla legal engineering, ovvero la capacità dei grandi operatori, attraverso la loro interpretazione, di orientare il dibattito normativo. Si pensi alla questione del data scraping, dei metadati o del pay content consent. La complessità generata da questi temi rende difficile la comprensione e l’attuazione delle norme. Si consideri che aziende globali vantano circa 1500 avvocati ciascuna, a fronte di un Garante per la privacy con risorse molto limitate.
3.2 La Deterrenza e il Principio di Uguaglianza
L’asimmetria si riflette anche nell’applicazione della legge. Il nostro ordinamento si basa sul principio di uguaglianza. Tuttavia, nel momento in cui un Garante nazionale si confronta con operatori globali che operano in un perimetro fiscale difficile da raggiungere e temono meno le sanzioni, si crea una disparità con i soggetti “super obbligati”.
Il GDPR è stato assistito da una sanzione deterrente potentissima, che inizialmente incuteva timore. Tuttavia, il dibattito odierno evidenzia un potenziale indebolimento del sistema non solo interpretativo, ma che attacca i principi a monte, ad esempio modificando la definizione di dati personali.
La visione americana, talvolta paragonata al pragmatismo dei Visigoti che vedevano le complesse leggi romane come un ostacolo, percepisce le normative europee (complesse e lunghe) come fortemente anticompetitive contro le aziende europee. Questo approccio lascia liberi gli attori globali che non pagano sanzioni. L’indebolimento del sistema normativo europeo, unito alla difficoltà di imporre sanzioni su operatori con perimetri fiscali difficilmente raggiungibili, mina l’efficacia del meccanismo di deterrenza.
Capitolo IV: Verso la Cooperazione e la Valorizzazione dei Dati
4.1 La Responsabilità nella Filiera e il Legame NIS 2 – GDPR
La questione della responsabilità è oggi percepita in termini di filiera. È stata riconosciuta una relazione molto profonda tra l’impianto del GDPR e la direttiva NIS 2, un collegamento che inizialmente veniva spesso negato. Questo allineamento implica che la responsabilità deve essere valutata in modo olistico, ma poi calata nella specificità di ciascun fornitore.
L’attuale momento segna la fine dell’era del contrasto; è necessario passare alla cooperazione. Questo è essenziale per assicurare un certo grado di responsabilizzazione e per tenere conto della struttura del mercato.
4.2 L’Era della Valorizzazione e la Trasparenza Contrattuale
È iniziata l’era della valorizzazione dei dati. Ciò richiede di negoziare e di descrivere chiaramente i contratti. La sfida è trovare soluzioni che consentano di bilanciare le norme, gli impegni di responsabilità e la competitività.
Concetti espressi in normative stratificate riflettono la necessità di una cultura giuridica che sappia gestire questa complessità. È necessario definire chiaramente la trasmissione della responsabilità lungo la catena di fornitura, un’identificazione che non è semplice. La chiave è l’impegno di responsabilità, la competitività e l’idea che l’investimento normativo sia effettivamente calato su una realtà pratica di soggetti economici che subiscono gli effetti della regolamentazione. Non si tratta più di sola esplorazione e contrasto, ma di cooperare e descrivere il contratto in modo dettagliato.
In conclusione, mentre si assiste a una complessa elefantiasi normativa che grava sproporzionatamente sulle PMI, la risposta del mercato e dei regolatori deve orientarsi verso strumenti di cooperazione che garantiscano l’affidabilità senza soffocare l’innovazione. È fondamentale che le autorità dei dati tengano conto delle particolarità e della realtà economica degli operatori.