Una delle occasioni professionali che mi regala le maggiori soddisfazioni è vedere un sistema di gestione veramente integrato. Non solo tra norme volontarie, che oramai e per fortuna, sono scritte secondo una struttura comune proprio per facilitare queste attività, ma anche con le vigenti normative. Faccio un esempio: il nuovo regolamento per la privacy è scritto per calzare a pennello nella UNI CEI ISO / IEC 27001; la nuova ISO 37001 – Sistema di gestione anticorruzione – si incastona al millimetro nel D.lgs 231/01 sulla responsabilità amministrativa delle organizzazioni. E così via discorrendo.
Ben venga! Perché in un panorama di aziende secche di liquidità e risorse economiche in genere, l’opportunità di poter fare le cose una volta sola e farle fatte bene aiuta parecchio.
Eppure no. Alle aziende sembra non faccia tanto piacere l’omogeneità. Preferiscono piuttosto preservare tanti oggetti documentali e procedurali, ognuno ben contrassegnato con la propria etichetta. Ad esempio: quali sono quelle società che si sono azzardate a far confluire in un unico oggetto, codice etico, regolamento per la privacy e una guida alla sicurezza? Eppure sono tre elementi assolutamente complementari ed integrabili. Si completano, hanno moltissimi obiettivi in comune.
Niente da fare. Specie i legali sono i più animati garantisti di una separazione ben definita in ambito normativo. E l’obiezione sollevata è sempre la stessa: “impieghiamo troppo tempo a spiegare al giudice oppure al pubblico ministero come abbiamo architettato il sistema, rischiamo che non capisca o che si spazientisca”. Insomma, tutto il lavoro fatto, al momento buono potrebbe non servire a nulla, rappresentando un’arma a doppio taglio troppo pericolosa. Sarebbe effettivamente un disastro.
Ma più disastroso ancora, sulla base di questa considerazione, è il risultato dell’operato dei lavori del nostro Stato. Infatti risulta che, mentre il legislativo si adopera sempre più in ottica di integrazione e di standardizzazione, il giudiziario rema contro, sollevando mille contestazioni, spesso inutili. Ed è triste constatare che, all’atto pratico, per le società non ci sia modo di capire se il lavoro svolto è stato fatto in modo corretto oppure no e se possa risultare utile oppure pericoloso.
Infatti in fase di giudizio tutto il peso si sposta dalla normativa in sé all’interpretazione giurisprudenziale che si va consolidando via via in base alle sentenze emesse. E non mancano poi i colpi di scena, quando la Cassazione rilascia delle interpretazioni a sorpresa, sovvertendo l’ordine delle cose. Ed infine la situazione si aggrava ancor di più quando di mezzo ci sono questioni legate al mondo dell’informazione digitale. Situazioni nelle quali è più che evidente la difficoltà nello stabilire una collocazione geografica di responsabilità.
A questo punto, avendo delineato un panorama nel quale la parola incertezza suona quasi come un eufemismo, non ci sarebbe da stupirsi più di tanto se si sollevasse il ragionevole dubbio di integrare oppure no differenti sistemi. Il costo dell’investimento economico per farlo potrebbe persino risultare superiore rispetto all’impatto prodotto dall’applicazione di una sanzione o dalle conseguenze legali, in caso di sentenza sfavorevole.
Alla luce di queste considerazioni è difficile seguitare a proporre alle aziende un approccio integrato. Sarebbero giustificate se non ne volessero più sentir neanche parlare. Ma d’altro canto l’approccio integrato è l’unico vero modo per garantire un miglioramento continuo, efficace, dei sistemi adottati.
E’ con un po’ d’amaro in bocca che va fatta la scelta finale: restare a guardare con costanza quale sarà la scelta dei mercati e del Giudiziario, adattandosi come meglio si può alle caratteristiche del momento. L’importante è che non ne scaturisca una guerra distruttiva che porterebbe solo tanto sforzo senza risultati.