Nel corso degli ultimi anni, il profilo del CFO si è sempre più evoluto, passando da un ruolo di natura puramente contabile e amministrativa ad un ruolo di coordinatore aziendale per il fatto che occupa una funzione centrale con una visione a 360 gradi delle attività, dei rischi e della strategia aziendali.
Il CFO è l’uomo di fiducia dell’imprenditore e riveste un ruolo sempre più importante volto a garantire la “compliance” della società alle diverse norme che ne disciplinano l’attività, come ad esempio la 262/05, la 81/08, la 231/01 e la legge sulla sostenibilità, senza dimenticare gli aspetti che regolano la Privacy, oggi disciplinati dal GDPR, il “Regolamento sulla Protezione e la Libera Circolazione dei Dati Personali” 2016/679 che armonizza a livello europeo gli obblighi in materia di gestione e protezione dei dati personali.
Anche se il GDPR è entrato in vigore ormai dal 2018, troppo spesso il CFO non è stato ancora sensibilizzato sugli aspetti della normativa nonostante tutte le società di diritto privato e gli enti pubblici italiani rientrino negli obblighi di conformità previsti dalla norma. Il GDPR impone alle aziende di porre adeguate misure di sicurezza per la tutela dei dati personali delle persone fisiche, quali a titolo esemplificativo:
- Dipendenti,
- Clienti,
- Potenziali clienti,
- Fornitori,
- Amministratori e soci,
- utenti internet, …
È oggi noto che le violazioni alle disposizioni del GDPR fanno rischiare alle società sanzioni amministrative pecuniarie anche molto significative, fino a 20 milioni di euro o il 4 % del fatturato annuo della società o gruppo societario. Per questo motivo, il CFO deve poter misurare e valutare il rischio che minaccia la sua società e le sue controllate, conoscere le eventuali violazioni in essere ed identificare le soluzioni di rimedio. L’azienda ha quindi la necessità di stabilire un budget di conformità e sicurezza per porre in essere le necessarie azioni di miglioramento volte ad evitare o limitare significativamente eventuali sanzioni che potrebbero avere degli impatti devastanti sia sulla reputazione aziendale che sui risultati economici.
La società è “Titolare del trattamento”
Come indicato sopra, il GDPR istituisce il ruolo di titolare del trattamento per tutte le società ed enti pubblici europei e questo senza limiti di dimensioni o di fatturato. Di fatto, il titolare del trattamento deve assolvere i numerosi obblighi e adempimenti richiesti dalla normativa ed implementare i processi aziendale afferenti il trattamento dei dati personali. Di seguito un esempio di azioni formali:
- la riunione del Consiglio di Amministrazione per deliberare sui seguenti temi:
- la designazione del delegato del titolare del trattamento, ossia la persona investita dei poteri di firma per le attività operative di conformità e di adeguamento al GDPR in azienda;
- la designazione del Data Protection Officer, c.d. DPO, che vigila sul rispetto della normativa (rimando per un approfondimento alla mia puntata precedente “Il DPO: fractional manager per eccellenza”).
- il registro dei trattamenti, ossia la mappatura delle attività aziendali che impiegano dati personali di persone fisiche e la relativa valutazione dei rischi con le misure di sicurezza associate alla mitigazione di tali rischi.
- la procedura di gestione delle violazioni di dati personali o incidenti di sicurezza,
- la procedura di gestione dei diritti per la tutela dei diritti e delle libertà delle persone fisiche,
- la formazione di tutti i dipendenti a contatto con i dati personali e strumenti informatici,
- la messa in conformità del sito internet dell’azienda,
- l’individuazione e la comunicazione alle persone fisiche dei seguenti elementi richiesti dalla legge:
- un punto di contatto, un indirizzo mail, per qualsiasi necessità di interazione sui propri dati personali;
- i dati di contatto del DPO;
- le modalità di reclamo con il Garante della Privacy;
Nelle PMI italiane, questo onere è preso in carico dal CFO che pianifica le azioni a tutela della società e dell’imprenditore. Nella prassi, l’implementazione avviene con il coinvolgimento di diversi dipartimenti aziendali, in particolare quelli dell’Information Technology e Human Resources, e con il supporto di una risorsa esterna specializzata in ambito.
In conclusione, il CFO ha un ruolo fondamentale nell’adeguamento al GDPR e nell’accountability che può implementare con il supporto di un “fractional manager” esperto per le seguenti attività:
- Disegno del processo di conformità,
- Valutazione dei rischi esistenti,
- Indicazione del processo di selezione di fornitori conformi al GDPR,
- Definizione di un piano di sicurezza e di formazione aziendale,
- Individuazione delle azioni di conformità.
Grazie al fractional management, le PMI possono organizzarsi come una grande impresa ed inserire profili altamente specializzati nel proprio organigramma per garantire l’adeguatezza alla regolamentazione sulla protezione dei dati personali, a supporto del CFO, che richiede lunghi percorsi formativi, esperienza, preparazione specifica ed un aggiornamento professionale continuo.
Il modello di fractional management vuole rappresentare una soluzione strategica per le imprese, anche per le attività di compliance. In conclusione “Il fractional manager” è di fatto una figura esterna, ma con un approccio operativo, che entra all’interno di un’azienda con un rapporto costi-tempo modulare, forte di una coerenza aziendale e una visione più ampia, quel manager è pronto a portare la sua esperienza a nuovi imprenditori.” Come lo ricorda Andrea Pietrini chairman di YOURgroup.
Vi do appuntamento alla prossima puntata per parlare dei 12 profili di conformità al GDPR.