1. Negli ultimi anni, il quadro normativo europeo in materia di dati, tecnologia e governance azienda le ha subito un’accelerazione senza precedenti. Le imprese si trovano oggi a navigare un ecosistema complesso, in cui la disciplina dei dati personali, la sicurezza informatica, l’intelligenza artificiale e la responsabilità organizzativa si intrecciano profondamente. Non si tratta di compartimenti stagni: la compliance evolve verso una visione integrata, dinamica e strategica.
2.La recente proposta di riforma del GDPR, pubblicata a maggio 2025, rappresenta una tappa fondamentale di questo percorso. Ma per comprenderne appieno l’impatto, è necessario collocarla all’interno di un mosaico più ampio, fatto di direttive come la NIS2, regolamenti come l’AI Act e di strumentio rganizzativi come i Modelli 231.
3. In questa newsletter, quindi, analizzeremo tali inter connessioni, evidenziando implicazioni operativee opportunità per le imprese che vogliono affrontare la trasformazione normativa con consapevolezza e metodo.
A. La Riforma Del GDPR: Un Nuovo Quadro Per La Privacy Europea
3. Il 21 maggio 2025 la Commissione Europea ha pubblicato una proposta di revisione del Regolamento (UE) 2016/679 (c.d. “GDPR”), con l’obiettivo di rendere più efficace ecoerente l’applicazione della normativa privacy nell’intero spazio economico europeo. Dopo oltre sei anni di piena operatività del GDPR, l’esigenza diaggiornarne alcuni aspetti è divenuta sempre più urgente, anche alla luce dellenuove sfide normative e tecnologiche.
4. Le modifiche proposte intervengono su tre assi fondamentali: (i) rafforzare la chiarezza operativa per titolari e responsabili del trattamento, (ii) semplificare gli adempimentiper le PMI e (iii) garantire maggiore armonizzazione tra le autorità garantinazionali. L’intento è quello di creare un contesto normativo più prevedibile per le imprese e, al contempo, rafforzare la fiducia dei cittadini nel trattamento dei propri dati.
5. In particolare, la proposta introduce:
- una maggiore specificazione dei ruoli e delle responsabilità tra titolare e responsabile del trattamento;
- strumentioperativi per favorire la cooperazione tra le autorità di controllo e l’EuropeanData Protection Board;
- meccanismipiù semplici per la rendicontazione degli obblighi privacy da parte delle microe piccole imprese.
6. La riforma, in fase diconsultazione, ha già avviato un intenso dialogo tra istituzioni, Autorità garanti e stakeholders, e si prevede che possa costituire la chiave di volta per una modernizzazione dell’intero assetto europeo in materia di protezione dei dati.
B. Compliance Integrata: Gdpr, Nis2, AI Act e Nuove Regole Digitali
7. L’iniziativa della Commissione si inserisce in un contesto regolatorio sempre più articolato, segnato dalla proliferazione di normative settoriali che incidono in profondità sulla gestione dei dati e sull’organizzazione aziendale. Accanto al GDPR, infatti, trovano ormai parallela applicazione anche strumenti come:
- la Direttiva NIS2, che amplia i requisiti di sicurezza informatica per unavasta platea di soggetti pubblici e privati;
- il Regolamento AI Act, che introduce obblighi specifici per l’utilizzo di sistemi di intelligenza artificiale ad alto rischio e modelli di intelligenza artificiale per finalità generali, con prevalenza, in via di principio, sulla disciplina del corretto trattamento dei dati personali;
- i Regolamenti DSA e DMA, che ridisegnano il regime giuridico delle piattaforme online e dei servizi digitali;
- la proposta di Regolamento e Privacy, attualmente in discussione, che promette di rinnovare profondamente le regole in materia di comunicazioni elettroniche.
8. Il principio cardine è quello della convergenza normativa: la UE mira a creare un ecosistema regolatorio coerente,in cui sicurezza, privacy, etica digitale e accountability si rafforzano e sostengono reciprocamente. Per le imprese, questo implica la necessità di un approccio trasversale alla compliance, capace di cogliere i punti di contatto tra norme solo apparentemente differenti ma tra loro complementari.
C. Modelli 231 E Governance Digitale: Un’Alleanza Strategica
9. In uno scenario di sistematicità, quindi, assume sempre maggiore rilevanza il ruolo dei Modelli diorganizzazione, gestione e controllo previsti dal D.Lgs. 231/2001 (“Modelli231”). La prevenzione dei reati informatici, delle violazioni in materia ditrattamento dati, e l’adozione di misure di controllo sui partner e sullacatena di fornitura, infatti, costituiscono ambiti fondamentali di integrazione all’interno dei Modelli 231.
10. Il mancato adeguamento alle norme su privacy e sicurezza può oggi determinare responsabilità amministrativa dell’ente, soprattutto alla luce dell’estensione dei reati presupposto (es.trattamento illecito di dati, frodi informatiche, accessi abusivi a sistemi terzi) e della sempre maggiore attenzione da parte della magistratura.
11. I Modelli 231 odierni, sonoevoluti ed incorporano procedure di valutazione del rischio cyber, presidi perla gestione delle tecnologie AI, protocolli di monitoraggio dei fornitori edelle terze parti digitali, e soprattutto un’integrazione operativa tra gliorgani chiamati a monitorarne la corretta implementazione, quali il DPO,l’Organismo di Vigilanza, il CISO e il Legal & Compliance Officer.
12. Va quindi adottato un Modello231 dinamico, interconnesso con i piani di gestione dei rischi aziendali e adattabileai mutamenti del contesto tecnologico e normativo.
D. Best Practices e Prospettive Future
13. In questo contesto enell’ambito di un ormai evidente cambio di prospettiva tra le imprese, stanno emergendo alcune buone pratiche in termini di approccio integrato alla compliance,quali a titolo esemplificativo:
- predisposizionedi un framework documentale unico, capace di unire obblighi privacy,cybersecurity, AI e 231;
- definizionedi piani di audit congiunti, orientati a valutare l’efficacia complessiva delsistema di controllo interno;
- istituzionedi comitati interfunzionali di governance dei rischi digitali;
- mappatura e monitoraggio continuo dei fornitori e dei data processor, anche mediante strumenti tecnologici avanzati (es. smart audit, check reputazionali, tracciamento comportamentale);
- formazione continua e mirata per le funzioni chiave e per gli organi di controllo.
14. Tali misure non solo riduconoi rischi di non conformità, ma costituiscono anche un fattore competitivo in termini di affidabilità reputazionale e trasparenza nei confronti di clienti, investitori e autorità, oltre che un abbattimento di costi e tempistiche.
15. Laproposta di riforma del GDPR è solo uno dei tanti segnali che indicano come lacompliance stia attraversando una trasformazione profonda e irreversibile. Ilfuturo non appartiene più a chi si limita a “rispettare le regole”, ma a chi lesa anticipare, integrare e trasformare in un vantaggio competitivo. In questoscenario, la compliance integrata diventa il cuore di una governance aziendalemoderna, capace di coniugare etica, innovazione e performance.
16. Le imprese che adottano un approccio sistemico e proattivo saranno le prime a beneficiare dei vantaggi intermini di reputazione, resilienza e attrattività verso stakeholder, investitori e autorità. Il contesto normativo del 2025 – segnato da GDPR, NIS2,AI Act, CSRD, CSDDD – richie de quindi lucidità strategica e capacità di coordinare conoscenza, ruoli e tecnologie in un disegno organico ed unitario.
17. In tale prospettiva, l’adozione di strumenti di compliance integrata non è più una scelta discrezionale ma un investimento strategico a lungo termine. Un investimento che, per produrre valore, richiede il coinvolgimento attivo del management, il supporto di professionisti qualificati e l’adozione di soluzioni tecnologiche innovative per aiutare le organizzazioni a costruire un ecosistema di conformità robusto, sostenibile e innovativo.
Per ulteriori informazioni sull'argomento trattato, contattare Avv. Erika Stanca
