Compliance normativa

La conformità normativa è l’adesione di un’organizzazione a leggi, regolamenti, linee guida e specifiche relative ai suoi processi aziendali. Le violazioni della conformità normativa spesso si traducono in sanzioni legali, comprese le multe federali.

Esempi di leggi e regolamenti sulla conformità normativa includono il Dodd-Frank Act, il Payment Card Industry Data Security Standard (PCI DSS), l’Health Insurance Portability and Accountability Act (HIPAA), il Federal Information Security Management Act (FISMA), il Sarbanes-Oxley Act (SOX), il General Data Protection Regulation (GDPR) dell’UE e il California Consumer Privacy Act (CCPA).

Perché è importante la conformità normativa?

Come il numero di regole è aumentato dall’inizio del secolo, la gestione della conformità normativa è diventata più importante in una varietà di organizzazioni. Lo sviluppo ha portato alla creazione di posizioni di responsabile della conformità aziendale, capo e responsabile della conformità normativa. Una funzione primaria di questi ruoli è quella di assumere dipendenti il cui unico obiettivo è quello di garantire che l’organizzazione sia conforme ai severi e complessi mandati legali e alle leggi applicabili.

I processi e le strategie di conformità normativa forniscono una guida per le organizzazioni mentre si sforzano di raggiungere i loro obiettivi di business. I rapporti di audit che provano la conformità aiutano le aziende a commercializzarsi ai clienti. Per esempio, i rapporti SOC 1, SOC 2 e SOC 3 consentono ai fornitori di dimostrare la conformità alle normative come la SOX. Essere trasparenti sui processi di conformità aiuta i clienti a costruire la fiducia nei processi aziendali, oltre a migliorare potenzialmente la redditività dell’azienda nel processo.

Alcune regole di conformità normativa sono progettate specificamente per garantire la protezione dei dati. Scarsi processi di conformità alla violazione dei dati possono danneggiare la fidelizzazione dei clienti e avere un impatto negativo sui profitti dell’azienda. Con la frequenza delle violazioni dei dati che continua ad aumentare, i consumatori ripongono più fiducia nelle aziende che seguono da vicino i mandati di conformità normativa progettati per proteggere i dati personali.

I mandati di conformità normativa specifici per la privacy, come GDPR e CCPA, sono diventati più comuni in quanto la gestione dei dati personali dei consumatori da parte delle aziende è sotto esame.

Quali sono le sfide che derivano dalla conformità normativa?

Le aziende che non seguono le pratiche obbligatorie di conformità normativa affrontano numerose ripercussioni possibili, come l’essere costretti a partecipare a programmi di rimedio che includono controlli di conformità in loco e ispezioni da parte dell’agenzia di regolamentazione appropriata. Le organizzazioni non conformi di solito affrontano multe e sanzioni monetarie. La reputazione del marchio può anche essere danneggiata dalle aziende che sperimentano ripetute – o particolarmente evidenti – violazioni di conformità.

Seguire le regole di conformità può essere costoso dal punto di vista delle infrastrutture e del personale. Poiché le aziende sono tenute a spendere capitale per conformarsi alle leggi e ai regolamenti sulla conformità, devono anche cercare di placare le parti interessate e mantenere i processi aziendali realizzando un profitto. Queste sfide finanziarie che circondano la conformità sono particolarmente acute nei settori altamente regolamentati, come la finanza e la sanità. Altre sfide associate alla strategia di business che vengono con il mantenimento della conformità normativa sono le seguenti:

• determinare come le normative emergenti influenzeranno la direzione del business e i modelli di business esistenti;
• incorporare e sviluppare una cultura della conformità e promuovere questa cultura in tutta l’organizzazione;
• decidere e assumere ruoli e responsabilità di conformità, così come le funzioni di conformità richieste dai dipartimenti legale, conformità, revisione e business; e
• anticipare le tendenze di conformità e integrare i processi normativi che aumentano l’efficienza.

Le tecnologie di consumo in costante evoluzione pongono anche complicazioni di conformità per le aziende. L’uso di dispositivi mobili personali da parte dei dipendenti sul posto di lavoro, per esempio, crea problemi di conformità perché questi dispositivi memorizzano dati aziendali sensibili e rilevanti ai fini della conformità. La proliferazione dell’internet delle cose ha portato a un’enorme crescita del numero di endpoint e dispositivi interconnessi, e la mancanza di sicurezza per i dispositivi mobili e IoT crea vulnerabilità di conformità nelle reti delle organizzazioni. Affinché le aziende digitalizzate rimangano conformi, devono stare al passo con gli aggiornamenti richiesti e applicare immediatamente le patch al software esistente quando vengono rilevate delle vulnerabilità.

Come varia la conformità tra i vari settori e paesi?

Alcuni settori sono più pesantemente regolamentati di altri. Per esempio, l’industria dei servizi finanziari è soggetta a mandati di conformità normativa progettati per proteggere il pubblico e gli investitori da pratiche commerciali nefaste. I fornitori di energia sono soggetti a regolamenti per la sicurezza e la protezione dell’ambiente. Le agenzie governative sono tenute a seguire i regolamenti di conformità che impongono l’uguaglianza e il comportamento etico del personale.

Anche le aziende sanitarie sono soggette a severe leggi di conformità perché conservano grandi quantità di dati sensibili e personali dei pazienti. Gli ospedali e gli altri fornitori di assistenza sanitaria devono dimostrare di aver preso provvedimenti per rispettare le regole sulla privacy dei pazienti, come ad esempio fornire un’adeguata sicurezza dei server e la crittografia. L’HIPAA delinea la privacy dei dati e i mandati di sicurezza progettati per proteggere le informazioni mediche dei pazienti. La HIPAA Breach Notification Rule, per esempio, richiede alle organizzazioni conformi e ai loro partner commerciali di notificare i pazienti a seguito di una violazione dei dati. Oltre ai fornitori di assistenza sanitaria, anche i fornitori di servizi cloud (CSP) e altri soci d’affari delle organizzazioni sanitarie devono rispettare la privacy HIPAA, la sicurezza e le regole di notifica delle violazioni.

I mandati di conformità normativa variano a seconda del paese. La SOX è una legislazione statunitense, ma regolamenti simili includono il Deutscher Corporate Governance Kodex (DCGK) della Germania e il Corporate Law Economic Reform Program Act 2004 (CLERP 9) dell’Australia.

Le organizzazioni multinazionali devono essere consapevoli delle regole di conformità normativa di ogni paese in cui operano. Per esempio, il GDPR è entrato in vigore nel 2018 e si applica a tutti i dati prodotti dai cittadini dell’UE, indipendentemente dal fatto che l’azienda che raccoglie i dati si trovi o meno nell’UE. Il GDPR si applica anche a tutte le persone i cui dati sono memorizzati all’interno dell’UE, indipendentemente dal fatto che siano cittadini dell’UE.

GDPR ha ampliato i diritti di privacy dei consumatori includendo mandati di trasparenza che costringono le aziende a informare i clienti su come vengono utilizzati i loro dati personali. Per esempio, le aziende che operano sotto le regole di conformità al GDPR sono tenute a notificare tutte le parti interessate e le autorità di vigilanza di una violazione dei dati entro 72 ore.

In base al CCPA, i residenti della California hanno il diritto di sapere quali dati vengono raccolti su di loro, se tali informazioni vengono vendute e la possibilità di rifiutare che tali dati vengano venduti. La legge prevede anche che i consumatori possano accedere a tutte le loro informazioni personali raccolte da aziende conformi alla CCPA.

Una legge del Vermont del 2018 richiede ai broker di dati di rivelare agli individui esattamente quali dati vengono raccolti e permette a questi individui di rifiutare la raccolta dei dati. Diversi altri stati degli Stati Uniti stanno prendendo in considerazione i propri regolamenti sulla privacy dei dati in varia misura, mentre paesi come l’Australia, l’Argentina e il Canada hanno stabilito leggi complete sulla privacy dei dati a livello federale.

Come fanno le aziende a garantire la conformità normativa?

La conformità normativa richiede alle aziende di analizzare i loro requisiti unici e qualsiasi mandato specifico del loro settore e quindi sviluppare processi per soddisfare questi requisiti. I passi tipici per raggiungere la conformità normativa includono i seguenti:

1. Identificare i regolamenti applicabili. Determinare quali leggi e regolamenti di conformità si applicano al settore e alle operazioni dell’azienda. Queste includono regole federali, statali e municipali.
2. Determinare i requisiti. Identificare i requisiti di ogni regolamento che sono rilevanti per l’organizzazione, e considerare i piani su come implementare questi mandati.
3. Documentare i processi di conformità. Documentare chiaramente i processi di conformità, con istruzioni specifiche per ogni ruolo coinvolto nel mantenimento della conformità. Queste informazioni saranno utili durante i controlli normativi.
4. Monitorare i cambiamenti, e determinare se sono applicabili. I requisiti di conformità sono aggiornati costantemente. I cambiamenti devono essere monitorati per determinare se sono rilevanti per l’azienda. Se lo sono, implementare procedure aggiornate e formare il personale appropriato su questi aggiornamenti.

I controlli di conformità interni dovrebbero essere condotti regolarmente per esaminare l’aderenza dell’organizzazione alle linee guida normative. Questi rapporti di audit interni dovrebbero valutare da vicino i processi di conformità e le loro politiche associate, come i controlli di accesso degli utenti.

Gli audit interni aiutano anche a preparare gli audit di conformità formali condotti esternamente da terze parti indipendenti. Questi audit sono richiesti da alcuni mandati di conformità normativa e sono progettati per misurare se un’organizzazione è conforme a specifici regolamenti statali, federali o aziendali.