Premessa

La governance e la qualità dei dati stanno assumendo crescente rilevanza per svariate motivazioni, per evidenti esigenze di disporre di informazioni corrette per favorire efficaci decisioni di business, per ragioni di efficienza nello svolgimento dei processi interni senza dover impegnare tempi eccessivi nel reperimento e controllo delle informazioni trattate, e, fatto non secondario, per ragioni di compliance alle normative che sempre più richiamano la responsabilità del management aziendale nella “creazione” e “utilizzo” di informazioni che possono determinare, ad esempio, violazioni di sicurezza con possibili sanzioni (come nel caso della Normativa Privacy), o errori nelle pratiche commerciali e negli adempimenti di controllo interno.

Non è di per sé un tema nuovo.  Fin dagli albori l’informatica era identificata con il termine “data processing”, negli anni settanta per favorire una corretta ed efficace progettazione degli archivi informatici furono create nuove specializzazioni professionali: i “data base administrator”. Successivamente si introdussero nuovi concetti come il data modelling e nuove strumentazioni come il dizionario dei dati, per favorire una ordinata e trasparente gestione del patrimonio informativo aziendale, nacquero nuove discipline come la “business inteligence”. Più recentemente per fronteggiare l’esplosione dei dati gestiti dalle aziende nei sistemi legacy e nel mondo Internet si è coniato il termine “big data”, il recentissimo ritorno di interesse a tematiche di Intelligenza artificiale e l’avvento degli IOT (Internet delle cose) ha riproposto la necessità di nuove competenze con la nascita di nuove figure professionali: “i data scientist”. Un aspetto chiave relativo alla affidabilità degli algoritmi di intelligenza artificiale, di prevista e crescente diffusione in tutte le aziende, riguarda la qualità dei dati, tematica sottolineata anche dalla recente proposta di Regolamento europeo sull’intelligenza artificiale. Al riguardo la “Fundamental Rights Agency” ha sottolineato che l’utilizzo di algoritmi basati su dati incompleti o errati può avere rilevanti ripercussioni etiche per la possibilità di violare i diritti delle persone.

Anche la rilevanza del dato per la Governance aziendale non è una recente scoperta:  gli Enti regolatori di alcuni settori, come quello bancario (BANKIT) e Assicurativo (IVASS), hanno emesso nel tempo disposizioni relative ai principali  adempimenti da metter in pratica per assicurare una corretta gestione delle informazioni che possano presentare impatti per il business e per la compliance a difesa degli interessi di tutti gli stakeholders coinvolti (vedi al riguardo la circolare di Vigilanza prudenziale BANKIT 285-2013,  e l’Allegato al   Regolamento IVASS n° 38 DEL 2018).

Accenni al Regolamento IVASS N° 38 del 2018

L’art. 14 del citato Regolamento IVASS, richiede la presenza di un Sistema di registrazione e reportistica dei dati con informazioni che consentano di identificare il profilo di rischio e la solvibilità dell’azienda, il rispetto di principi fondamentali nella gestione dei dati: accuratezza, completezza, tempestività, coerenza, trasparenza, pertinenza, la presenza di procedure documentate e presidiate, la granularità delle informazioni, controlli e presidio della qualità dei dati con assegnazione di ruoli e responsabilità (es. data owner), obblighi informativi puntuali e tempestivi vs IVASS (es. audit periodici).

Accenni alla Norma ISO 25012

In questo veloce excursus non poteva mancare un accenno alle Norme ISO che, direttamente o implicitamente, hanno fatto riferimento alla qualità del dato. Ci riferiamo, ad esempio, alla Norma ISO 25012:2008, aggiornata nel 2019, dedicata alla costruzione di un Modello aziendale dedicato alla Qualità dei dati. La Norma ISO 25012 prevede 15 requisiti cogenti da rispettare nei trattamenti di dati aziendali:  Accuracy, Completeness,  Consistency, Credibility,  Currentness,  Accessibility, Compliance, Confidentiality, Efficiency, Precision,  Traceability,  Understandability,  Availability, Portability e Recoverability.  Il rispetto di alcuni di tali requisiti è  richiesto anche da altre Norme ISO (es. ISO 27001 -Sistema di gestione sicurezza delle informazioni, ISO 22301 – Business Continuity e ISO 20000 IT Service management).

Suggerimenti validi per tutte le aziende

Quando si citano Regolamenti e Norme, vi è un rischio concreto: il pensare che le tematiche proposte siano appannaggio solo di grandi aziende appartenenti a determinati settori. Nulla di più fuorviante, in questo caso. La affidabilità del dato interessa tutte le aziende per motivi evidenti: ridurre gli impatti negativi sul business determinati da decisioni prese su informazioni errate o non tempestive, e rispettare gli adempimenti di compliance che sono all’ordine del giorno. Come non fare riferimento ai drammatici errori registrati nel corso della pandemia Covid nella prenotazione dei vaccini e nella divulgazione dei dati relativi alla diffusione del virus?

Il suggerimento è semplice: metterci la testa, cogliere dalle best practices suggerite a livello internazionale gli spunti per una adeguata e affidabile gestione del dato nei sistemi informatici aziendali, svolgere una valutazione sulle tipologie di dati gestiti, sui rischi in caso di presenza di dati non affidabili, sulle responsabilità, sulle metodologie di progettazione e controllo, sulla formazione e sensibilizzazione del personale di tutte le funzioni. Sono rimedi semplici che, se ben attuati, potranno assicurare rilevanti benefici.

In questa logica, SERNET S.p.A. mette a disposizione delle Aziende clienti le proprie esperienze a supporto della rilevazione dei dati gestiti, della definizione delle responsabilità di trattamento e della gestione dei rischi connessi (con focus sulle prassi aziendali di protezione dei dati), nell’ottica di identificare le migliori strategie e soluzioni per gestire in modo sicuro ed efficace i dati.