Creativitate în conformitate

Article Creativitate în Conformitate: Abordarea Bazată pe Risc în Locul Birocrației

Adesea conformitatea este văzută drept un teanc de hârtii sau birocrație. Este un concept care este interpretat în baza unor politici, fără un impact real asupra inovației, business-ului sau a creativității. Într-un fel similar, directivele sau regulamentele la nivel european sunt văzute cu reticență, fiind percepute drept rigide, excesiv de detaliate și greu de implementat. Iar în cazul celor 99,8% dintre companiile din Europa care sunt companii mici și mijlocii, această percepție a conformității duce la ideea că inovația sau creșterea companiei este limitată. În practică, sunt frecvent întâlnite reacții defensive: politici standardizate, documentație voluminoasă și soluții formale care nu adaugă valoare reală.

Totuși, o analiză mai atentă arată că această viziune nu este explicată de natura reglementărilor în sine, ci de modul în care sunt interpretate și aplicate. Conformitatea nu trebuie să însemne birocrație. Atunci când ea este implementată printr-o abordare informată de riscuri, proporțională și ancorată în cultura organizațională, conformitatea devine un instrument de protecție a drepturilor și un punct de mijloc între protecție și încredere. 

Reglementările oferă adesea flexibilitate și pot fi aplicate contextual. Regulamentul (EU)  2016/679 privind protecția datelor, de exemplu, prevede posibilitatea prelucrării datelor în baza interesului legitim sau libertatea de a stabili ce măsuri sunt adecvate din punct de vedere tehnic în funcție de riscurile implicate. Directiva NIS 2 consideră măsuri proporționale în baza tipului de companie și ale industriei din care face parte. Această flexibilitate permite companiilor să se conformeze legislației prin oferirea unei direcții sau a unor principii de respectat. Rigiditatea apare doar când organizațiile aleg soluții standardizate din frică sau din neînțelegere, în loc să se bazeze pe gradul de risc sau pe modul propriu al companiei.

Conformarea rigidă crează documente și proceduri care par conforme, dar adesea nu descriu realitatea companiei sau a stilului de muncă. Drept exemplu, o analiză a politicilor scrise din cadrul unei companii poate prezenta un stil clasic de executare a practicilor, deși în cadrul discuțiilor cu angajații se pot observa alte practici informale sau stiluri de executare care sunt mai ușoare pentru angajați, fără formalități și care nu prezintă nicio asemănare cu ce poate fi identificat în scris. 

Această conformitate rigidă este de asemenea greu de aplicat în cazul suprapunerii între diverse reglementări. De exemplu, în cazul raportării incidentelor de securitate, Regulamentul (EU) 2016/679 privind protecția datelor, Directiva NIS 2, Regulamentul (UE) 2022/2554 privind reziliența digitală discută despre obligația de a trimite raportări similare în cazul unui incident major ce implică date personale. Aceste raportări pot fi văzute drept distincte într-o companie, ceea ce ar implica dublarea muncii, sau pot fi introduse într-o singură procedură de raportare integrală, ce cuprinde toate datele necesare și poate fi folosită pentru orice autoritate. Astfel, acumularea de politici, notificări și proceduri nu echivalează cu o protecție reală a datelor sau a sistemelor companiei. Dimpotrivă, birocrația poate ascunde riscurile reale sub o perdea de conformitate superficială, afectând în același timp agilitatea și competitivitatea companiei. 

Abordarea bazată pe risc este fundamentală unei conformități eficiente. Acest sistem de conformitate pornește de la evaluarea riscurilor posibile pe care companie le poate întâmpina. Ce date sunt prelucrate? Care este natura lor? Ce riscuri pot apărea din folosirea aplicațiilor externe ale companiei? Care sunt consecințele posibile în stocarea datelor în cloud? Ce impact ar avea o breșă de date sau dacă un angajat ar utiliza datele abuziv? Răspunsul la aceste întrebări trebuie să fundamenteze măsurile implementate și investițiile în conformitate. Conformitatea eficientă pentru companii poate apărea doar în momentul în care compania înțelege scopul investițiilor sale și există un motiv clar argumentat. Documentația DPIA (Data Protection Impact Assessment) sau evaluările de conformitate a aplicațiilor IA nu ar trebui văzute ca exerciții formale, ci ca instrumente de analiză strategică, unde sunt prezentate riscurile posibile și pot fi setate măsuri adiționale de mitigare conform toleranței la risc al companiei. 

Gestionarea riscului începe de la următoarele întrebări: 

  • Care sunt riscurile cu care se confruntă compania? 

  • Care este clasificarea riscurilor din punct de vedere al obiectivului urmat de companie? 

  • Ce riscuri trebuie prevenite complet, care sunt de limitat și care pot fi acceptate în funcție de toleranța organizației? 

În loc să se aplice aceeași soluție tuturor situațiilor, această abordare implică o prioritizare a riscului, pe baza probabilității și a impactului. Este esențial ca efortul și resursele limitate să fie concentrate asupra ceea ce contează cu adevărat pentru companie.

Conformitatea trebuie calibrată pe dimensiunea, industria și modelul de business al organizației. Aceasta nu poate fi dovedită printr-o multitudine de proceduri și politici care nu acoperă modul de funcționare practic al organizației. În cele din urmă, acest tip de abordare susține eficiența operațională, asigurând alocarea corectă a resurselor puse la dispoziție. Conformitatea ar trebui să faciliteze, nu să blocheze activitatea organizației. 

Această logică poate funcționa dacă este susținută printr-o cultură organizațională care integrează conformitatea în activitatea zilnică, în loc de tratarea sa drept o obligație externă. Cultura organizațională trebuie să transforme principiile în practici. Nu este suficient ca o companie să aibă politici, dacă ele nu sunt înțelese În particular, exemplul personal al managementului, comunicarea clară și integrarea principiilor etice sunt instrumente de conformitate la fel de importante precum orice analiză existentă sau procedură scrisă. Astfel, conformitatea se reflectă și în comportamentul angajaților, în deciziile de business și în modul în care organizația își asumă responsabilitatea față de clienți și parteneri.

Conformitatea, fie ea legislativă sau bazată pe standarde, nu trebuie privită drept un obstacol sau obligație. Ea este, în esență, o sumă a unor elemente strategice de gestionare a riscurilor. Printr-o abordare bazată pe risc, sprijinită de tehnologie, colaborare și o cultură organizațională sănătoasă, companiile pot rămâne conforme fără birocrație și pot folosi acest lucru drept un avantaj competitiv real. Cât timp reglementările impun o destinație, modul în care o companie ajunge acolo ține de alegerile sale. Iar alegerea unei conformități bazate pe risc este o alegere inteligentă.

 

 

Diana Cojocaru

Privacy & cybersecurity Consultant

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Captivi în Scroll: Cum se transformă responsabilitatea digitală

Captivi în Scroll: Cum se transformă responsabilitatea digitală

Plătim amenda și continuăm - o strategie care poate costa mai mult decât crezi

Plătim amenda și continuăm - o strategie care poate costa mai mult decât crezi

Licențierea seturilor de date pentru AI - oportunități și responsabilități

Licențierea seturilor de date pentru AI - oportunități și responsabilități

Inteligența articifială și interesul legitim: recomandări, riscuri și bune practici pentru organizații

Inteligența articifială și interesul legitim: recomandări, riscuri și bune practici pentru organizații

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI