Data Governance & Regulatory Compliance
Sai dove sono i tuoi dati, chi li usa e se sei conforme? Se la risposta è no, il rischio è già in corso.
Il problema in breve
Le normative sui dati si stanno moltiplicando: GDPR, EU Data Act, NIS2, direttiva CSRD per la reportistica ESG. Per le PMI italiane, queste non sono più questioni teoriche, il Garante ha già sanzionato aziende per inadeguatezza nella gestione dei dati personali, e i grandi clienti iniziano a richiedere garanzie documentate sulla governance dei dati lungo la supply chain. Ma la maggior parte delle PMI non sa rispondere a domande fondamentali: dove risiedono i dati dei clienti? Chi ha accesso a cosa? Quale sistema è la fonte autoritativa per un dato specifico? Se arriva una richiesta di cancellazione GDPR, quanto tempo serve per soddisfarla? Senza risposte a queste domande, la compliance non è un obiettivo raggiungibile, è un’illusione.
La sfida
Il panorama normativo che impatta la gestione dei dati nelle PMI italiane si è trasformato radicalmente tra il 2024 e il 2026, passando da un singolo regolamento (GDPR) a un ecosistema di obblighi interconnessi.
GDPR e gestione dei dati personali. Dopo la fase iniziale di adeguamento formale (informative, cookie banner, registri del trattamento), le PMI italiane si trovano ora di fronte alla sfida dell’implementazione tecnica effettiva. Il diritto alla cancellazione (art. 17) richiede la capacità di identificare e rimuovere i dati personali di un interessato da tutti i sistemi in cui risiedono, gestionale, CRM, e-commerce, backup, archivi email, database di analytics. Senza una mappa dei dati (data inventory) che documenti dove risiedono i dati personali, con quale base giuridica e per quanto tempo devono essere conservati, ogni richiesta di cancellazione diventa un esercizio manuale di ricerca attraverso decine di sistemi, con il rischio concreto di omettere una copia e violare il regolamento. Il Garante per la protezione dei dati personali ha intensificato le attività ispettive, con sanzioni che per le PMI raggiungono decine di migliaia di euro per singolo provvedimento.
EU Data Act (Reg. 2023/2854). Applicabile dal 12 settembre 2025, introduce obblighi sull’accesso e la condivisione dei dati generati da prodotti connessi e servizi correlati. Per le PMI manifatturiere che producono dispositivi IoT, macchinari connessi o che utilizzano servizi cloud, il Data Act impone la capacità di rendere accessibili i dati generati dai propri prodotti agli utenti e, in determinate circostanze, a terze parti. Questo richiede un’infrastruttura di governance che documenti quali dati vengono generati, dove vengono archiviati, in quale formato e con quali modalità di accesso.
CSRD e reportistica ESG. La Corporate Sustainability Reporting Directive ha esteso l’obbligo di reportistica di sostenibilità: in Italia, il numero di aziende obbligate è passato da 200 a circa 5.000. Anche le PMI non direttamente in perimetro sono impattate indirettamente: i clienti corporate soggetti a CSRD richiedono ai propri fornitori dati su emissioni (Scope 3), pratiche lavorative, governance e supply chain. La raccolta di questi dati richiede un’infrastruttura strutturata, non è possibile rispondere a un questionario ESG con dati affidabili se questi sono distribuiti in fogli Excel non versionati e non tracciabili. Gli standard ESRS (European Sustainability Reporting Standards), pur in fase di semplificazione (riduzione del 61% dei datapoint obbligatori nella revisione 2025), richiedono comunque dati strutturati, tracciabili e auditabili.
D.Lgs. 128/2024. Introduce l’obbligo di pubblicazione sui siti web aziendali di informazioni relative all’imposta sul reddito e ad altri dati societari, ampliando ulteriormente il perimetro delle informazioni che devono essere gestite in modo strutturato e accessibile.
Sul piano tecnico, la sfida per le PMI è che queste normative presuppongono capacità infrastrutturali, data catalog, lineage, access control, audit trail, che nella maggior parte dei casi non esistono. I dati sono distribuiti in silos applicativi senza documentazione, senza ownership definita, senza tracciabilità degli accessi, e senza processi formali per la creazione, modifica o cancellazione dei dati master.
La soluzione
Governance Assessment
L’approccio parte da un governance assessment: mappatura completa dell’ecosistema dati dell’azienda, sistemi, flussi, tipologie di dati (personali, finanziari, operativi, ESG), responsabilità attuali, e gap rispetto ai requisiti normativi applicabili. La mappatura produce un data inventory strutturato e una gap analysis che prioritizza gli interventi per rischio legale e impatto operativo.
Data Catalog
Il primo pilastro è il data catalog: un inventario centrale, navigabile e sempre aggiornato di tutti gli asset dati dell’organizzazione, tabelle, colonne, pipeline, dashboard, modelli ML. Per PMI con un team tecnico di 1-2 persone, OpenMetadata offre un catalogo unificato con 100+ connettori per l’ingestion automatica dei metadati da database, warehouse, strumenti BI e pipeline dbt/Airflow, con discovery, quality profiling, lineage e governance in un’unica piattaforma. Il catalogo documenta per ogni asset: descrizione, owner, classificazione (dati personali, dati finanziari, dati ESG), policy di accesso, e data quality score. Questa è la base su cui si costruiscono tutte le altre capacità di governance.
Data Lineage Automatica
Il secondo pilastro è la data lineage automatica: la capacità di tracciare il percorso di ogni dato dalla sorgente al punto di consumo, passando attraverso trasformazioni, aggregazioni e enrichment. La lineage viene estratta automaticamente dalle pipeline dbt (dove ogni modello SQL dichiara le proprie dipendenze), dall’orchestratore (Airflow/Dagster), e dal warehouse (query log). Il risultato è un grafo navigabile che risponde a domande critiche per la compliance: “da dove arriva questo numero nel report ESG?”, “quali sistemi sono impattati se cancello i dati di questo cliente?”, “chi ha modificato questo dato e quando?”.
Access Governance
Il terzo pilastro è l’access governance: implementazione di politiche di accesso granulari (row-level e column-level security) su tutti i layer del data stack, con audit trail completo di ogni accesso e modifica. Per il GDPR, si implementa un data processing inventory che mappa ogni trattamento di dati personali alla base giuridica corrispondente (consenso, contratto, legittimo interesse, obbligo legale), con link diretto agli asset nel data catalog. Per le richieste di accesso, rettifica e cancellazione (art. 15-17 GDPR), si costruiscono workflow semi-automatizzati che, partendo dall’identificativo dell’interessato, attraversano il data catalog e la lineage per identificare tutti i sistemi in cui risiedono i dati personali e generare il report o eseguire la cancellazione con tracciabilità completa.
Framework di Raccolta Dati ESG
Il quarto pilastro è il framework di raccolta dati ESG: un’architettura di data collection strutturata per alimentare la reportistica di sostenibilità. I dati ESG provengono da sorgenti eterogenee: consumi energetici (bollette, contatori smart), emissioni (calcolo basato su fattori di emissione per attività), dati sociali (contratti, formazione, infortuni), dati di governance (composizione organi, politiche anticorruzione). Il framework definisce: quali dati raccogliere per ciascun ESRS datapoint applicabile, da quale sorgente, con quale frequenza, con quale responsabilità, e con quale meccanismo di validazione. I dati vengono centralizzati nel data warehouse, trasformati in modelli dbt con test di qualità, e resi disponibili per il report di sostenibilità con lineage completa dalla sorgente al datapoint pubblicato.
Tecnologie chiave
Data Catalog & Metadata Management
Inventario centrale degli asset dati con discovery automatica, classificazione, ownership e data quality scoring.
ApprofondisciData Lineage
Tracciamento automatico del percorso dei dati dalla sorgente al consumo, con impact analysis per compliance e debugging.
ApprofondisciAccess Control & Audit Trail
Politiche di accesso granulari (row/column-level security) con logging completo per GDPR accountability.
Approfondiscidbt (Data Build Tool)
Trasformazione dei dati con lineage nativa, test di qualità e documentazione integrata come fondamenta della governance.
ApprofondisciKnowledge Graphs
Modellazione delle relazioni tra entità dati, processi e policy per navigazione e reasoning sulla governance.
ApprofondisciRisultati e benefici
Tempo di risposta a una richiesta GDPR (accesso, cancellazione) ridotto da giorni di ricerca manuale a ore grazie al data catalog e alla lineage automatica
Visibilità completa su dove risiedono i dati personali, con quale base giuridica e per quanto tempo: data processing inventory sempre aggiornato
Riduzione del 50-70% del tempo di preparazione per audit di compliance (GDPR, NIS2, CSRD) grazie a documentazione centralizzata e tracciabilità degli accessi
Capacità di rispondere ai questionari ESG dei clienti corporate con dati strutturati, tracciabili e auditabili, da vantaggio competitivo a requisito per mantenere il rapporto commerciale
Ownership dei dati definita e visibile: ogni asset ha un responsabile, ogni metrica ha una definizione, ogni accesso è tracciato
Riduzione del rischio sanzionatorio: la capacità di dimostrare accountability (art. 5.2 GDPR) è documentata e verificabile
Fondamenta per la data democratization: un catalogo governato è il prerequisito per self-service analytics sicura e affidabile
Use case
Manifatturiero: governance dati per supply chain ESG
Un’azienda di componentistica automotive (fatturato €50M, 120 dipendenti) riceve questionari ESG sempre più dettagliati dai propri clienti OEM, che devono riportare le emissioni Scope 3 della propria supply chain sotto CSRD. I dati richiesti, consumi energetici per stabilimento, emissioni per tonnellata di prodotto, percentuale di materiale riciclato, ore di formazione per dipendente, sono distribuiti tra bollette in PDF, fogli Excel del responsabile sicurezza, database HR e il gestionale di produzione. Ogni risposta richiede 2-3 settimane di raccolta manuale e i numeri non sono verificabili. Il framework ESG implementato definisce un data model strutturato per i datapoint ESRS applicabili, con pipeline di ingestion dai sistemi sorgente (OCR sulle bollette, API dal gestionale HR, calcolo emissioni con fattori ISPRA), trasformazione in dbt con test di qualità, e catalogo che documenta la lineage di ogni datapoint dal dato grezzo al valore riportato. Il tempo di risposta ai questionari scende da 3 settimane a 2 giorni, e ogni dato è tracciabile dalla sorgente al report.
E-commerce: GDPR compliance operativa
Un e-commerce di prodotti per l’infanzia (fatturato €15M, 25 dipendenti) raccoglie dati personali attraverso 6 touchpoint: sito web, app mobile, newsletter, loyalty program, customer service, e marketplace di terze parti. I dati personali risiedono in Shopify, Mailchimp, Zendesk, un database loyalty custom e Google Analytics. Una richiesta di cancellazione GDPR richiede attualmente 5 giorni lavorativi perché il team deve cercare manualmente il cliente in ciascun sistema. Il data catalog mappa tutti gli asset contenenti dati personali, classificandoli per tipologia (anagrafica, comportamentale, transazionale) e base giuridica. Un workflow di GDPR request management, costruito sopra il catalogo, accetta l’identificativo del cliente (email), interroga tutti i sistemi mappati, produce un report di tutti i dati detenuti (per le richieste di accesso) o esegue la cancellazione con log verificabile (per le richieste di cancellazione). Il tempo di evasione delle richieste GDPR scende da 5 giorni a 4 ore, con audit trail completo che dimostra la compliance al Garante.
Fintech: data governance per audit regolamentari
Una fintech di lending (fatturato €8M, 35 dipendenti) opera con licenza ex art. 106 TUB e viene periodicamente ispezionata da Banca d’Italia e OAM. Gli audit richiedono la dimostrazione di tracciabilità dei dati utilizzati nei modelli di scoring creditizio: quali dati alimentano il modello, da dove provengono, come vengono trasformati, chi ha accesso ai dati dei richiedenti, e quali policy di retention sono applicate. Senza un’infrastruttura di governance, la preparazione di un audit richiede 3-4 settimane di lavoro del team tecnico. Il data catalog documenta ogni asset del data stack (database transazionale, feature store, modelli ML, dashboard di monitoraggio) con ownership, classificazione e data quality score. La lineage automatica traccia il percorso dai dati grezzi del richiedente fino allo score prodotto dal modello, passando per ogni trasformazione. L’access governance implementa column-level security sui dati sensibili (reddito, situazione debitoria) con audit trail di ogni accesso. La preparazione per l’audit passa da 4 settimane a 3 giorni, e il team tecnico è liberato per attività di sviluppo.
Non sai dove risiedono i dati dei tuoi clienti?
Non puoi dimostrare la compliance in caso di ispezione? Richiedi un governance assessment: mappiamo il tuo ecosistema dati, identifichiamo i gap normativi e progettiamo un’infrastruttura di governance proporzionata, dal data catalog alla lineage, dall’access control alla reportistica ESG.