La sorveglianza del DPO quale fattore di legittimazione degli organi di controllo interno
2024-1-8 19:46:41 Author: www.cybersecurity360.it(查看原文) 阅读量:29 收藏

DATA PROTECTION

Una effettiva e sistematica cooperazione tra DPO e OdV o Collegio Sindacale può determinare un potenziamento dell’attività di gestione dei rischi e un rafforzamento della governance aziendale. È interessante e utile analizzare se il compito di controllo e sorveglianza che il DPO deve eseguire anche sui trattamenti degli organi di controllo interni possa minare o, invece, rafforzare i reciproci proficui rapporti di collaborazione

Pubblicato il 08 Gen 2024

All’interno delle imprese medio-grandi, la collaborazione continua e strutturata tra il DPO e gli organi di controllo interno come l’OdV e il Collegio Sindacale consente di identificare e affrontare tempestivamente tutti i rischi inerenti ai processi aziendali, migliorando la compliance, riducendo la possibilità di violazioni e conseguenti sanzioni, tutelando la reputazione aziendale e potenziando la governance.

Questo scenario va, però, ulteriormente e più profondamente analizzato alla luce del compito di controllo e sorveglianza, attribuito dal GDPR al DPO, anche sui trattamenti di dati personali eseguiti dagli organi di controllo interno che devono necessariamente essere conformi ai principi della data protection e che costituiscono, pertanto, un presupposto di legittimazione del loro operato.

DPO, requisiti e compiti operativi in azienda: il vademecum

Il ruolo privacy dell’OdV e del Collegio Sindacale

Secondo un noto parere dell’Autorità Garante[1], l’OdV, nel suo complesso, a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, deve essere considerato una “parte dell’Ente”. Il suo ruolo si svolge, quindi, nell’ambito dell’organizzazione dell’Ente, che, quale titolare del trattamento, attraverso la predisposizione dei modelli di organizzazione e di gestione, definisce il perimetro e le modalità di esercizio dei compiti dell’OdV pur salvaguardandone l’autonomia.

Cybersecurity : la guida per gestire il rischio in banca

Lo stesso Ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta (ad esempio, l’accesso alle informazioni acquisite attraverso flussi informativi), è chiamato a designare – nell’ambito delle misure tecniche e organizzative da porre in essere in linea con il principio di accountability – i singoli membri dell’OdV quali soggetti autorizzati (in applicazione del combinato disposto degli artt. 4, n. 10, 29, 32 par. 4 del GDPR e dell’art. 2-quaterdecies del Codice Privacy).

Detto parere faceva salva la possibilità che l’OdV potesse assumere il ruolo di titolare del trattamento in relazione alle segnalazioni effettuate nell’ambito della normativa sul Whistleblowing. Invero, questo aspetto è stato chiarito dall’art. 13, comma 4 del D.lgs. 24/2023 che ha riconosciuto come titolari del trattamento gli Enti, rectius, i soggetti pubblici e privati tenuti ad attivare il canale di segnalazione interna. Di conseguenza resta confermato che l’OdV, per questi particolari trattamenti riveste il ruolo di “autorizzato”.

Per completezza, va aggiunto che quanto affermato dal Garante nel citato parere non è condiviso da alcuni esponenti della dottrina che, ragionevolmente, evidenziano come l’autonomia ed indipendenza dell’OdV mal si concilia con il ruolo di “autorizzato” che secondo l’art. 29 del GDPR e l’art. 2 quaterdecies del Codice Privacy agisce “sotto l’autorità” del titolare o del responsabile.

Quanta complessità.

Una complessità che concerne anche il ruolo privacy del Collegio dei Sindaci e dei revisori. Peraltro, su questi soggetti l’Autorità Garante non si è mai espressa.

In dottrina, però, qualcuno ritiene che siano titolari del trattamento poiché le loro funzioni, i loro poteri ed i mezzi per operare sono stabiliti dalla legge e non dall’Ente. Seguendo questa impostazione i membri del Collegio Sindacale, quali autonomi titolari, dovrebbero mappare tutti i trattamenti da loro eseguiti, tenere il registro dei trattamenti ed il registro degli incidenti di sicurezza, fornire le informative agli interessati eccetera.

Orbene, chi opera giornalmente all’interno delle realtà aziendali difficilmente ha potuto vedere simili scenari.

Quindi, in modo congruente con il citato parere del Garante, si potrebbe sostenere che anche il Collegio dei Sindaci, come il revisore dei conti (che comunque contribuisce alla “corporate governance”) potrebbe assumere il medesimo ruolo privacy dell’OdV di “autorizzato al trattamento”.

In concreto, per risolvere il problema in radice, l’Ente quale titolare del trattamento, facendo leva sull’art. 2 quaterdecies, potrebbe designare i membri dell’OdV come “Esercenti la funzione di titolari del trattamento”. Questi appartengono sempre al “genus” di “autorizzati al trattamento” ma sono una sorta di “super-autorizzati”, di “designati speciali”.

Si tratta di un particolare ruolo privacy introdotto dall’art. 3 del DPCM 25 maggio 2018 ed assegnato alle persone fisiche alle quali la legge attribuisce il potere decisionale circa finalità e mezzi del trattamento.

Analogamente, l’atto costitutivo potrebbe prevedere la nomina di un organo di controllo o di un revisore, determinandone non solo competenze e poteri, ma anche il ruolo privacy di “Esercente la funzione di titolare del trattamento”.

In questo modo, nel pieno rispetto del vincolante parere del Garante, i membri dell’OdV e del Collegio Sindacale si vedrebbero riconosciuti tutti i poteri necessari a rendere, sempre e comunque, “compliant” i trattamenti di dati personali da loro eseguiti.

Perché – giova precisarlo – a prescindere dal ruolo privacy a loro attribuito, i membri dell’OdV e del Collegio dei Sindaci devono essere assolutamente sicuri che tutti i trattamenti di dati personali da loro eseguiti siano conformi ai principi della Data Protection. E anche su questa sicurezza si fonda la legittimità delle attività che sono chiamati a svolgere.

Per ottenere questo risultato, un contributo determinante può essere offerto dal DPO.

Il ruolo emergente del DPO nel sistema Whistleblowing: tra silenzio normativo e necessità

I membri dell’OdV e del Collegio Sindacale devono essere come “la moglie di Cesare”

L’OdV è chiamato a vigilare sull’adeguatezza, sull’efficacia e sull’osservanza del Modello di Organizzazione, Gestione e Controllo e a promuovere, contestualmente, una cultura aziendale basata sull’etica.

Il Collegio Sindacale, invece, si occupa principalmente del controllo finanziario e dell’adeguatezza della gestione aziendale.

Entrambi gli organi, giocando un ruolo essenziale nell’assicurare la correttezza del business, devono imprescindibilmente operare in modo strettamente conforme alle normative che regolano lo svolgimento delle loro funzioni, tra le quali assume particolare rilevanza la disciplina in materia di protezione dei dati personali.

Anzi, i membri dell’OdV e del Collegio dei Sindaci/Revisori, proprio in ragione delle loro funzioni di controllo, come la “moglie di Cesare”, dovrebbero essere in grado di dimostrare la piena ed assoluta correttezza del loro operato.

Quindi, per agire in piena sicurezza, gli Organi di controllo interno ben potrebbero richiedere una specifica approfondita verifica al DPO della propria azienda, senza attendere che questi si attivi autonomamente eseguendo i compiti di controllo e sorveglianza che gli sono attribuiti dall’art. 39 del GDPR.

Controllo e indirizzo del DPO sulle attività di OdV e Collegio Sindacale

Quindi, il DPO, chiamato a validare i processi sviluppati dagli Organi di controllo interno, dovrebbe innanzitutto preoccuparsi che tali soggetti siano stati regolarmente designati/autorizzati, (auspicabilmente quali “esercenti la funzione di titolari”).

Poi, come avviene nel corso degli “audit privacy” eseguiti sulle varie funzioni aziendali, dovrebbe verificare che gli stessi soggetti siano riportati nel registro dei trattamenti unitamente a tutti gli items previsti dall’art. 30 del GDPR.

In particolare, all’interno dello stesso registro dovrebbero essere riportati:

  1. i trattamenti prevalentemente eseguiti dai membri dell’OdV e del Collegio dei Sindaci, come quelli che derivano dai flussi, dalle indagini e dagli audit nonchè dalle segnalazioni ecc.;
  2. i potenziali responsabili del trattamento, come ad esempio fornitori di piattaforme a supporto dell’attività dell’OdV.

Va anche evidenziato che lo spettro di potenziali interessati da tali trattamenti è davvero ampio, in quanto le attività a carico dell’OdV possono riguardare i lavoratori dipendenti, i candidati alle selezioni, i clienti, i fornitori, i consulenti eccetera.

Infine le informative per i soggetti interessati da tali trattamenti devono essere congruenti con quanto indicato nel registro.

Ancora, come sempre avviene nel corso delle verifiche eseguite presso le diverse unità organizzative della realtà aziendale, lo stesso DPO dovrebbe esercitare il suo potere di controllo mediante:

  1. analisi di documenti;
  2. interviste e/o attività di audit sui processi gestiti da tali Organi nel rispetto delle misure tecniche ed organizzative definite dal titolare;
  3. la richiesta della messa a punto di procedure che impattano sui processi di interesse per i vari Organi al fine di verificare che siano compliant anche in merito agli aspetti relativi alla protezione dei dati personali;
  4. approfondimenti sulle modalità di gestione delle attività, in capo tali Organi, che hanno un rilevante impatto sulla protezione dei dati personali.

Tutte queste attività svolte dal DPO sono certamente funzionali a garantire un elevato livello di conformità dei trattamenti eseguiti dagli Organi di controllo interno.

Non avvalersi delle competenze del DPO potrebbe esporre detti Organi anche a seri problemi di legittimazione.

Un esempio concreto delle possibili ricadute di un minore livello di compliance delle attività degli Organi di controllo interno può essere ritrovato nell’applicazione della recente normativa sul Whistleblowing.

I possibili problemi di legittimazione dell’OdV

La disciplina sul Whistleblowing recentemente introdotta dal D.lgs. 24/2023 impone, infatti, a determinate organizzazioni, di attivare e organizzare la gestione di un canale di segnalazione interna per consentire di segnalare i comportamenti, gli atti o le omissioni che ledono l’interesse pubblico o l’integrità dell’Ente e che consistono in illeciti che rientrano nell’ambito di applicazione di norme unionali e nazionali.

Secondo quanto testualmente stabilito dall’art. 2, comma 1, lettera a), punto 3) del citato D.lgs.24/2023, tramite il canale di segnalazione interna, la cui gestione può essere affidata anche all’OdV, il whistleblower può segnalare violazioni del GDPR e del Codice Privacy.

Ebbene, in tale quadro, si ipotizzi un OdV che, all’interno di un’azienda, nello svolgimento dei propri compiti, esegua trattamenti di dati personali non conformi ai principi fissati dall’art. 5 del GDPR, ad esempio in assenza della prescritta informativa agli interessati o in mancanza della definizione del periodo di conservazione dei dati o, ancora, senza una corretta base giuridica, o anche, semplicemente, senza aver ricevuto dal titolare una formale designazione/autorizzazione al trattamento.

Ora, all’interno di questo scenario molto verosimile, si immagini un whistleblower che segnali una delle citate violazioni privacy da parte dell’OdV, tramite il canale di segnalazione interna gestito proprio dallo stesso OdV.

Si creerebbe un effetto paradossale ed un concreto problema di legittimazione dell’OdV.

Casi come quello descritto valgono a dimostrare come l’attività di controllo e sorveglianza del DPO si ponga quale fattore di legittimazione degli Organi di controllo interno.

La necessità di verifiche mirate sull’applicazione della normativa Whistleblowing

Sulla base di quanto finora descritto, un approfondimento mirato dovrebbe essere destinato proprio alla verifica degli adempimenti connessi all’applicazione del D.lgs. 24/2023 sul c.d. “Whistleblowing”.

È infatti compito del DPO approfondire come tali segnalazioni vengono gestite e trattate nel rispetto delle procedure definite e del GDPR, indagando aspetti quali:

  1. l’atto di designazione dei membri dell’organo di gestione del canale di segnalazione interna;
  2. l’informazione/formazione ricevuta da tali soggetti per la gestione del canale;
  3. la modalità di gestione della segnalazione;
  4. i criteri di scelta del fornitore della piattaforma;
  5. le modalità di funzionamento della piattaforma e le misure adottate quando è prevista tale modalità;
  6. i contenuti dell’informativa per il segnalante, segnalato, persona citata, facilitatore;
  7. la congruenza tra i contenuti dell’informativa, le istruzioni per il segnalante, la procedura per la gestione delle segnalazioni con quanto riportato nel registro;
  8. l’eventuale necessità di aggiornare la DPIA a seguito di rilevanti modifiche al processo di gestione della piattaforma.

Conclusioni

Con le argomentazioni sopra riportate si è cercato di evidenziare come i particolari compiti di controllo e sorveglianza attribuiti dal GDPR al DPO possano costituire un fattore di legittimazione degli Organi di controllo interno all’azienda.

Questi, infatti, qualora trattino dati personali in modo non conforme alla normativa privacy, potrebbero trovarsi anche in una difficile situazione di stallo operativo. Il proattivo intervento, qualificato e attento, del DPO può invece creare le condizioni di equilibrio e sicurezza con ulteriore potenziamento della governance aziendale.

 

NOTE

  1. Parere GPDP del 12.05.2023 avente come oggetto “Richiesta di parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231”.

Sistemi di sicurezza XDR: ecco le principali capacità

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/legal/privacy-dati-personali/la-sorveglianza-del-dpo-quale-fattore-di-legittimazione-degli-organi-di-controllo-interno/
如有侵权请联系:admin#unsafe.sh