Possono essere molto vantaggiosi, nel contesto di una complessa realtà aziendale, gli effetti di una auspicabile collaborazione sistematica tra il DPO e gli Organi di controllo interno come l’OdV e il Collegio Sindacale.
In un precedente contributo si è, inoltre, evidenziato come le attività di verifica eseguite dal DPO sulle attività dell’OdV e del Collegio possono davvero creare condizioni di equilibrio e sicurezza con ulteriore potenziamento della governance aziendale.
Rimane ora da esplorare se l’OdV, in relazione ai compiti attribuiti, possa o debba eseguire verifiche sulle attività svolte dal DPO, tenendo presente che entrambi svolgono operazioni simili e talvolta uguali (mappatura di processi, audit, interviste ecc.) e inoltre che entrambi:
- godono di autonomia e quindi non possono essere né rimossi né penalizzati;
- riferiscono esclusivamente al vertice aziendale.
Quando OdV e DPO causano un data breach: esempi concreti e misure preventive
Indice degli argomenti
Il DPO controlla e sorveglia “autorizzati” e “responsabili”
Nella realtà aziendale la società, quale titolare del trattamento, in applicazione del principio di accountability, deve mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che tutti i processi aziendali in cui girano dati personali vengono sviluppati in modo conforme alla normativa privacy.
Quando tali processi presentano sistematicamente un rischio elevato (vds. Art. 37/1 GDPR), lo stesso titolare deve essere assistito da un DPO[1], ruolo da assegnare unicamente ad una persona che abbia una conoscenza specialistica della normativa e delle pratiche nel controllo del rispetto del GDPR.
Il DPO è, quindi, chiamato ad “assistere” il titolare nel modellare e mantenere la compliance privacy. Ed è una entità affatto diversa dagli “autorizzati” e dai “responsabili” del trattamento” che devono trattare dati personali, seguendo le istruzioni del titolare.
Ora, proprio, in ragione della loro funzione privacy, questi ultimi sono soggetti all’attività di controllo e sorveglianza da parte del DPO.
L’OdV è soggetto al controllo e alla sorveglianza del DPO
L’OdV, secondo un noto parere del Garante[2], in relazione all’attività di trattamento di dati personali, è stato riconosciuto come “autorizzato al trattamento”.
In tale veste è quindi soggetto al controllo e alla sorveglianza da parte del DPO.
In articoli precedenti è stata evidenziata l’opportunità che l’OdV, nel quadro di una sistematica e strutturata collaborazione, richieda proattivamente il supporto del DPO per poter operare in piena sicurezza e tranquillità.
In questo scenario, resta da comprendere se l’OdV, in relazione al proprio campo di azione, possa o debba eseguire analoga attività di verifica sui compiti svolti dal DPO, considerando che entrambi gli Organi svolgono attività analoghe (audit, interviste ecc.).
I compiti uguali/simili e contrari del DPO e dell’OdV
I compiti eseguiti dal DPO e dall’OdV appaiono, in prima analisi, molto simili e, in effetti, lo sono.
Infatti, entrambi pianificano, eseguono e rendicontano al vertice aziendale:
- mappatura dei processi aziendali pertinenti al loro ambito di operatività;
- gestione dei rischi inerenti ai processi aziendali mappati;
- esame della documentazione;
- audit;
- interviste;
- interventi mirati a fronte di casi critici eccetera.
Se i compiti sono simili e a tratti uguali, certamente diversi appaiono gli oggetti delle loro verifiche.
Infatti, mentre il DPO esegue audit sugli audit dell’OdV, non può avvenire il contrario.
Se è vera la diretta non è vera la reciproca.
Infatti, l’OdV svolge le proprie attività di controllo sui processi aziendali, compresi quelli, sviluppati dal “titolare del trattamento” al fine di prevenire la commissione di reati presupposto della responsabilità amministrativa dell’Ente.
In tale quadro, lo stesso OdV, ragionevolmente, può solo controllare:
- la procedura di gara sulla base del quale il soggetto è stato scelto (in particolare nell’ambito della PA);
- il profilo professionale del DPO ed in controlli effettuati dall’ente per verificare la veridicità dello stesso;
- l’atto di designazione del DPO;
- la sottoscrizione, da parte del DPO, del Codice Etico;
- la presenza di conflitto di interesse tra altri ruoli eventualmente ricoperti dal DPO.
Sono tutte attività di verifica di processi e scelte del titolare del trattamento.
Appare, invece, ben più difficile sostenere la possibilità che l’OdV possa eseguire controlli e verifiche sull’attività svolta dal DPO. Ciò poiché:
- è arduo configurare possibili reati presupposto nell’esecuzione dei compiti attribuiti al DPO dall’art. 39 del GDPR;
- all’OdV non è richiesto di possedere specifiche competenze né è richiesto che le ricerchi all’esterno, anche avvalendosi del budget a sua disposizione.
Questo argomento è suffragato anche dalla considerazione che l’art. 38/3 del GDPR stabilisce che il DPO, in relazione all’esecuzione dei suoi compiti, non può ricevere alcuna istruzione né può essere rimosso o penalizzato. È pur vero che una analoga indipendenza e autonomia è riconosciuta anche all’OdV.
Tuttavia, va precisato che tale organismo, come già detto, in relazione all’attività di trattamento di dati personali è stato riconosciuto dal Garante come “autorizzato al trattamento”. E, esclusivamente in tale veste, è pertanto soggetto al controllo e alla sorveglianza da parte del DPO. Peraltro, lo sarebbe anche se rivestisse il ruolo privacy di “responsabile del trattamento”.
Ma come è possibile spiegare e accettare che due entità che svolgono attività simili all’interno, della stessa realtà aziendale, non si controllino reciprocamente?
In modo affatto suggestivo, per spiegare questa condizione è possibile far ricorso allo schema del terzo principio della dinamica, noto anche come terza legge di Newton o principio di azione e reazione, secondo il quale, per ogni forza che un corpo A esercita su un altro corpo B, ne esiste un’altra uguale, in modulo e direzione, e contraria nel verso, che B esercita su A.
Semplificando, l’OdV esercita una “azione”, eseguendo i suoi audit, nel corso dei quali, in veste di “autorizzato al trattamento”, può commettere violazioni privacy, esponendo così, il titolare del trattamento a sanzioni (e.g. trattando dati sanitari senza rispettare le condizioni di legittimità poste dal GDPR e dal Codice Privacy).
Su questa situazione il DPO interviene eseguendo una “azione uguale” – i.e. un’attività di audit – ma “contraria” a quella svolta dall’OdV poiché, la stessa azione, laddove fossero state commesse delle violazioni, è volta a (ri)-stabilire la compliance dei trattamenti, evitando che il titolare riceva sanzioni. Sono quindi due “forze”/attività uguali (rectius, simili) ma contrarie.
Resta, comunque, secondo noi, impregiudicata la possibilità per l’OdV di eseguire audit sul team del DPO. Ciò, poiché non sembrano sussistere specifici ostacoli legali o procedurali. Tuttavia, è fondamentale che tali audit siano condotti in modo da rispettare il ruolo e la responsabilità del DPO, senza compromettere l’indipendenza, l’autonomia e l’efficacia di questa figura chiave. Si tratta di un equilibrio essenziale per garantire che la protezione dei dati personali sia gestita in piena conformità al GDPR.
Conclusioni
In base alle precedenti considerazioni possiamo quindi considerare il DPO e l’OdV come dei “gemelli diversi”. “Gemelli” in quanto hanno in capo compiti simili, sia pure in ambiti differenti, “diversi” in quanto non vale il principio di reciprocità che renderebbe le due funzioni speculari.
Resta invece aperto il tema del perimetro dei controlli a capo dell’OdV laddove non fosse stato nominato un DPO.
Per quanto valgono le considerazioni precedentemente formulate, in una tale situazione, l’OdV dovrebbe monitorare e segnalare se del caso ai vertici aziendali, l’obbligo o l’opportunità di nominare un DPO, così come le misure da porre in atto laddove un DPO non adempisse i compiti di cui è incaricato.
È un modo di intendere il ruolo dell’OdV non solo come “supervisore” ma come “sentinella” consapevole delle esigenze specifiche della normativa privacy.
Infatti, si ha motivo di credere che il ruolo dell’OdV dovrebbe andare oltre il mero adempimento delle responsabilità assegnate, estendendosi anche alla promozione di una cultura aziendale che valorizzi e rispetti la privacy e la sicurezza dei dati.
Si è cercato, così, di evidenziare che la sinergia tra l’OdV e il DPO si basa su una complementarità strategica.
Mentre entrambi condividono compiti simili in termini di controllo e tutela dei dati, ciascuno apporta competenze specifiche che arricchiscono la visione complessiva della sicurezza dei dati nell’organizzazione.
Questo approccio collaborativo mira a garantire un controllo efficace e una protezione robusta dei dati, creando un ambiente in cui, attraverso il pieno rispetto delle normative, possono essere gestiti efficacemente i rischi inerenti ai processi aziendali e si esercita una valida ed affidabile corporate governance.
NOTE
Vds. Considerando 97 del GDPR. ↑
Parere GPDP del 12.05.2023 avente come oggetto “Richiesta di parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231”. ↑