Privacy, dall’informativa del «Dpo» un assist alla vigilanza del collegio sindacale
Con l’informativa del Data protection officer (Dpo) il collegio sindacale può vigilare sui principi di corretta amministrazione, sul rispetto della legge e dello statuto e sull’adeguatezza dell’assetto organizzativo.
Le nuove disposizioni normative sulla privacy previste dal Regolamento Ue 679/2016 (cosiddetto Gdpr ), pur avendo introdotto nell’ambito dell’organizzazione aziendale la figura del Responsabile della protezione dei dati (Dpo) nulla sancisce con riferimento ai rapporti e ai flussi informativi con le funzioni e gli organi di amministrazione e controllo. Ciò nonostante si ritiene fondamentale l’interazione tra il Dpo e l’assetto organizzativo proprio per implementare un sistema di controlli idoneo ad assicurare la valutazione, il monitoraggio e la gestione complessiva dei rischi.
Il Dpo – come anche la funzione di compliance o di risk manager – è una figura di controllo di secondo livello che deve collaborare con tutte le funzioni organizzative (legale, It, sicurezza ecc.) per il raggiungimento degli obiettivi imposti dal Gdpr.
La funzione di internal audit effettua controlli di terzo livello ed esegue verifiche sull’adeguatezza e sull’efficacia delle funzioni di secondo livello tra cui, appunto, la funzione di compliance, di risk management ovvero Dpo.
L’internal audit, quindi, avrà il compito di verificare che il Dpo svolga tutti i compiti a esso attribuiti e formalizzati nelle procedure e/o nel Gdpr, quali, i rapporti con il Garante, la gestione degli adempimenti normativi in materia di privacy, nonché il controllo sui report delle funzioni organizzative di primo e secondo livello in relazione alla disciplina privacy.
Il Dpo, dunque, dovrebbe – anche ai fini di rendere più completi ed efficaci i flussi informativi aziendali – trasmettere alla funzione di internal audit, al collegio sindacale e al Consiglio di amministrazione – almeno annualmente – un’informativa sul trattamento dei dati e sull’attività svolta che abbia impatto sulla corretta amministrazione dell’organizzazione.
Anche l’Organismo di vigilanza deve collaborare con il Dpo allo scopo di valutare l’impatto che il nuovo Regolamento ha sul Modello di organizzazione e gestione e, eventualmente, aggiornarlo per le materie inerenti il trattamento e la protezione dei dati.
Il Dpo deve informare periodicamente l’Organismo di vigilanza sui trattamenti in essere e sulla prevenzione di eventuali reati e, ovviamente, dovrà informare tempestivamente la funzione di internal audit, il Collegio sindacale e l’Odv in caso di violazioni o deviazioni dalla norma.
Egli deve interagire anche con il revisore soprattutto qualora il trattamento dei dati produca impatti sulle poste di bilancio.
In particolare, il Data protection officer, per il revisore, è la figura di riferimento indipendente per garantire l’efficacia delle misure di sicurezza che l’azienda ha messo in atto al fine di prevenire un accesso ai dati personali e un trattamento degli stessi non autorizzato (accesso alle applicazioni, ai sistemi operativi e ai database).
Da quanto detto si evince dunque la necessità di una continua interazione tra gli organi e le funzioni aziendali, riconoscendo la peculiarità e la specificità del Dpo con riferimento all’individuazione, alla valutazione, al monitoraggio e alla gestione del "rischio privacy".