BANCHE E DPO

di | 6 August 2017

Attualmente in ambito bancario vi è un acceso dibattito circa la posizione del DPO.

Il mondo delle banche è caratterizzato da un elevato numero di normative ed è dotato di un sistema di controllo, regolamentato fra gli altri dalla Circolare n. 285 del 17 dicembre 2013 che definisce:

“funzioni aziendali di controllo”: la funzione di conformità alle norme (compliance), la funzione di controllo dei rischi (risk management function) e la funzione di revisione interna (internal audit)

Nel dettaglio la Circolare 285 recita:

A prescindere dalle strutture dove sono collocate, si possono individuare le seguenti tipologie di controllo:

— controlli di linea (c.d. “controlli di primo livello”), diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture operative (ad es., controlli di tipo gerarchico, sistematici e a campione), anche attraverso unità dedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell’ambito del back office; per quanto possibile, essi sono incorporati nelle procedure informatiche. Le strutture operative sono le prime responsabili del processo di gestione dei rischi: nel corso dell’operatività giornaliera tali strutture devono identificare, misurare o valutare, monitorare, attenuare e riportare i rischi derivanti dall’ordinaria attività aziendale in conformità con il processo di gestione dei rischi; esse devono rispettare i limiti operativi loro assegnati coerentemente con gli obiettivi di rischio e con le procedure in cui si articola il processo di gestione dei rischi;

— controlli sui rischi e sulla conformità (c.d. “controlli di secondo livello”), che hanno l’obiettivo di assicurare, tra l’altro:

  1. la corretta attuazione del processo di gestione dei rischi;
  2. il rispetto dei limiti operativi assegnati alle varie funzioni;
  3. la conformità dell’operatività aziendale alle norme, incluse quelle di autoregolamentazione.

Le funzioni preposte a tali controlli sono distinte da quelle produttive; esse concorrono alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi;

— revisione interna (c.d. “controlli di terzo livello”), volta a individuare violazioni delle procedure e della regolamentazione nonché a valutare periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema dei controlli interni e del sistema informativo (ICT audit), con cadenza prefissata in relazione alla natura e all’intensità dei rischi.

Si hanno quindi controlli di primo, secondo e terzo livello.

In particolare l’internal audit, funzione di revisione interna di terzo livello, interviene su tutti i fronti ed ha sotto il proprio perimetro di controllo le funzioni di secondo livello.

In tale sistema sono importanti i riporti funzionali e gerarchici che vedono solitamente le funzioni di secondo livello rapportarsi all’A.D. ed i controlli di terzo livello in staff al CDA.

In questo complesso schema va collocato il DPO, una figura che la normativa vuole essere indipendente come richiamato dal Considerando 97:

Tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente.

e tale da riferire al più alto livello gerarchico (identificato dal WP29 nelle proprie “Linee-guida sui responsabili della protezione dei dati (RPD)” nel CDA):

Al riguardo, l’art. 38, paragrafo 3, prevede che il RPD “riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”. Tale rapporto diretto garantisce che il vertice amministrativo (per esempio, il consiglio di amministrazione) sia a conoscenza delle indicazioni e delle raccomandazioni fornite dal RPD nel quadro della sue funzioni di informazione e consulenza a favore del titolare o del responsabile.

In tale contesto molte banche stanno valutando se collocare il DPO allo stesso livello dei controlli di secondo livello (quelli dedicati ai controlli sulla conformità).

A mio avviso tuttavia, questo potrebbe comportare qualche problema proprio in virtù del sistema dei controlli appena descritto.

Un DPO posto in tale posizione sarebbe una struttura “auditabile” e questo potrebbe essere in contrasto con il principio di indipendenza sopra riportato.

Si pone quindi il problema, da un lato di valutare se il DPO sia o meno assoggettabile ad attività di controllo, dall’altro da parte di quale struttura potrebbe essere controllato.

A tale secondo quesito sarebbe naturale rispondere dall’audit, ma qui si pone un altro problema.

A differenza di tutte le altre attività bancarie, il trattamento di dati personali non è di competenza delle sole strutture operative.

Le funzioni di controllo pongono in essere esse stesse trattamenti di dati personali.

Devono pertanto sottostare alle stesse regole sul trattamento dei dati che valgono per le strutture operative e sono esse stesse, su tale fronte, “sorvegliate” dal DPO (il quale a sua volta svolge un rilevante numero di trattamenti di dati personali).

Si rischia quindi di creare un circolo nel quale controllato e controllore sono le medesime strutture che si scambiano di ruolo a seconda dei casi con effetti difficili da prevedere.

Proprio in virtù di tale sovrapposizione di ruoli e possibili conflitti di interesse ritengo altresì difficile riuscire a creare un ufficio che svolga l’attività di DPO che possa avvalersi di risorse non direttamente assegnate all’ufficio stesso.

Ritengo quindi che ci siano ampi margini di discussione su quale possa essere la corretta posizione del DPO tenendo presente quanto appena esposto.

Ancora una volta, la normativa privacy si rivela difficile da maneggiare ed assolutamente pervasiva; come tale merita un approccio che tenga conto contemporaneamente di una molteplicità di fattori che solo una approfondita e vissuta conoscenza del mondo bancario può dare.

Categoria: Data Protection Officer

Informazioni su Giancarlo Butti

Deals with ICT, organization and legislation since the early 80s covering different roles: security manager, project manager, auditor at banking groups, consultant in security and privacy to companies of different sectors and sizes. Performs regular activity of dissemination through articles (over 700), books (21 between books and white papers also used as university texts, 11 collective works within the ABI LAB, Oracle Community for Security and CLUSIT), technical manuals, courses, seminars, conferences… participates in working groups to ABI LAB on Business Continuity, Risk and GDPR, ISACA-AIEA on GDPR and 263, Oracle Community for Security, UNINFO, ASSOGESTIONI and the Committee of experts for the innovation of OMAT360. He is a member of the faculty of ABI Training. He is a partner and proboviro of ISACA-AIEA Member of CLUSIT and BCI. He is certified (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM, DPO, CBCI, AMBCI.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.