{"id":3144,"date":"2017-08-06T10:31:24","date_gmt":"2017-08-06T08:31:24","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=3144"},"modified":"2017-08-10T15:01:42","modified_gmt":"2017-08-10T13:01:42","slug":"banking-dpo","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/08\/06\/banking-dpo\/","title":{"rendered":"BANCHE E DPO"},"content":{"rendered":"<p>Attualmente in ambito bancario vi \u00e8 un acceso dibattito circa la posizione del DPO.<\/p>\n<p>Il mondo delle banche \u00e8 caratterizzato da un elevato numero di normative ed \u00e8 dotato di un sistema di controllo, regolamentato fra gli altri dalla Circolare n. 285 del 17 dicembre 2013 che definisce:<\/p>\n<p style=\"padding-left: 30px;\"><em>\u201cfunzioni aziendali di controllo\u201d: la funzione di conformit\u00e0 alle norme (compliance), la funzione di controllo dei rischi (risk management function) e la funzione di revisione interna (internal audit) <\/em><\/p>\n<p>Nel dettaglio la Circolare 285 recita:<\/p>\n<p style=\"padding-left: 30px;\"><em>A prescindere dalle strutture dove sono collocate, si possono individuare le seguenti tipologie di controllo: <\/em><\/p>\n<p style=\"padding-left: 30px;\"><em>\u2014 controlli di linea (c.d. \u201ccontrolli di primo livello\u201d), diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture operative (ad es., controlli di tipo gerarchico, sistematici e a campione), anche attraverso unit\u00e0 dedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell\u2019ambito del back office; per quanto possibile, essi sono incorporati nelle procedure informatiche. Le strutture operative sono le prime responsabili del processo di gestione dei rischi: nel corso dell\u2019operativit\u00e0 giornaliera tali strutture devono identificare, misurare o valutare, monitorare, attenuare e riportare i rischi derivanti dall\u2019ordinaria attivit\u00e0 aziendale in conformit\u00e0 con il processo di gestione dei rischi; esse devono rispettare i limiti operativi loro assegnati coerentemente con gli obiettivi di rischio e con le procedure in cui si articola il processo di gestione dei rischi; <\/em><\/p>\n<p style=\"padding-left: 30px;\"><em>\u2014 controlli sui rischi e sulla conformit\u00e0 (c.d. \u201ccontrolli di secondo livello\u201d), che hanno l\u2019obiettivo di assicurare, tra l\u2019altro: <\/em><\/p>\n<ol>\n<li><em> la corretta attuazione del processo di gestione dei rischi; <\/em><\/li>\n<li><em> il rispetto dei limiti operativi assegnati alle varie funzioni; <\/em><\/li>\n<li><em> la conformit\u00e0 dell\u2019operativit\u00e0 aziendale alle norme, incluse quelle di autoregolamentazione. <\/em><\/li>\n<\/ol>\n<p style=\"padding-left: 30px;\"><em>Le funzioni preposte a tali controlli sono distinte da quelle produttive; esse concorrono alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi; <\/em><\/p>\n<p style=\"padding-left: 30px;\"><em>\u2014 revisione interna (c.d. \u201ccontrolli di terzo livello\u201d), volta a individuare violazioni delle procedure e della regolamentazione nonch\u00e9 a valutare periodicamente la completezza, l\u2019adeguatezza, la funzionalit\u00e0 (in termini di efficienza ed efficacia) e l\u2019affidabilit\u00e0 del sistema dei controlli interni e del sistema informativo (ICT audit), con cadenza prefissata in relazione alla natura e all\u2019intensit\u00e0 dei rischi. <\/em><\/p>\n<p>Si hanno quindi controlli di primo, secondo e terzo livello.<\/p>\n<p>In particolare l\u2019internal audit, funzione di revisione interna di terzo livello, interviene su tutti i fronti ed ha sotto il proprio perimetro di controllo le funzioni di secondo livello.<\/p>\n<p>In tale sistema sono importanti i riporti funzionali e gerarchici che vedono solitamente le funzioni di secondo livello rapportarsi all\u2019A.D. ed i controlli di terzo livello in staff al CDA.<\/p>\n<p>In questo complesso schema va collocato il DPO, una figura che la normativa vuole essere indipendente come richiamato dal Considerando 97:<\/p>\n<p style=\"padding-left: 30px;\"><em>Tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente.<\/em><\/p>\n<p>e tale da riferire al pi\u00f9 alto livello gerarchico (identificato dal WP29 nelle proprie \u201cLinee-guida sui responsabili della protezione dei dati (RPD)\u201d nel CDA):<\/p>\n<p style=\"padding-left: 30px;\"><em>Al riguardo, l\u2019art. 38, paragrafo 3, prevede che il RPD \u201criferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento\u201d. Tale rapporto diretto garantisce che il vertice amministrativo (per esempio, il consiglio di amministrazione) sia a conoscenza delle indicazioni e delle raccomandazioni fornite dal RPD nel quadro della sue funzioni di informazione e consulenza a favore del titolare o del responsabile.<\/em><\/p>\n<p>In tale contesto molte banche stanno valutando se collocare il DPO allo stesso livello dei controlli di secondo livello (quelli dedicati ai controlli sulla conformit\u00e0).<\/p>\n<p>A mio avviso tuttavia, questo potrebbe comportare qualche problema proprio in virt\u00f9 del sistema dei controlli appena descritto.<\/p>\n<p>Un DPO posto in tale posizione sarebbe una struttura \u201cauditabile\u201d e questo potrebbe essere in contrasto con il principio di indipendenza sopra riportato.<\/p>\n<p>Si pone quindi il problema, da un lato di valutare se il DPO sia o meno assoggettabile ad attivit\u00e0 di controllo, dall\u2019altro da parte di quale struttura potrebbe essere controllato.<\/p>\n<p>A tale secondo quesito sarebbe naturale rispondere dall\u2019audit, ma qui si pone un altro problema.<\/p>\n<p>A differenza di tutte le altre attivit\u00e0 bancarie, il trattamento di dati personali non \u00e8 di competenza delle sole strutture operative.<\/p>\n<p>Le funzioni di controllo pongono in essere esse stesse trattamenti di dati personali.<\/p>\n<p>Devono pertanto sottostare alle stesse regole sul trattamento dei dati che valgono per le strutture operative e sono esse stesse, su tale fronte, \u201csorvegliate\u201d dal DPO (il quale a sua volta svolge un rilevante numero di trattamenti di dati personali).<\/p>\n<p>Si rischia quindi di creare un circolo nel quale controllato e controllore sono le medesime strutture che si scambiano di ruolo a seconda dei casi con effetti difficili da prevedere.<\/p>\n<p>Proprio in virt\u00f9 di tale sovrapposizione di ruoli e possibili conflitti di interesse ritengo altres\u00ec difficile riuscire a creare un ufficio che svolga l\u2019attivit\u00e0 di DPO che possa avvalersi di risorse non direttamente assegnate all\u2019ufficio stesso.<\/p>\n<p>Ritengo quindi che ci siano ampi margini di discussione su quale possa essere la corretta posizione del DPO tenendo presente quanto appena esposto.<\/p>\n<p>Ancora una volta, la normativa privacy si rivela difficile da maneggiare ed assolutamente pervasiva; come tale merita un approccio che tenga conto contemporaneamente di una molteplicit\u00e0 di fattori che solo una approfondita e vissuta conoscenza del mondo bancario pu\u00f2 dare.<\/p>","protected":false},"excerpt":{"rendered":"<p>Attualmente in ambito bancario vi \u00e8 un acceso dibattito circa la posizione del DPO. Il mondo delle banche \u00e8 caratterizzato da un elevato numero di normative ed \u00e8 dotato di un sistema di controllo, regolamentato fra gli altri dalla Circolare n. 285 del 17 dicembre 2013 che definisce: \u201cfunzioni aziendali di controllo\u201d: la funzione di\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2017\/08\/06\/banking-dpo\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":42,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-3144","post","type-post","status-publish","format-standard","hentry","category-data-protection-officer"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3144","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=3144"}],"version-history":[{"count":5,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3144\/revisions"}],"predecessor-version":[{"id":3155,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3144\/revisions\/3155"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=3144"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=3144"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=3144"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}