La Funzione di Compliance all’interno di un contesto bancario segue le direttive previste nella Circolare 285:
“Per le norme più rilevanti ai fini del rischio di non conformità, quali quelle che riguardano l’esercizio dell’attività bancaria e di intermediazione, la gestione dei conflitti di interesse, la trasparenza nei confronti della clientela e, più in generale, la disciplina posta a tutela del consumatore, e per quelle norme per le quali non siano già previste forme di presidio specializzato all’interno della banca, la funzione è direttamente responsabile della gestione del rischio di non conformità”
Tendenzialmente la responsabilità in relazione alla conformità alla “Privacy” è stata di competenza della funzione di Compliance o, quanto meno, ripresa all’interno della cosiddetta “Compliance Graduata”, secondo la possibilità di graduare i compiti della compliance in collaborazione con funzioni specialistiche incaricate, comunque rimanendone responsabile, come previsto dalla Circolare 285 di Banca d’Italia.
“Con riferimento ad altre normative per le quali siano già previste forme specifiche di presidio specializzato (ad es.: normativa sulla sicurezza sul lavoro, in materia di trattamento dei dati personali), la banca, in base a una valutazione dell’adeguatezza dei controlli specialistici a gestire i profili di rischio di non conformità, può graduare i compiti della compliance, che comunque è responsabile, in collaborazione con le funzioni specialistiche incaricate, almeno della definizione delle metodologie di valutazione del rischio di non conformità e della individuazione delle relative procedure, e procede alla verifica dell’adeguatezza delle procedure medesime a prevenire il rischio di non conformità.”
Con l’entrata in vigore del GDPR e di nuovo strutture organizzative connesse è cambiato qualcosa?
L’Articolo 39 del GDPR affida al DPO, tra gli altri compiti e implicitamente nel suo ambito di azione, quello di sorvegliare l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.
Il Considerando 97 prevede che il DPO dovrebbe “poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”, mentre nelle “Linee-guida sui responsabili della protezione dei dati (RPD)” nel CDA si legge:
“Al riguardo, l’art. 38, paragrafo 3, prevede che il RPD “riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”. Tale rapporto diretto garantisce che il vertice amministrativo (per esempio, il consiglio di amministrazione) sia a conoscenza delle indicazioni e delle raccomandazioni fornite dal RPD nel quadro della sue funzioni di informazione e consulenza a favore del titolare o del responsabile.”
Una situazione ancora difficile da valutare
Vi sono due punti da considerare:
- il trattamento dei dati personali in una banca non è solo tipico delle funzioni di “operations” ma anche delle funzioni di controllo. In questo caso il DPO dovrebbe svolgere lo stesso ruolo di “assurer” rispetto alle attività di secondo e terzo livello.
- rispetto alla dipendenza diretta gerarchica al titolare/responsabile del trattamento, risulta difficile assoggettare il DPO e il suo ufficio ad un ente di secondo livello come la Compliance.
Fateci sapere la vostra
Il nuovo GDPR e la normativa privacy si rivela difficile da valutare alla luce delle regole imposte da Banca d’Italia.
Ci piacerebbe avere un feedback su come gli istituti bancari si siano organizzati in tal senso.
Potete farlo semplicemente lasciando un commento per rispondere alle seguenti domande :
Come la tua banca si è organizzata per la gestione della normativa GDPR
1. Ufficio DPO indipendente
2. Ufficio DPO dipendente da Compliance
3. Altro (specifica quale)
La banca presso cui lavori o operi
A. Banca parte di gruppo bancario
B. Banca stand alone
C. Altro
Buongiorno, sono un avvocato e vorrei conoscere strumenti e tempi di accesso alle banche dati in materia di antiriciclaggio in quanto dovrei assistere un cliente che assume di essere stato leso dall’ingiustificato inserimento del suo nominativo nella lista PEP.
Le banche dati che lei cita sono di solito a pagamento ad uso delle banche. Nulla vieta di poter far un abbonamento e verificare il nominativo, tuttavia non è detto che possa trovare il nominativo del suo cliente, poiché può dipendere dalla banca dati usata dalla banca presso cui il suo cliente ha il rapporto in essere. Le consiglieremmo di rivolgersi alla banca di pertinenza con il modulo di adeguata verifica firmato in cui si evince la classificazione a PEP chiedendo chiarimenti. Nel caso la filiale /customer care non risponda può inoltrare opportuno reclamo secondo i canali previsti dalla banca stessa.