La Funzione di Compliance all’interno di un contesto bancario segue le direttive previste nella Circolare 285:

“Per le norme più rilevanti ai fini del rischio di non conformità, quali quelle che riguardano l’esercizio dell’attività bancaria e di intermediazione, la gestione dei conflitti di interesse, la trasparenza nei confronti della clientela e, più in generale, la disciplina posta a tutela del consumatore, e per quelle norme per le quali non siano già previste forme di presidio specializzato all’interno della banca, la funzione è direttamente responsabile della gestione del rischio di non conformità”

Tendenzialmente la responsabilità in relazione alla conformità alla “Privacy” è stata di competenza della funzione di Compliance o, quanto meno, ripresa all’interno della cosiddetta “Compliance Graduata”, secondo la possibilità di graduare i compiti della compliance in collaborazione con funzioni specialistiche incaricate, comunque rimanendone responsabile, come previsto dalla Circolare 285 di Banca d’Italia.

“Con riferimento ad altre normative per le quali siano già previste forme specifiche di presidio specializzato (ad es.: normativa sulla sicurezza sul lavoro, in materia di trattamento dei dati personali), la banca, in base a una valutazione dell’adeguatezza dei controlli specialistici a gestire i profili di rischio di non conformità, può graduare i compiti della compliance, che comunque è responsabile, in collaborazione con le funzioni specialistiche incaricate, almeno della definizione delle metodologie di valutazione del rischio di non conformità e della individuazione delle relative procedure, e procede alla verifica dell’adeguatezza delle procedure medesime a prevenire il rischio di non conformità.”

Con l’entrata in vigore del GDPR e di nuovo strutture organizzative connesse è cambiato qualcosa?

L’Articolo 39 del GDPR affida al DPO, tra gli altri compiti e implicitamente nel suo ambito di azione, quello di sorvegliare l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo.

Il Considerando 97 prevede che il DPO dovrebbe “poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”, mentre nelle “Linee-guida sui responsabili della protezione dei dati (RPD)” nel CDA si legge:

“Al riguardo, l’art. 38, paragrafo 3, prevede che il RPD “riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”. Tale rapporto diretto garantisce che il vertice amministrativo (per esempio, il consiglio di amministrazione) sia a conoscenza delle indicazioni e delle raccomandazioni fornite dal RPD nel quadro della sue funzioni di informazione e consulenza a favore del titolare o del responsabile.”

Una situazione ancora difficile da valutare

Vi sono due punti da considerare:

  1. il trattamento dei dati personali in una banca non è solo tipico delle funzioni di “operations” ma anche delle funzioni di controllo. In questo caso il DPO dovrebbe svolgere lo stesso ruolo di “assurer” rispetto alle attività di secondo e terzo livello.
  2. rispetto alla dipendenza diretta gerarchica al titolare/responsabile del trattamento, risulta difficile assoggettare il DPO e il suo ufficio ad un ente di secondo livello come la Compliance.

 

Fateci sapere la vostra

Il nuovo GDPR e la normativa privacy si rivela difficile da valutare alla luce delle regole imposte da Banca d’Italia.
Ci piacerebbe avere un feedback su come gli istituti bancari si siano organizzati in tal senso.

Potete farlo semplicemente lasciando un commento per rispondere alle seguenti domande :

Come la tua banca si è organizzata per la gestione della normativa GDPR

1. Ufficio DPO indipendente
2. Ufficio DPO dipendente da Compliance
3. Altro (specifica quale)

La banca presso cui lavori o operi
A. Banca parte di gruppo bancario
B. Banca stand alone
C. Altro