A cura dell’avvocato Vittorio Colomba, Coordinatore Dipartimento Data Protection di SC Avvocati Associati

Dopo l’ approfondimento su Risk Management e MOG 231, approdiamo al tema del ruolo dell’internal audit nella gestione dei rischi in ambito privacy.

Nei processi di governance aziendale il tema dei controlli interni ha assunto un ruolo di primaria importanza, malgrado la fluidità dei quadri normativi di riferimento spesso ostacoli un’agevole delimitazione dei perimetri di competenza degli uffici a tal fine preposti.

Il rischio più volte emerso, almeno nelle strutture più articolate, è che una certa confusione finisca per generare aree di potenziale sovrapposizione tra i compiti spettanti alle singole funzioni di garanzia.

Tante figure impegnate con le stesse finalità

Nell’operatività quotidiana, pertanto, si sono registrati spesso ruoli diversi – non di rado in conflitto tra loro – impegnati sugli stessi problemi, oppure, forse ancor peggio, intere attività aziendali non presidiate da nessuno, sulla convinzione di ognuno che il compito spetti ad altri.

Negli enti complessi, in definitiva, una molteplicità di figure, regole, procedure e strutture organizzative concorrono al perseguimento delle medesime finalità: l’efficacia/efficienza dei processi aziendali, la salvaguardia del valore delle attività, la protezione dalle perdite, l’affidabilità e integrità delle informazioni contabili e gestionali, la verifica della conformità delle operazioni rispetto alle normative di riferimento, nonché ai piani, ai regolamenti e alle procedure interne.

L’attività dell’Internal Audit, lo sa bene chi se ne occupa, non è nuova a cambiamenti, a tratti radicali, solitamente derivanti dalle mutazioni dei contesti di riferimento o dalle evoluzioni imposte dalle normative di Vigilanza.

È sufficiente, a tal proposito, ricordare la profonda revisione dell’architettura del sistema dei controlli interni impressa dall’introduzione delle funzioni di Risk Management e Compliance.

Internal Audit, Compliance e Risk Management: differenza dei ruoli

In questo quadro, come noto, l’Internal Audit ha da sempre un ruolo preminente, al vertice dei controlli cosiddetti di terzo livello, incaricato di valutare la completezza, la funzionalità e l’adeguatezza dei sistemi e delle procedure, anche di controllo.

Compliance e Risk Management si posizionano invece tra i controlli di secondo livello: la prima deve verificare l’adeguatezza delle procedure interne rispetto alla possibile violazione di norme di etero regolamentazione (leggi e regolamenti) e autoregolamentazione (codici di condotta, codici etici); la funzione di Risk Management, d’altro canto, ha il compito di individuare, misurare, controllare e gestire tutti i rischi legati alle attività, ai processi e ai sistemi dell’impresa.

A chi spetta la gestione dei rischi del trattamento dei dati

Delimitate, con le ovvie approssimazioni del caso, le caratteristiche di queste importantissime funzioni aziendali, si pone quindi il tema del trattamento dei dati personali: a chi spetta la gestione dei relativi rischi? Come devono relazionarsi le funzioni fin qui descritte con la figura del Responsabile della Protezione dei Dati (RPD/DPO)?

Sono tematiche delicate che, almeno in partenza, suggeriscono un ragionamento svolto al contrario: prima di domandarsi come il sistema dei controlli interni debba approcciare i problemi di data protection, è probabilmente utile riflettere su come la normativa in materia di data protection inquadri le figure in esso coinvolte.

Internal Auditor, Compliance e Risk Manager sono qualificabili come semplici “autorizzati” (o “designati”) al trattamento, e secondo l’indicazione prevista all’art. 4, par. 1, n. 10 GDPR, si limitano ad agire sotto l’autorità del Titolare del trattamento, che deve istruirli sulle corrette modalità di gestione dei dati con i quali entreranno in contatto.

Anche il d.lgs. 101/2018, disciplina il ruolo dei “designati” al trattamento e all’art. 2 – quaterdecies, comma 1, prevede espressamente: “Il titolare o responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

Si tratta, in definitiva, di figure munite di un ristrettissimo potere decisionale in ordine alle politiche di data protection, dovendosi esse limitare ad agire “sotto l’autorità” del Titolare o del Responsabile.

L’assenza di una concreta facoltà di intervento, e quindi di correzione rispetto a politiche di trattamento potenzialmente scorrette, comporta, inevitabilmente, una sostanziale estraneità anche ai corrispondenti profili di colpa.

I reali responsabili del trattamento

Le vere responsabilità del trattamento risiedono, in definitiva, altrove.

Titolare del trattamento dei dati

Ricadono, in primis e in via quasi esclusiva, sul Titolare del trattamento, cui spetta il compito di mettere in atto “misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al [presente] regolamento” (art. 24, par. 1, GDPR).

Sempre il Titolare del trattamento è il soggetto tenuto a “garantire un livello di sicurezza adeguato al rischio” (art. 32, par. 1 GDPR), nonché ad effettuare “una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.

Responsabile della Protezione dei Dati

In soccorso al Titolare del trattamento, come prima accennato, il GDPR ha previsto la figura del Responsabile della Protezione dei Dati, cui ha espressamente delegato, tra gli altri compiti, anche quello di “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento” in merito agli obblighi derivanti dal Regolamento, nonché sorvegliare l’osservanza del Regolamento medesimo e “fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati” (art. 39, par. 1, GDPR).

L’RPD non è certamente inquadrabile in alcuna struttura gerarchica, anzi, il Titolare del trattamento deve assicurarsi che “non riceva alcuna istruzione per quanto riguarda l’esecuzione” dei suoi compiti (art. 38, par. 3 GDPR) ed è espressamente previsto che egli si relazioni e riferisca “direttamente al vertice gerarchico del titolare del trattamento”.

Entrambi sono i veri responsabili

Le principali responsabilità derivanti dal trattamento dei dati, in definitiva, ricadono sul Titolare del trattamento e sul Responsabile della Protezione dei Dati e si tratta di un binomio in cui è difficile concepire l’intervento di terzi che possano rivendicare (o sui quali si possano caricare) attribuzioni di qualunque natura.

Come poc’anzi ricordato, non a caso, tra i compiti che il Regolamento attribuisce all’RPD vi è anche quello di “sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo” (art. 39, par. 1, lett. b).

In capo all’RPD, in sostanza, è previsto un onere di controllo su tutte le attività e – per quanto di interesse in questa sede – anche su tutte le figure coinvolte nel trattamento dei dati e nelle “connesse attività di controllo”.

Volendo estremizzare il risultato emergente da questo quadro, l’RPD parrebbe potersi qualificare come una sorta di anomalo Internal Audit con riferimento a tutto ciò che attenga le politiche e le procedure di trattamento dei dati.

In quest’ottica, accettata la centralità dell’RPD nelle funzioni di controllo delle politiche del trattamento dei dati, se ne dovrebbe poter dedurre il sostanziale svuotamento delle attribuzioni in materia da parte dell’Internal Audit.

Internal Audit e rischi privacy

Compiuta questa azione di regolamento dei confini tra diverse funzioni di garanzia e controllo, resta da chiarire se, almeno con riferimento a specifiche fattispecie, l’Internal Audit conservi alcune competenze anche con riferimento ai cosiddetti rischi privacy.

Una di queste è senz’altro rinvenibile nella valutazione delle condizioni per procedere alla nomina di un Responsabile per la Protezione dei Dati, obbligatoria, lo si ricorda, solo nei seguenti casi:

  • se le attività di trattamento, per loro natura, ambito di applicazione e/o finalità, richiedono un “monitoraggio regolare e sistematico” degli interessati;
  • in caso affermativo, se tale monitoraggio è effettuato “su larga scala”;
  • se tale monitoraggio si può considerare “attività principale”.

L’Internal Audit, difatti, di norma preesiste rispetto all’RPD e gioca un ruolo rilevante nell’identificarne la necessità o meno della nomina.

Qualora, peraltro, l’anzidetta valutazione conducesse a ritenere superfluo l’incarico di un RPD, è ragionevole ritenere che in capo all’Internal Audit debba permanere anche la valutazione di tutti i rischi inerenti il trattamento dei dati, poiché unica figura aziendale preposta a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance.