Il rapporto tra Organismo di Vigilanza e il nuovo GDPR

Con l’uscita del decreto legislativo 101/2018 che armonizza i contenuti del D.Lgs. 196/03 al più recente Regolamento europeo 679/2016 in materia di tutela dei dati personali, può essere utile una riflessione circa il rapporto tra la figura dell’Organismo di Vigilanza e quella del Responsabile della Protezione dei Dati.

Come è noto, gli illeciti legati a violazioni dei dati personali non rientrano esplicitamente nel novero dei reati per i quali si possa configurare la responsabilità dell’ente, motivo che potrebbe portare a considerare i due ambiti come compartimenti stagni. Ma se ci poniamo dal punto di osservazione dell’ente, le cose stanno in maniera diversa.

Il GDPR, infatti, richiede una valutazione dei rischi legati alla violazione dei dati personali trattati, per non menzionare l’eventuale valutazione di impatto aggiuntiva, esattamente come il D.Lgs. 231 01 richiede una valutazione dei rischi rispetto al coinvolgimento dell’ente nella commissione dei cosiddetti “reati presupposto”: e quando si arriva a parlare di reati informatici (solo per citarne uno), alcune delle contromisure coprono evidentemente entrambi gli ambiti. Possono quindi cambiare il tipo di lenti indossate, ma gli occhiali dell’analisi di rischio ormai sono un accessorio che ogni ente deve mettere nel proprio libro cespiti, come del resto avviene anche nel mondo della normazione volontaria, in cui – solo per citare alcuni esempi – le norme in materia di sicurezza informatica (ISO 27001), salute e sicurezza dei lavoratori (ISO 45001) e qualità dei servizi erogati (ISO 9001) richiedono la conduzione di una analisi che renda il management consapevole dei rischi cui è esposto in modo da metterlo nelle condizioni migliori per prendere decisioni sulle contromisure da adottare.

O, in altri termini, che renda insostenibile la posizione per cui “non ero a conoscenza di questo rischio”.

Se andiamo poi ad analizzare la figura del Responsabile della Protezione dei Dati (RPD, art. 37 del GDPR), tra i compiti che gli sono affidati rientrano “almeno” (art. 39) la consulenza sugli obblighi derivanti dal GDPR, la sorveglianza circa l’osservanza del Regolamento, la fornitura – se richiesta – di un parere in merito alla valutazione di impatto, in forte analogia operativa con quelli che sono i compiti ormai consolidati dell’Organismo di Vigilanza.

Rimane a questo punto una interessante domanda: i ruoli di OdV e RPD sono sovrapponibili? La risposta potrebbe essere sì – a meno di espliciti divieti normativi – ma è sottoposta ad almeno due condizioni. La prima è la competenza tecnica specifica per ambito: un conto è conoscere la responsabilità amministrativa e le sue implicazioni, un altro è la normativa in materia di tutela dei dati personali, dove oltre al Governo abbiamo la figura del Garante che dispone dell’autorità per normare direttamente la materia. Il membro dell’OdV che fosse anche RPD dovrebbe garantire un adeguato aggiornamento su entrambi gli ambiti. La seconda è la capacità di relazione: se l’OdV ha un ruolo di sicura interfaccia con le controparti interessate dal modello di organizzazione e gestione, il RPD (ancora una volta secondo l’art. 39) ha istituzionalmente quello di fungere da punto di contatto con l’autorità di controllo, con la quale è tenuto a cooperare. Se si pensa al tema delle segnalazioni circa le violazioni del modello o le lacune del sistema di controllo per la protezione dei dati (es. reclami) è più che auspicabile che le due funzioni, se fisicamente separate, cooperino strettamente per definire le specifiche regole di ingaggio.

In ultima analisi, le strutture degli ultimi dettati normativi mettono la Direzione dell’ente nella posizione facilitata di dover dialogare allo stesso modo con soggetti diversi, favorendo l’opportunità di investire in strumenti di gestione che consentano – se opportunamente tarati – la realizzazione di interessanti economie di scala, nonché di facilità di comprensione e attuazione da parte degli utenti. Non dimentichiamoci, infatti, che regole e controlli sia in ambito di responsabilità amministrativa che di tutela dei dati personali impattano direttamente sul lavoro quotidiano tanto del Megadirettore Naturale di fantozziana memoria quanto (rispettando la cinematografica similitudine) dell’ultimo degli inferiori: e tanto più controlli e regole sono chiare, motivate e comprensibili, tanto più è alta la probabilità che vengano correttamente applicate.

E se consideriamo il rischio derivante dall’applicazione delle sanzioni nei due ambiti, non è un fattore da sottovalutare.

 

Articolo di Alfredo Sannoner

Trasparenza, lealtà, competenza ed etica sono probabilmente i valori più importanti per me quando lavoro. Le mie specialità: Analisi organizzativa e di rischio, progettazione di sistemi di gestione.

Contattaci:

Accetto le condizioni sulla Privacy. [Leggi]