Gli MTO fra vincoli ed opportunità

I Money Transfer Operator (MTO) rientrano nel novero dei soggetti obbligati all’osservanza della legislazione Antiriciclaggio al pari, fra gli altri, dei professionisti, delle società di revisione, delle imprese di assicurazione, degli istituti di moneta elettronica, dei prestatori di servizi relativi all’utilizzo di moneta virtuale o ancora di servizi di portafoglio digitali.

La particolarità del loro core business, l’effettuazione di operazioni di trasferimento verso paesi esteri di flussi finanziari, impone frequenti controlli da parte dell’Autorità di vigilanza.

La presenza dei molteplici paletti che li riguardano suggeriscono l’adozione di una serie di presidi organizzativi che, insieme all’adeguata applicazione della normativa cogente, sia primaria che secondaria, esaltino l’assunzione di comportamenti virtuosi e lungimiranti attraverso il conseguimento di certificazioni o attestazioni di idonei modelli di organizzazione e gestione (MOG).

È proprio su questi temi che le opportunità si sprecano potendo orientarsi verso l’implementazione di:

  • Sistemi di gestione per l’Antiriciclaggio (SGAR),
  • Sistemi di gestione per l’Anticorruzione (SGAC),
  • Sistemi di gestione per la Responsabilità amministrativa degli Enti (SGRA),
  • Sistemi di gestione della sicurezza delle informazioni (SGSI),
  • Meccanismi di certificazione dei trattamenti dei dati personali (ISDP).

Del tutto coerenti alle norme di legge, sono fra loro interoperabili attraverso il sistema High Level Structure e costituiscono, tutte, evidenza oggettiva per un Rating di legalità a tre stelle.

Le relazioni sono evidenti.

Innanzitutto ognuna delle norme tecniche prevede il soddisfacimento dei requisiti di legge. Inoltre, per le organizzazioni di piccole dimensioni in cui è assente, per esempio, un’articolazione  interna fondata su una pluralità di centri decisionali, sia la normativa secondaria sia quella di sistema contemplano la possibilità di esternalizzare la funzione antiriciclaggio così come quella per la prevenzione della corruzione con la possibilità, per il compliance officer, di avvalersi di consulenti per l’adozione di un efficace MOG 231.

Le organizzazioni in parola, in aggiunta, devono soddisfare i vari requisiti mettendo in sapiente relazione le suddette normative ed evitando che la singola ottemperanza produca una non conformità con riferimento alle altre disposizioni.

Per esempio, all’art. 3/231/2007, comma 2, si legge: I sistemi e le procedure adottati ai sensi del comma 1 rispettano le prescrizioni e garanzie stabilite dal presente decreto e dalla normativa in materia di protezione dei dati personali” il che pone i soggetti destinatari a circoscrivere la raccolta di informazioni e dati, per il principio di minimizzazione, a quanto è necessario per rispettare le prescrizioni della normativa di contrasto al riciclaggio e finanziamento del terrorismo, senza alcuna autorizzazione ad altri usi. Ciò vale, indifferentemente, per il destinatario così come per la rete distributiva e i mediatori.

L’Antiriciclaggio rientra fra i reati 231 essendo contemplato all’art. 25-octies. L’osservanza del D. Lgs. 231/01, oltre che del D. Lgs. 231/2007, si rende quindi assolutamente necessario. Qui, è prevista l’istituzione dell’Organismo di Vigilanza (OdV) che può  rappresentare l’organo con funzioni di controllo richiamato dal Provvedimento della Banca d’Italia.

E a proposito di 231/01 basti l’elenco dei reati per rendersi conto di quanto sia utile, ed opportuno, estendere il proprio campo di azione in termini di compliance a cominciare da un’adeguata struttura organizzativa dove il dialogo fra funzioni di line e quelle di staff consente il raggiungimento del vantaggio competitivo aziendale coniugando sviluppo del business e osservanza delle norme.

Ti ricordo che:

  1. per una consulenza specifica in materia di D. Lgs. 231/01, D. Lgs. 231/2007, D. Lgs. 38/2017, Reg. 679/2016 e novellato D. Lgs. 196/03, ISDP 10003, ISO 19600, ISO 27001, ISO 37001 e Rating di legalità;
  2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema;
  3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e ISDP 10003 Auditor
Qualified ISO 37001 Auditor

 

La funzione CONTROLLO DI QUALITA’ per le società di revisione fra ISO 9001 e Regolamento Consob

Le società di revisione certificate ISO 9001, per i Sistemi di gestione per la qualità, devono porre un’attenta distinzione con riferimento alla funzione controllo di qualità soggetta ad una specifica regolamentazione.

Il paragrafo 5.3 della 9001: Ruoli, responsabilità e autorità nell’organizzazione contempla la funzione in discorso all’insegna della consapevolezza di una cultura per la qualità che non deve essere circoscritta al solo Responsabile del sistema di gestione ovvero del Rappresentante della direzione per la qualità, ma diffusa a tutti i livelli e funzioni dell’intera organizzazione.

Ciò premesso, la distinzione – fra i ruoli pertinenti a cui devono essere assegnate specifiche responsabilità e autorità in ambito ISO e quelli i cui compiti sono richiamati dal suddetto regolamento – assume particolare rilevanza in termini di chiarezza e trasparenza di compiti e mansioni per l’organizzazione medesima, per l’organismo di certificazione ed i suoi auditor, per i clienti in sede di verifiche ispettive di qualificazione, per gli organi di controllo e le Autorità competenti.

I margini di manovra, per gli uni e gli altri soggetti, sono chiaramente definiti all’interno delle rispettive norme.

Nella norma ISO 9001, Sistemi di gestione per la qualità – Requisiti, si legge:
L’alta direzione deve assegnare le responsabilità e autorità per:

  1. assicurare che il sistema di gestione per la qualità sia conforme ai requisiti della presente norma internazionale;
  2. assicurare che i processi stiano producendo gli output attesi;
  3. riferire, in particolare all’alta direzione, sulle prestazioni del sistema di gestione per la qualità e sulle opportunità di miglioramento
  4. assicurare la promozione della focalizzazione sul cliente nell’ambito dell’intera organizzazione;
  5. assicurare che l’integrità del sistema di gestione per la qualità sia mantenuta, quando vengono pianificate e attuate modifiche al sistema stesso.

All’art. 13 del regolamento Consob, in materia di Antiriciclaggio, è disposto che:

  1. La funzione di controllo di qualità, nell’ambito dei relativi programmi di monitoraggio, verifica l’osservanza delle disposizioni normative e delle procedure interne in materia di prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo.
  2. In tale ambito, la funzione, tra l’altro, verifica:
    a) il costante rispetto dell’obbligo di adeguata verifica, sia nella fase di instaurazione del rapporto che nello svilupparsi nel tempo della prestazione professionale;
    b) l’effettiva acquisizione e l’ordinata conservazione dei dati, informazioni e documenti prescritti dalla normativa primaria e secondaria;
    c) l’effettivo svolgimento da parte del personale delle attività preordinate alla rilevazione, nell’ambito dell’esecuzione della prestazione professionale, di eventuali elementi di anomalia potenzialmente rilevanti ai fini dell’assolvimento dell’obbligo di segnalazione di operazioni sospette;
    d) l’adeguatezza e l’efficacia delle attività svolte dalla funzione antiriciclaggio e la funzionalità del complessivo sistema dei controlli interni.
  3. Gli interventi sono oggetto di pianificazione per consentire che le prestazioni professionali siano sottoposte a verifica in un congruo arco di tempo e che le iniziative siano più frequenti con riferimento agli incarichi caratterizzati da maggiore esposizione ai rischi di riciclaggio e di finanziamento del terrorismo.
  4. La funzione di controllo di qualità svolge altresì interventi di follow-up al fine di assicurarsi dell’avvenuta adozione degli interventi correttivi delle carenze e irregolarità riscontrate e della loro idoneità ad evitare analoghe situazioni nel futuro.
  5. Le verifiche svolte dalla funzione sono documentate e i relativi atti, ove richiesti, sono prontamente forniti alle Autorità di vigilanza di settore e alla UIF (Unità Interna Finanziaria).
  6. La funzione redige inoltre una relazione annuale da sottoporre agli organi sociali, avente ad oggetto compiute informazioni sull’attività svolta e sui relativi esiti.

Siffatta distinzione, nel rispetto delle peculiarità delle singole funzioni, rivela l’importanza dell’organigramma:

  1. aziendale, quale rappresentazione grafica della struttura organizzativa dell’azienda,
  2. per la Qualità, volto ad indentificare i diversi livelli e funzioni coinvolti nell’implementazione, applicazione e miglioramento continuo del Sistema di gestione,
  3. per l’Antiriciclaggio e Lotta al finanziamento del terrorismo, quale presidio organizzativo per i soggetti obbligati al rispetto del D. Lgs. 21 novembre 2007 n. 231 e successive modifiche ed integrazioni.

Qualora, diversamente, la funzione in commento, intesa in termini isoniani, rientrasse nell’ambito del Management Systems Department piuttosto che di una specifica funzione Qualità, il rischio di confusione dei compiti delle due figure verrebbe meno.
In questo caso, infatti, sarebbero più agevolmente distinguibili i diversi ruoli e compiti dei soggetti che, da differenti prospettive, si occupano di “controllo di qualità”.

Ti ricordo che:

  1. per una consulenza specifica in materia di Qualità e Antiriciclaggio,
  2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema,
  3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi,

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e DP Auditor UNI11697
Qualified ISO 37001 Auditor

iI CONSULENTE prima del RECRUITING: come prepararsi alla gestione delle risorse umane

L’Organizzazione che cerca la persona giusta per uno specifico ruolo ha, ragionevolmente, le idee chiare sulla risorsa di cui ha bisogno in termini di conoscenze, competenze e abilità.

Altre volte, però, può rivelarsi utile, in attesa di inserire in azienda le più idonee professionalità, ricorrere al Consulente … il che non vuole essere un’alternativa.
I vantaggi che ne derivano possono superare le aspettative e, persino, rivelare all’Organizzazione che quel che cerca è già lì, nella sua struttura.

Cosa intendo dire?

Mi è capitato di assistere un’azienda in cui occorreva affiancare alla vecchia guardia nuove risorse che portassero innovazione, creatività ed un approccio trasversale al problem solving.
Così facendo si è scoperta, da una parte, l’inaspettata disponibilità e flessibilità, di alcuni, a riconvertirsi in nuovi ruoli e posizioni, dall’altra, un rinnovato orgoglio di appartenenza, un miglioramento del clima aziendale e nuove forme di business development.

Altrove, si presentava la necessità di riorganizzare le funzioni di staff allo scopo di evitare inutili sovrapposizioni e, insieme, di assicurarsi circa l’applicazione dei requisiti di cui alla normativa, cogente e volontaria, di riferimento per l’Organizzazione.
L’analisi delle risorse, dei loro curricula e dei loro desiderata, ha permesso di coniugare sapientemente le esigenze aziendali con gli obiettivi personali all’insegna di una nuova politica di valutazione, valorizzazione e formazione del personale.
La parte legal è stata fortemente coinvolta con l’introduzione della funzione Compliance e del Management Systems Department. La funzione Auditing ha esteso il proprio campo di azione. I ruoli ispettivi, come quello del DPO, sono stati internalizzati lasciando interamente a professionalità esterne la composizione dell’OdV. Anche la Comunicazione interna ha preso in carico la gestione di un nuovo house horgan con la pubblicazione della vita, in azienda, della casa madre e delle sue filiali.
A questa rivoluzione copernicana hanno concorso anche le nuove leve.
Il mio contributo è stato quello di Consulente piuttosto che di Business Coach a seconda dei momenti ed esigenze che andavano presentandosi … e non è finita qui.

In altre due situazioni, proprio in previsione di selezionare risorse adeguate, ho ricoperto il ruolo di Temporary manager, dapprima con il compito di sovrintendere, anche operativamente, ai compiti del Servizio di Prevenzione e Protezione e come referente per il Sistema integrato QSA (Qualità, Sicurezza e Ambiente); quindi, in qualità di Responsabile interno del Trattamento dei Dati Personali (RTDP) ex D. Lgs. 196/03, l’attuale Privacy manager.
Successivamente, dal ruolo di Consulente a quello di Mentore il passo è stato breve.

La conclusione è presto detta:
care Organizzazioni, siate fiduciose e ben disposte. Non sempre la soluzione è lontana. Potreste stupirvi e scoprire di avere a portata di mano la risposta alle vostre domande.

Marcello Colaianni
Business, Corporate & Executive Coach
Certified DPO, DP Auditor e ISDP 10003 Auditor

Compliance & Mgmt Systems Consultant/Auditor

 

 

Reg. UE 679/2016 e Reg. UE 910/2014: quali relazioni?

La cosiddetta privacy, o più propriamente la Data Protection, è qualcosa che va ben oltre il GDPR dal quale, per altro, non si può prescindere.

La quantità di norme ad esso correlate è significativo; basti pensare, a solo titolo esemplificativo, al novellato D. Lgs. 196/03, al D. Lgs. 51/2018 che ha recepito la Dir. UE 2016/680, al D. Lgs. 53/2018 in attuazione della Dir. (UE) 2016/681, al D. Lgs. 18 maggio 2018, n. 65 già Dir. UE 2016/1148 o, ancora, al Reg. UE 2019/945 relativo ai sistemi aeromobili senza equipaggio e agli operatori di paesi terzi di sistemi aeromobili senza equipaggio (droni).

In questa sede, in particolare, voglio soffermarmi sulla relazione intrinseca che si pone fra il Reg. UE 679/2016 ed il e Reg. UE 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

Che vi sia una relazione indissolubile fra i due regolamenti è facilmente evincibile dal disposto ex art. 5/910 secondo cui il trattamento dei dati a carattere personale è effettuato a norma della direttiva 95/46/CE; direttiva sostituita, appunto dal Reg. UE 679/2016.

Ma cos’è il Regolamento 910/2014?

La finalità principale del Reg. 910/2014, ci ricorda il considerando (2), è quello di rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.

E cosa si intende per servizi fiduciari?

È il regolamento stesso a definirli come un servizio elettronico fornito normalmente dietro remunerazione e consistente nei seguenti elementi:

  1. creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi; oppure
  2. creazione, verifica e convalida di certificati di autenticazione di siti web; o
  3.  conservazione di firme, sigilli o certificati elettronici relativi a tali servizi.

E questo è un aspetto di grande rilievo che dà al regolamento grande significatività rafforzando l’importanza e gli effetti, anche in termini giuridici, dei documenti informatici. Ciò lascia ben intendere la potenza di un siffatto strumento, anche di garanzia, nelle relazioni fra privati oltre che con la Pubblica Amministrazione e, nella fattispecie, nei bandi di gara.

È facilmente comprensibile, allora, la relazione di cui si è detto e l’importanza di attenersi ai requisiti in materia di protezione dei dati personali da parte degli attori del regolamento eIDAS (electronic IDentification Authentication and Signature) ovvero dei Prestatori di servizi fiduciari, dell’Organo di vigilanza (AgID) e, ancora, di eventuali altri soggetti quali gli Organismi di valutazione della conformità coinvolti nella attività di verifica sia dei prestatori di servizi fiduciari qualificati sia dei servizi fiduciari qualificati in conformità al regolamento in discorso.

Alla relazione circa il rispetto dei principi sulla protezione dei dati personali nelle attività di cui al regolamento eIDAS, segue la scelta comune del legislatore europeo di regolare la materia ricorrendo allo strumento giuridico più incisivo ed efficace poiché direttamente applicabile ed obbligatorio in tutti i suoi elementi: il Regolamento.
Attenzione però.
Il Reg. UE 679/2016 è stato pubblicato nella GUUE il 4 maggio 2016, è entrato in vigore il 24 maggio 2016 ed ha trovato piena applicazione il 25 maggio 2018.
Il Reg. UE 910/2014 è stato emanato il 23 luglio 2014 e si applica dal 1° luglio 2016 con eccezione per alcuni requisiti.
Inoltre, il Regolamento eIDAS è obbligatorio limitatamente al settore pubblico mentre per i privati costituisce una facoltà.

Un aspetto ancor più interessante è la possibilità, per entrambi i regolamenti, di poter conseguire la certificazione, da parte dei soggetti interessati, delle relative attività; di trattamento nel caso del GDPR e dei servizi fiduciari per le transazioni elettroniche per quanto riguarda il regolamento eIDAS.
Come addetto ai lavori, riguardo alla certificazione delle attività di trattamento personalmente ricorro allo schema (International Scheme for Data Protection) ISDP 10003:2018 che mi dà tutte le rassicurazioni del caso.
Relativamente al Regolamento eIDAS, invece, il riferimento è la norma ETSI EN 319 403: Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment – Requirements for conformity assessment bodies assessing Trust Service Providers.
In entrambi i casi, va da sé, il presupposto è la norma UNI CEI EN ISO/IEC 17065: Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi.

In conclusione, il ricorso ad una visione d’insieme, con padronanza in una o più specializzazioni, è sicuramente opportuno ed oltremodo necessario, se non in capo ad uno stesso soggetto, nell’ambito di un network in cui professionalità complementari e condivise si attivano coniugando le rispettive aree di competenza e permettendosi la possibilità e la disponibilità al confronto ed alla crescita virtuosa.

Marcello Colaianni
Certified ISDP 10003 Auditor
Certified DPO e DP Auditor UNI11697
Compliance & Mgmt Systems Consultant/Auditor

“Persone autorizzate” e “Soggetti designati” nella protezione dei dati personali.

L’introduzione, nel novellato D. Lgs. 196/03, dell’art. 2-quaterdecies: Attribuzione di funzioni e compiti a soggetti designati integra il disposto di cui all’art. 29 del GDPR.
Dalla comparazione fra il Reg. UE 679/2016 ed il nuovo Codice Privacy si riscontrano, però, delle differenze che suggeriscono qualche chiarimento.

Art. 29/679: Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento:
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Art. 2-quaterdecies/196: Attribuzione di funzioni e compiti a soggetti designati
Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

 Dal combinato disposto dei suddetti articoli emerge che:

  • all’art. 29 prevale l’elemento fondante delle istruzioni che devono essere fornite per poter trattare dati personali soprassedendo ad aspetti altrettanto fondamentali;
  • “chiunque” può essere, indifferentemente, una persona fisica o una persona giuridica quindi anche un soggetto diverso dal dipendente purché svolga le attività di trattamento sotto l’autorità del Titolare/Responsabile;
  • al contrario, nell’art. 2-quaterdecies, si parla specificatamente di persone fisiche;
  • il richiamo all’assetto organizzativo può riferirsi al coinvolgimento non solo di figure interne ma anche esterne all’insegna dell’adozione delle misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio; ciò coerentemente alla previsione dell’art. 29;
  • l’espressa designazione delle persone fisiche lascia ben intendere l’opportunità di una nomina scritta dei soggetti designati;
  • è data enfasi all’autorità del Titolare/Responsabile sotto la quale le persone autorizzate agiscono e i soggetti designati operano.

Il mio suggerimento è quindi quello di:

  • identificare i soggetti, interni ed esterni, che vengono autorizzati a trattare dati personali in virtù dei trattamenti a loro affidati;
  • identificare, per i soggetti interni, l’unità funzionale di appartenenza;
  • procedere ad una loro designazione scritta specificando i confini delle attività di trattamento autorizzate/affidate;
  • adottare misure di limitazione e contenimento dei margini di manovra dei suddetti soggetti;
  • fornire istruzioni puntuali e adhocratiche valutando differenti livelli di responsabilizzazione;
  • assicurarsi che tali istruzioni siano debitamente documentate.

Identificati i soggetti, occorre attivarsi con i dovuti crismi per la loro più appropriata definizione e organizzazione.

In questo senso, per esempio, il Contitolare, il Rappresentante ed il Responsabile del trattamento dei dati personali sono persone autorizzate, persone fisiche o giuridiche rientrando nell’accezione “chiunque” dell’art. 29. La loro disciplina, però, è specifica e riconducibile, rispettivamente, agli artt. 26, 27 e 28. Sono persone che possono, secondo esigenza, trovarsi inseriti o meno nell’organigramma aziendale.

Qualche esempio?

  • L’Organismo di Vigilanza è un Responsabile del trattamento (RTDP) a cui il Titolare ricorre dovendo effettuare per suo conto specifici trattamenti.
    Il Titolare è chiamato obbligatoriamente, per legge, a ricorrere all’OdV per lo svolgimento di trattamenti specifici, in adempimento al D. Lgs. 231/01.
    Trattamenti per i quali il Titolare determina finalità e mezzi pur rimanendo, in capo all’OdV, gli autonomi poteri di iniziativa e controllo, di vigilanza sul funzionamento e l’osservanza dei modelli e del loro aggiornamento.
    È un Responsabile interno perché trattasi di un organismo dell’ente.
  • Il Collegio sindacale è, allo stesso modo, un Responsabile al quale il Titolare ricorre, anche in questo caso, per obbligo di legge. È però esterno, fuori dall’assetto organizzativo.
  • Lo studio di consulenza del lavoro è Responsabile esterno perché a lui ricorre il Titolare per il trattamento la gestione delle paghe dei propri dipendenti. Il Titolare, volendo, potrebbe gestire in proprio tali trattamenti ma preferisce concentrarsi sul proprio core business e ricorrere all’outsourcing.
  • il DPO, è persona autorizzata rivelandosi, secondo i chiarimenti del Garante, sia persona fisica sia persona giuridica. Il suo ruolo è però specificatamente disciplinato dagli artt. 37 a 39.

Focalizzando l’attenzione sulle singole funzioni del Titolare (Azienda, Studio professionale, Associazione, Ente, ecc.) lo sguardo è sicuramente rivolto alle persone fisiche, agli individui che, in virtù dei compiti svolti, sono riconducibili ai soggetti designati.

Vi si riscontrano le seguenti figure:

  • il Privacy manager, che chiamato ad adeguare l’organizzazione ai requisiti della normativa sulla protezione dei dati personali, è soggetto designato in staff al Direttore generale;
  • l’amministratore di sistema, che amministra i componenti del sistema ICT per soddisfare i requisiti del servizio, è soggetto designato;
  • il Direttore del personale, così come i suoi collaboratori che trattano dati personali, è soggetto designato
  • e così via.

Per quanto sopra risulta evidente, quindi, l’importanza di porre la dovuta attenzione nell’individuazione di tutti i soggetti, dentro e fuori l’Organizzazione (Titolare), in qualità di persone autorizzate ovvero di soggetti designati, e dare così evidenza delle modalità organizzative nella distribuzione di ruoli e responsabilità all’insegna del principio generale e fondante di ACCOUNTABILITY soddisfacendo una delle principali azioni da intraprendere qual è la progettazione dell’organigramma per la data protection.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

Titolare del trattamento, Titolare autonomo e Titolare indipendente. Chi più ne ha più ne metta.

Da quando è entrato in vigore il Regolamento UE 679/2016, il ricorso alla figura del Titolare autonomo è pressoché quotidiano per individuare le relazioni, e l’attribuzione delle relative responsabilità, di Tizio nei confronti di Caio.

Ho ripetutamente letto gli artt. 4, 9 e 10 del GDPR ed altre norme attinenti la protezione dei dati personali ma, ahimè, mi devo proprio arrendere; la definizione di questo fantomatico Titolare autonomo non riesco proprio a trovarla.

Mi chiedo, allora, come si possa attribuire a chicchessia un’etichetta, un’identità con l’aggravante di un carico di oneri, incombenze e responsabilità non meglio definite in assenza di una definizione chiara ed inequivocabile a cui fare riferimento.

La figura del Titolare autonomo viene messa in relazione con quella del Titolare del trattamento. Questi sì che è chiaramente identificato, all’art. 4, § 1, punto 7), come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Così come sono chiaramente definite altre figure contemplate dal GDPR come quella del Rappresentante del Titolare (o del Responsabile), del Contitolare, del Responsabile del trattamento e del Responsabile della protezione dei dati e ancora dei Terzi, dei Destinatari e delle Persone autorizzate. Come si può constatare, non vi è traccia del Titolare autonomo.

La suddetta relazione, di per se stessa, già riconosce l’esistenza di rapporti fra 2 soggetti, il Titolare ed il Titolare autonomo (?), per i quali il secondo effettua, nei confronti del primo, uno o più trattamenti di dati personali. E se c’è questa relazione, come si può parlare di Titolare autonomo?

Facciamo un passo indietro. Chiunque, fatte le debite eccezioni, nello svolgimento della propria attività professionale, in presenza di trattamenti di dati personali di persone fisiche è, per definizione, Titolare del trattamento. Poi succede che fra i due soggetti nasce una relazione che, rivelandosi particolarmente significativa dal punto di vista del trattamento dei dati personali, pone in essere la necessità di una specifica nominalizzazione ed attribuzione di responsabilità in capo ai due soggetti.

Vi si riconoscono, quindi, i rapporti fra:

  • Titolare e Rappresentante che viene designato laddove il titolare del trattamento non è stabilito nell’Unione;
  • Titolare e Contitolare qualora, insieme, determinano congiuntamente le finalità e i mezzi del trattamento;
  • Titolare e Responsabile del trattamento a cui, il primo, ricorre per un trattamento che deve essere effettuato per suo conto;
  • Titolare e Responsabile della protezione dei dati in presenza dei presupposti per la sua designazione obbligatoria;
  • Titolare e Terzi con riferimento ai soggetti nominativamente richiamati;
  • Titolare e Destinatari ai quali si comunicano i dati personali e, infine,
  • Titolare e Persone autorizzate al trattamento dei dati personali sotto la propria autorità.

Non vi è relazione, fra soggetti, che non sia specificatamente definita. Non si può parlare, quindi, di Titolare autonomo perché autonomo non è colui che si rapporta con il Titolare, in presenza di una relazione. La relazione va riconosciuta e definita fra quelle sopra elencate in modo da dare certezza al principio di accountability con individuazione delle rispettive responsabilità.

Parlare di Titolare autonomo significherebbe, fra l’altro, disconoscere l’esistenza di una relazione.

Ho inteso, fra le righe, che non tutti i fornitori hanno motivo di essere identificati. Certo, coloro con i quali io, come Titolare ex art. 4, § 1 punto 7), ho rapporti significativi in termini di trattamento dei dati personali devo necessariamente identificarli come Contitolari o Responsabili del trattamento; non come Titolari autonomi. Perché autonomi rispetto a me Titolare se sussiste una relazione significativa?

Esemplificando. La società XY Spa é Titolare del trattamento. Questa, ai fini privacy, ha relazioni, ovvero rapporti significativi, con il Medico competente, l’Organismo di Vigilanza, il Collegio sindacale, i Revisori legali, ecc.
Non mi soffermo, in  questa sede, per stabilire o esprimere un parere sull’etichetta, sulla figura da attribuire a questo o quel soggetto che si rapporta con il Titolare, la società XY Spa. Resto nella semplice convinzione che questi soggetti non possono essere Titolari autonomi rispetto a XY Spa in presenza di una relazione … e nemmeno Titolari.

La loro esistenza, infatti, è strettamente collegata alla relazione imposta dalle differenti disposizioni di legge nei confronti del Titolare XY Spa.
Il medico competente, il Collegio sindacale, l’Organismo di Vigilanza, e così via, ci sono esclusivamente in funzione della relazione con il Titolare; non hanno una propria ed indipendente identità.

In presenza di siffatto legame faccio molta fatica a riconoscere una qualsiasi autonoma titolarità.

Inoltre, il § “10.” dell’art. 28/679/2016, recita: <<Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione>>.

Il disposto normativo in discorso, pone in essere 2 possibili situazioni. La prima è quella per cui:

  1. assumo, come premessa, il fatto che già mi rivolgo ad un responsabile in quanto a lui ricorro per un trattamento, per mio conto, di dati personali. Dati:
    – di cui io, come Titolare, determino le finalità ed i mezzi di trattamento,
    – per il cui trattamento il Responsabile è tenuto all’osservanza dei requisiti ex art. 28;
  2. se il Responsabile viola il presente regolamento assumendo, a dispetto delle mie istruzioni documentate, una posizione di autodeterminazione delle finalità e dei mezzi di trattamento, allora, per il trattamento in questione, cioè per il trattamento per il quale l’ho designato, assume le responsabilità di Titolare alla stessa stregua per cui il Responsabile è Titolare dei propri trattamenti.

La seconda ipotesi è quella per cui il responsabile (fornitore) che si sottrae alla sottoscrizione della nomina da parte del Titolare (cliente) diventa, a sua volta, Titolare [ex art. 4, § 1 punto 7)] per il trattamento dei dati effettuato per conto del cliente.
Così è, per esempio, per i professionisti iscritti a Ordini e Collegi o per i consulenti informatici che, pur trattando a vario titolo i dati personali riconducibili al Titolare, si considerano dei Titolari autonomi (???).

Ne consegue, per quanto sopra, che anche qui siamo ben lontani dal poter parlare di Titolare autonomo.

Ah, un’altra cosa. Si badi bene che quando parlo di determinazione di finalità e mezzi di trattamento il contesto è quello della protezione dei dati personali senza riferimento alcuno alla libertà organizzativa del proprio lavoro da parte del professionista.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor