Vai alla homepageVai alla homepage
MeteoOroscopo
Sezioni

Codice della Crisi

l'occhio vigile del DPO - figura indispensabile per la protezione dei dati

Dr. Angelo ANDRIULO

PARLIAMONE

l’occhio vigile del DPO

figura indispensabile per la protezione dei dati

Nella procedura di verifica dell’adeguatezza dell’assetto organizzativo, amministrativo e contabile (ex art. 375 del codice della crisi d’impresa e dell’insolvenza (CCII) che ha modificato l’art. 2086 del c.c.) argomento di rilevante importanza riveste la protezione dei “dati personali e sensibili”.

Per tale motivo l’organo amministrativo ha l’obbligo di istituire un “sistema di trattamento” idoneo alla protezione degli stessi.

Possiamo qui sintetizzare che tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge.

Per saperne di più ho interpellato l’aziendalista Antonio Italo ANDRIULO (esperto nella valutazione dell’adeguatezza dell’assetto organizzativo, amministrativo e contabile) al quale, sulla base di perplessità da parte di operatori del settore, dopo averlo ringraziato per la disponibilità, ho chiesto:

D: Ritiene che (anche) il processo della protezione dei dati rientri nella determinazione dell’adeguatezza dell’assetto organizzativo, amministrativo e contabile previsto dalla legge?

R: – Preso atto dell'impianto normativo, a mio avviso, tutto ciò che può rappresentare un rischio per l’azienda (danno potenziale), sia che derivi da specifiche norme, sia che dipenda dal comportamento/decisioni dell’organo amministrativo, rientra nel perimetro d’influenza dell’art. 375 CCII e, conseguentemente, potrebbe coinvolgere l’amministratore per “responsabilità gestoria” ex art. 378 dello stesso codice nel caso in cui il rischio si concretizzi, appunto, in un danno.

D: E’ lei personalmente che si occupa della protezione dei dati?

R: - no, ogni qualvolta sono chiamato a valutare l’adeguatezza dell’assetto aziendale, oltre ad offrire mie specifiche competenze in ambito organizzativo, vi è la necessità di una figura che mi affianchi e coadiuvi, ................ un DPO.

D: - chi è il DPO?

R: - Il DPO (Data Protecion Officer – in italiano responsabile della privacy), è una figura prevista dal Regolamento generale sulla protezione dei dati (vedi Gazzetta Ufficiale europea L. 119 del 4/05/16).

Praticamente è colui che vigila sulla corretta applicazione della procedura di protezione dati.

DPO vign.8 giugno 21
 

Considerata la specifica competenza di questa figura, ho acquisito il pensiero dell’Ing. Luca MIACOLA, co-founder della società di Marketing e Business Growth SNASTO srl, (www. snasto.it) già riconosciuto DPO dall’Ente E-MAGISTRO.IT ed iscritto nel registro dei “data protection officer”, al quale ho chiesto dopo gli opportuni ringraziamenti:

D: - di cosa si occupa un DPO?

R: - E’ una figura aziendale che si occupa della protezione e gestione dei dati (personali e sensibili).

D: - questa figura deve essere un soggetto interno all’azienda?

R: - Può essere un soggetto sia interno che esterno all’azienda ed ha competenze trasversali.

In parole povere ha competenze informatiche, giuridiche, di risk management e analisi dei processi.

Le disposizioni in vigore lo classificano come il soggetto che si interpone tra il Garante per la protezione dei dati e l’azienda.

La responsabilità del ruolo del DPO, lo porta a valutare, osservare, analizzare, verificare e organizzare la gestione del trattamento dei dati che per loro importanza o delicatezza abbisognano di “protezione”.

D: - Cosa deve fare un’azienda per rispettare le disposizioni in vigore?

R: - A titolo esemplificativo e non esaustivo:

  • analizzare il percorso dei dati dei clienti
  • redigere un registro del trattamento
  • nomine a responsabili esterni e collaboratori interni
  • individuare eventuali trattamenti aggiuntivi
  • redigere le informative

Per completezza di discorso ho ritenuto doveroso sentire l’opinione di un avvocato esperto in materia.

All’uopo ho posto alcune domande all’Avv. Leonardo Andriulo (managing partner dello studio ANP Legal - www.anplegal.eu) al quale, dopo averlo ringraziato per il suo prezioso contributo, ho chiesto:

D: - il DPO è un avvocato?

R: - no, non necessariamente. il DPO è una figura di raccordo all’interno dell’universo aziendale. Elabora la prassi ed effettua la formazione di coloro che saranno incaricati della gestione dei dati. E, cosa più importante, cura i rapporti tra azienda ed Authority.

D: - cosa accade se i soggetti obbligati non nominano il DPO?

R: - la tardiva o mancata nomina rileva sia ai fini civilistici che penali.

D: - Nella sua esperienza di Avvocato, Le è capitato qualche caso che merita particolare attenzione?

R: - In questo momento mi viene alla mente un caso che ritengo sia talmente banale e ricorrente nelle PMI che merita di essere esplicitato.

L’amministratore di un supermercato consegnò al CED (centro elaborazione dati), opportunamente incaricato, i documenti contabili per le registrazioni di legge.

Tra i documenti vi erano le buste paghe dei dipendenti relative alla mensilità in codificazione.

Per esigenze di registrazione la segretaria fotocopiò alcune buste paga.

Una volta finita la registrazione l’operatrice, arrotolando le fotocopie, le cestinò.

Caso volle che di fronte allo studio vi fosse un cassonetto dell’immondizia, nel quale la donna delle pulizie svuotò i cestini.

E, come si usa dire “il diavolo fa le pentole ma non i coperchi”, due delle fotocopie cestinate rotolarono fuori dal cassonetto e vennero raccolte da un tizio che ben conosceva il supermercato indicato nell’intestazione.

Quando l’amministratore ricevette le due fotocopie si arrabbiò e si rivolse a me per la tutela dei suoi diritti.

Fu così che attivammo la procedura all’Authority competente, chiedendo anche chiarimenti al centro elaborazioni dati.

Da allora, ogni qualvolta che sono chiamato quale relatore di questa materia e per detta tipologia di trattamento, suggerisco a tutti, indistintamente, di tenere a portata di mano un distruggi documenti e mai cestinare integralmente le fotocopie dei documenti aziendali.

C O N C L U S I O N I

Il codice della crisi d’impresa e dell’insolvenza ha puntato i riflettori su un nuovo modo di gestire/organizzare l’azienda: “prevenire e prevedere ogni rischio potenziale”.

In parole povere la governance aziendale deve farsi affiancare da figure professionali specializzate che indichino l'adozione di misure che evitino di incappare nelle conseguenze disastrose dei rischi che si trasformano in danno.

Non c’è angolo dell’azienda che non debba essere analizzato e solo il risultato finale che permetterà di dire

L’ASSETTO DELLA MIA AZIENDA E’ ADEGUATO