Oltre la compliance: il coordinamento sinergico DPO-OdV per potenziare l’efficienza organizzativa
Condividi questo articolo
DPO e OdV garantiscono la compliance dei processi aziendali a diverse normative. Operano usando gli stessi strumenti per eseguire compiti simili, ma con approcci diversi, talvolta sviluppati autonomamente, in parallelo, che possono determinare duplicazioni di adempimenti e documenti. D’altra parte, un effettivo coordinamento può determinare un potenziamento dell’efficienza organizzativa. Vediamo come
Pubblicato il 05 Feb 2024
A
Amministratore Unico presso DATA FABER. Consulente e formatore privacy
P
Consulente, Formatore Privacy & DPO
Nel contesto delle medie e grandi aziende e più in generale in quelle a elevata complessità, DPO e OdV, seppur con ruoli distinti, condividono l’obiettivo comune di garantire che l’organizzazione operi in conformità con le normative vigenti.
Come evidenziato in un precedente articolo, entrambi operano utilizzando gli stessi strumenti, come l’esame della documentazione, interviste e audit ed entrambi intervengono nei casi critici[1]. Ciascuno però opera con un approccio diverso che è vincolato ai compiti a loro attribuiti dalla legge.
Questa diversità, se non gestita correttamente, anche a livello documentale, può tradursi in duplicazioni di adempimenti, rallentando lo sviluppo dei processi aziendali e andando anche ad impattare sulla motivazione dei lavoratori dipendenti.
D’altra parte, un efficace coordinamento tra DPO e OdV può trasformare questa diversità in un’opportunità di potenziamento dell’efficienza organizzativa.
L’armoniosa integrazione dei compiti di DPO e OdV può, così, diventare la chiave per sbloccare il pieno potenziale dei processi aziendali.
Indice degli argomenti
- DPO e OdV, intreccio caleidoscopico di compiti: sfumature semantiche
- Sorveglianza del DPO vs vigilanza dell’OdV
- Sovrapposizione e impatti negativi
- Il potenziale del coordinamento
- La documentazione integrata a supporto di ODV e DPO
- Pro e contro della documentazione integrata
- Conclusioni
DPO e OdV, intreccio caleidoscopico di compiti: sfumature semantiche
Al DPO e all’OdV la legge attribuisce, rispettivamente, il compito di:
- sorvegliare l’osservanza della normativa privacy e delle politiche del titolare del trattamento o del responsabile del trattamento[2];
- vigilare sul funzionamento e l’osservanza del Modello di Organizzazione, Gestione e Controllo[3].
Sono due attività che, seppure in prima battuta possono apparire simili, comportano responsabilità che sono spesso esercitabili in condizioni e con vincoli diversi.
WHITEPAPER
La Top 5 delle minacce informatiche e come contrastarle
Privacy/Compliance
Cybersecurity
Inizio modulo
Leggi l'informativa sulla privacy
- Acconsento alla comunicazione dei miei dati a terzi affinché li trattino per proprie finalità di marketing tramite modalità automatizzate e tradizionali di contatto.
Fine modulo
La differenza tra i compiti di “sorveglianza” e “vigilanza” risiede nelle sfumature dei loro significati e nell’ambito in cui vengono utilizzati. Vediamo allora di cogliere entrambi i concetti, facendo leva sull’etimologia dei termini che può fornire ulteriori chiavi di comprensione delle loro differenze.
Il termine “sorveglianza” è un gallicismo (i.e. una parola adottata nella lingua francese dal latino) derivante da “sur” (dal latino “supra” = sopra) e “veiller” (sempre dal latino “vegliare”). Quindi, etimologicamente, la sorveglianza indica l’azione di vegliare attentamente su qualcosa, “stando sopra” e osservando con attenzione.
La parola “vigilanza”, invece, deriva dal latino “vigilare”, che significa “essere vigile”. Il termine sottolinea l’atto di essere vigili, di mantenere l’attenzione e di osservare con uno scopo specifico.
Quindi, la sorveglianza del DPO suggerisce un ruolo attivo, anzi proattivo, consistente nello “stare sopra” e vegliare su qualcosa con attenzione; implica una posizione di controllo e attenzione costanti.
La vigilanza, invece, si concentra sull’atto di essere vigili e attenti, ma non necessariamente implica una “posizione superiore” o di controllo diretto.
In sostanza, l’uso del termine “sorveglianza” potrebbe essere più adatto quando si parla di monitoraggio sistematico e attivo, mentre “vigilanza” potrebbe essere più appropriato quando si sottolinea la supervisione di comportamenti indesiderati.
Sorveglianza del DPO vs vigilanza dell’OdV
In sintesi, la sorveglianza del DPO implica un monitoraggio costante, attento e sistematico di determinate attività, aree o processi. È un’attività che si sviluppa spesso attraverso l’osservazione continua e l’analisi di situazioni specifiche al fine di garantire il rispetto dei principi di protezione dei dati personali.
Così, ad esempio, per verificare il rispetto dei requisiti previsti dall’art. 32 del GDPR, il DPO dovrebbe verificare se il titolare del trattamento abbia valutato i rischi inerenti al trattamento e attuato misure per limitare tali rischi, quali la cifratura.
Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere.
Dovrebbe anche verificare se lo stesso titolare, nella valutazione del rischio per la sicurezza dei dati abbia tenuto in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale[4].
La vigilanza dell’OdV, invece, implica un ruolo di supervisione e controllo con l’obiettivo di mantenere l’ordine, di garantire la correttezza e di prevenire comportamenti non etici o non conformi.
Per cui è auspicabile che l’OdV esegua controlli ricorrenti o a sorpresa di attività aziendali sensibili, cioè particolarmente esposte al rischio di commissione dei reati presupposto.
In sintesi, possiamo dire che sostanzialmente la sorveglianza del DPO si risolve spesso in un’azione proattiva, che anticipa e previene i problemi; questo ovviamente non toglie che egli abbia anche una componente reattiva come, ad esempio, la richiesta e la presa in carico di misure da mettere in atto a seguito di un incidente potenziale o reale sulla sicurezza delle informazioni.
La vigilanza dell’OdV, invece, può includere azioni essenzialmente reattive per correggere comportamenti non conformi o non etici.
Sovrapposizione e impatti negativi
Quando DPO e OdV sviluppano autonomamente i loro approcci senza una comunicazione coerente, possono verificarsi duplicazioni di adempimenti e di documenti.
Questa sovrapposizione può comportare ritardi nei processi decisionali, stress organizzativo e demotivazione dei dipendenti, che possono mal sopportare di dover dare più volte le stesse risposte a domande analoghe.
Inoltre, la mancanza di coordinamento può anche compromettere la coerenza delle azioni aziendali, mettendo a rischio la conformità complessiva.
Il potenziale del coordinamento
D’altra parte, un efficace coordinamento tra DPO e OdV può trasformare questa diversità in un’opportunità di potenziamento dell’efficienza organizzativa.
Infatti, attraverso la definizione di procedure comuni, la condivisione delle informazioni, l’integrazione dei documenti e l’allineamento degli obiettivi, si possono evitare duplicazioni superflue.
Questo, non solo riduce il carico burocratico, ma contribuisce anche a creare un ambiente di lavoro più snello ed efficiente.
La documentazione integrata a supporto di ODV e DPO
Vari possono essere i documenti che si prestano all’integrazione, tra questi si possono annoverare:
- l’organigramma che riporta entrambi gli organi;
- le procedure tra cui anche quella per la gestione della documentazione e l’attività di audit;
- i piani di formazione, di audit.
Alcuni documenti invece si prestano meno bene ad una integrazione, come ad esempio l’analisi dei rischi, fermo restando che sono presenti sul mercato efficienti soluzioni software per la gestione dei rischi.
Si tratta di soluzioni che coprono gran parte degli ambiti aziendali comprendendo, oltre ai processi in carico a ODV e DPO anche altre aree come quella finanziaria, di mercato, reputazionale, ambientale, riguardante la salute e la sicurezza dei lavoratori.
Primo caso pratico
Certamente, la procedura per gli approvvigionamenti di beni e servizi ben si presta all’integrazione.
I contenuti di interesse dell’ODV riguardano:
- l’identificazione di precise responsabilità in tutto il ciclo degli approvvigionamenti, dalla scelta del fornitore alla consegna e controllo del bene/servizio. Tali responsabilità devono garantire la separazione dei compiti, in modo tale che nessuno possa gestire, in modo autonomo l’intero processo;
- l’individuazione del fornitore e la sua scelta, nonché la scelta dell’offerta a seguito di una procedura trasparente e ripetibile;
- la valutazione della reale necessità di approvvigionamento del bene/servizio e, in particolare, nel caso dei servizi, il riscontro che lo stesso sia stato effettivamente erogato. Tale adempimento è necessario poiché un servizio, grazie alla sua intangibilità, ben si presta a essere oggetto di possibili frodi.
Tali misure servono a contrastare molteplici reati nel perimetro del D.lgs. 231/2001 o a contrastare le condizioni affinché dei reati si possano compiere come ad esempio quelli di “Corruzione” o “Concussione”.
I documenti richiesti dal DPO, invece, nascono prevalentemente da quanto regolamentato dall’art 38 del GDPR che richiede:
- i criteri di scelta e la valutazione del Responsabile del trattamento che ne validino l’affidabilità;
- la formulazione dell’atto di designazione che ne chiarisca i compiti a suo carico.
Inoltre, ulteriori misure di accountability, mutuate anche dalla UNI/ISO 27001:2022, richiedono la sottoscrizione di NDA – che a sua volta possono essere parte integrante dell’atto di designazione a responsabile.
Considerazioni simili possono essere formulate anche nel caso di acquisto di competenze professionali come freelance.
Secondo caso pratico
Analogamente a quanto appena descritto, la procedura per l’introduzione di un nuovo lavoratore dipendente appena assunto, in un’ottica integrata, può prevedere sia la componente per la protezione dei dati personali che quella inerente alla prevenzione dei reati “231”.
I contenuti di interesse dell’ODV riguardano:
- la consegna ai nuovi collaboratori del Codice Etico perché si impegnino a rispettare quanto indicato;
- la formazione sul Modello D.lgs. 231/2001 e sulle procedure di competenza del nuovo collaboratore in base al ruolo ricoperto.
Anche in questo caso, tali misure servono a contrastare molteplici “reati presupposto” nel perimetro del D.lgs. 231/2001 o a contrastare le condizioni affinché dei reati si possano compiere come ad esempio quelli di “Corruzione” o di “Concussione”.
Da parte sua, il DPO deve pretendere che tale procedura ponga il nuovo collaboratore – quando è chiamato a rivestire il ruolo di autorizzato al trattamento – nelle condizioni di operare al meglio, attraverso una adeguata attività di informazione e formazione e tramite un accesso ai dati rispettoso dei principi di protezione dei dati personali.
Quindi, tra le azioni che dovrebbero essere contemplate in tale procedura, dovrebbero almeno essere previste:
- l’assegnazione di strumenti, privilegi di accesso ai dati ed ai sistemi ed alle aree aziendali congruenti con il ruolo ricoperto;
- la consegna dell’atto di nomina ad autorizzato;
- la formazione in materia di protezione dei dati personali e cyber security;
- la consegna dell’informativa per il trattamento dei dati, la raccolta dei consensi previsti ed eventuali liberatorie (es. immagini).
Anche in questo caso, ulteriori misure di accountability, possono essere mutuate anche dalla UNI/ISO 27001:2022 che richiedono ad esempio un sistema disciplinare che deve essere reso noto ai collaboratori e tale misura di fatto corrisponde al Codice Etico.
Pro e contro della documentazione integrata
Disporre di un sistema documentale integrato è una condizione indispensabile per realizzare la compliance integrata ma presenta anche degli svantaggi. Quali sono, allora, i “pro” e i “contro” di tale misura?
È certo che un orientamento all’efficienza dovrebbe tendere a limitare la documentazione e la duplicazione della stessa. Si evitano così pericolose duplicazioni di informazioni mentre i processi di aggiornamento e la manutenzione sono favoriti e semplificati.
Infine la documentazione integrata permette di disporre di criteri da utilizzare indistintamente dal DPO e dall’ODV per effettuare gli audit congiunti.
Chi ostacola tale modello sostiene invece che ogni ente è responsabile del proprio apparato documentale e che fondere le procedure in un sistema integrato è inopportuno anche a fronte di eventuali indagini da parte dell’autorità indipendente o giudiziaria chiamata a verificare la compliance.
Conclusioni
In conclusione, si è cercato di evidenziare che, se è vero che DPO e OdV per garantire che l’azienda operi nel rispetto delle normative, utilizzano spesso strumenti simili – come ad esempio gli audit – è pur vero che il modo in cui questi strumenti vengono impiegati è determinato dalle specifiche funzioni assegnate dalla legge a ciascun organo.
In tale quadro, la necessità di un approccio autonomo è essenziale, ma può anche portare a una sovrapposizione di compiti e documenti, con possibili impatti negativi sulla corretta gestione aziendale.
Per questo motivo, siamo convinti che la coordinazione efficace del DPO e dell’OdV, attraverso l’integrazione di adempimenti e di documentazione, può portare a un potenziamento dell’efficienza organizzativa, evitando duplicazioni di adempimenti e migliorando il clima aziendale.
NOTE
- Vds. anche “DPO e OdV insieme per prevenire reati informatici e data breach. A partire da esempi pratici”, qui. ↑
- Art. 39/2 lett. b) del GDPR. ↑
- Art. 6/1 lett. b) del D.Lgs. 231/2001. ↑
- Vds. considerando 83 del GDPR. ↑
WHITEPAPER
Gestione dei container di software: come renderli eseguibili ovunque, in sicurezza
Security Risk Management
Data protection
Inizio modulo
Leggi l'informativa sulla privacy
- Acconsento alla comunicazione dei miei dati a terzi affinché li trattino per proprie finalità di marketing tramite modalità automatizzate e tradizionali di contatto.
Fine modulo
@RIPRODUZIONE RISERVATA
Valuta la qualità di questo articolo