Privacy e rischio operativo: disamina dei ruoli di RPD, RSPP e RPCT

Si può definire il rischio operativo l’insieme dei rischi che una organizzazione, pubblica o privata che sia, può trovarsi ad affrontare nei suoi processi operativi volti a realizzare, tramite la produzione di beni e servizi, i propri obiettivi.

I rischi possono derivare da diverse cause - come l’inadeguatezza dal design dei processi all’assetto dei sistemi operativi, alle connotazioni della compagine e eventi di origine esterna – dando luogo a impatti negativi sul patrimonio, sulla reputazione o sull'assolvimento dei compiti.

Si può definire il rischio operativo l’insieme dei rischi che una organizzazione può trovarsi ad affrontare nei suoi processi operativi 

L’analisi e gestione del rischio operativo (Operational Risk Management – ORM) necessita quindi di una compiuta rilevazione dei processi interni nei loro snodi per valutarne i possibili rischi inerenti secondo una scala di gravità funzione del cosiddetto risk appetite o propensione al rischio e, valutando come l’organizzazione li gestisce (accettandoli, assicurandoli o minimizzandoli con appropriati interventi fra cui i pertinenti controlli) per arrivare a un rischio residuo ritenuto accettabile.

Le figure previste per legge

In questa sede ci si sofferma prima brevemente su tre figure che la legge prevede per le diverse organizzazioni, al ricorrere di alcune condizioni prevalentemente connesse alla loro natura giuridica – pubblica o privata - alle dimensioni dell’organico e alla natura delle attività svolte. Per tali figure, con diversa portata coinvolte nelle attività privacy, si propone una prima valutazione i) sulla definizione dei trattamenti e del connesso registro ai sensi del GDPR e b) sulle interrelazioni con l’ORM.

Tre attori in posizione organizzativa autonoma e di staff al Vertice:

- Responsabile per la protezione dei dati (RPD), in ambito privacy – figura prevista dal GDPR artt. 37 - 39;

- Responsabile del servizio di prevenzione e protezione (RSPP), in ambito salute e sicurezza sul lavoro – figura trattata in particolare D. Lgs. 81 / 2008 (TUSSL) art. 31 e segg.;

- Responsabile della prevenzione della corruzione e della trasparenza (RPCT), in ambito pubblica amministrazione – figura introdotta dall’art. 1 della legge 190 / 2012.

Il RPD è obbligatoriamente previsto in ambito pubblico mentre in ambito privato è richiesta la in relazione ad alcune connotazioni dei trattamenti svolti (in ogni caso la nomina è comunque raccomandata ove non ve ne sia l’obbligo). Ha un ruolo di consulente del titolare/ responsabile del trattamento e tale ruolo non può essere ricoperto dal titolare/ responsabile stesso.

Può essere interno o esterno all’organizzazione: in questo secondo caso può anche non essere una persona fisica. Oltre ai compiti specificamente previsti dal GDPR, il RPD può essere assegnatario anche di altri compiti: in ogni caso le responsabilità sull’applicazione della normativa privacy fanno capo al titolare/responsabile del trattamento.

Pasquale Mancino - Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione - prosegue nel suo testo questa analisi di grande interesse.

Il link per la lettura dell'articolo integrale