Compliance Manager: ruoli e responsabilità nell’organigramma privacy

27 Luglio 2021 in Governance Risk & Compliance As a Service - GRC360

compliance manager

Il ruolo del Compliance Manager: i controlli 

Quali le possibili attribuzioni di ruoli e responsabilità specifiche per il Compliance Manager previste nel Modello Organizzativo Privacy? Cominciamo a dire che, se l’organizzazione aziendale prevede questa funzione, probabilmente stiamo parlando di una azienda complessa e/o che opera in settori fortemente regolamentati, come il mondo bancario/finanziario, farmaceutico, sanitario, ma anche ad esempio automotive. La presenza di una funzione Compliance dimostra l’elevato grado di attenzione che l’azienda pone al rispetto delle normative applicabili ed all’impatto che questo può avere sulla conduzione del business.  

Diciamo anche che questa entità si colloca in un ambito più ampio che può prevedere diverse “funzioni aziendali di controllo permanenti e indipendenti: i) di conformità alle norme (compliance); ii) di controllo dei rischi (risk management); iii) di revisione interna (internal audit)”, come previsto dalla Circolare della Banca d’Italia n. 285 del 17 dicembre 2013 (Disposizioni di vigilanza per le banche) che citeremo ancora, pur essendo chiaro che non si applica fuori dall’ambito specifico. 

La stessa circolare precisa che “le prime due funzioni attengono ai controlli di secondo livello, la revisione interna ai controlli di terzo livello”, che le funzioni Compliance e Risk Management possono essere accorpate (ma non Internal Audit, per evitare conflitti di interesse) e che possono essere esternalizzate. Controlli, quindi. Abbiamo visto infatti che la collocazione della Compliance nelle tre aree del modello organizzativo Privacy prevede sicuramente la sua presenza nell’area Controllo, accanto alle altre funzioni opportune. Nello specifico, alla Compliance spetterà la verifica dell’adeguatezza e corretta applicazione delle procedure e dell’efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di non conformità alle norme.  

Altre responsabilità del Compliance Manager 

Non solo controlli, tuttavia. La funzione Compliance può anche essere considerata direttamente responsabile del rischio di non conformità per le norme più rilevanti, ad esclusione di quelle “per le quali siano già previste forme di presidio specializzato”, come ad esempio per la Data Protection: in quest’ambito quindi il Compliance Manager svolgerà funzioni di consulenza e assistenza all’ente preposto alla Governance.  

Fornirà inoltre ausilio alle altre funzioni aziendali per la definizione delle metodologie di valutazione dei rischi di non conformità; l’identificazione delle norme applicabili e la valutazione del loro impatto su processi e procedure aziendali; l’individuazione di idonee procedure per la prevenzione del rischio rilevato; la proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei rischi di non conformità identificati (infatti concorrerà ad esempio a definire il modello organizzativo privacy). 

Da rilevare inoltre che la verifica dell’adeguatezza delle procedure interne a prevenire il rischio di non conformità prevede che il Compliance Manager sia coinvolto “nella valutazione ex ante della conformità alla regolamentazione applicabile di tutti i progetti innovativi (inclusa l’operatività in nuovi prodotti o servizi nell’ambito del relativo processo di approvazione …)”. Da prevedere anche collaborazione nell’attività di formazione del personale sulle disposizioni applicabili alle attività svolte. 

In conclusione, occorre prestare attenzione al fatto che il rischio di non conformità alle norme è definito come “il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (leggi, regolamenti) ovvero di autoregolamentazione (ad es., statuti, codici di condotta, codici di autodisciplina)”: appare evidente che si tratti di rischi per l’azienda, ben diversi da quelli che incombono sui diritti degli Interessati, dei quali si occupa la disciplina Privacy. Per questo resta fondamentale attribuire ad altre funzioni indipendenti e specifiche (DPO) la tutela di questi diritti. 

P4I - White Paper - privacy by design

Share