Il momento di chiusura dei conti e di preparazione del bilancio di esercizio rappresenta uno dei periodi di attività più intenso nella vita di un CFO. Al di là della preparazione della documentazione aziendale richiesta dal Codice civile per informare i soci, i creditori, e più in generale gli stakeholders sull’andamento societario, il CFO deve preoccuparsi di raccogliere le relazioni annuali degli organi di controllo tali il collegio sindacale, la società di revisione, l’organismo di vigilanza e il DPO, la nuova figura di vigilanza attuata dal GDPR. Alla fine di ogni esercizio sociale, il CFO ha come compito l’organizzazione della raccolta della documentazione in tempo utile per permettere alla società di rispettare i termini di legge.
Il DPO (DATA PROTECTION OFFICER) è la funzione chiave che sorveglia e consiglia le società, in sostanza vigila sul rispetto delle normative sulla protezione dei dati personali ed il GDPR. La sua designazione è obbligatoria in numerosi settori di attività quali settore farmaceutico, utilities (telecomunicazioni, distribuzione di energia elettrica o gas, ecc.), alberghiero, commerciale on line, banche e istituti di credito, società finanziarie, concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici ecc.), imprese di somministrazione di lavoro e ricerca del personale; ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento. Il DPO svolge una funzione di vigilanza indipendente e funge da punto di contatto per gli interessati e l’autorità di controllo Garante.
IL GDPR stabilisce che il DPO “riferisce direttamente al vertice gerarchico della società titolare del trattamento”. Il dettato normativo di riferimento è previsto nell’art. 38, comma 3° che definisce la posizione del DPO. In questo contesto, il legislatore europeo ha voluto assicurarsi che la nomina di questa importante figura di garanzia non fosse un mero atto formale volto semplicemente a soddisfare una previsione del Regolamento, bensì la scelta consapevole della società titolare del trattamento di avere un interlocutore diretto con i vertici amministrativi relativamente ai trattamenti dei dati personali effettuati dalla società; in particolare, per quanto riguarda la conformità della società stessa alla normativa.
La relazione annuale è di fatto lo strumento essenziale del DPO che dimostra l’effettiva comunicazione con il vertice dell’azienda in merito alle attività di vigilanza svolte, lo stato di conformità al GDPR e le eventuali interazioni con il Garante. Allo stesso tempo, la relazione annuale consente al titolare del trattamento di dimostrare l’effettiva attenzione del GDPR ed il rispetto del principio di accountability. Anche se non specificato nel GDPR, per l’accountability si raccomanda che tale relazione annuale accompagni il bilancio della società e si affianchi alle relazioni del revisore legale, del Collegio Sindacale e dell’Organismo di Vigilanza ove esistente.
La relazione deve sintetizzare il lavoro svolto dal DPO ed esprimere lo stato di conformità ai requisiti del GDPR e delle linee guida del Garante da parte del titolare del trattamento. Il contenuto non è definito nel GDPR ma l’autorità di controllo da qualche indicazione come il mantenimento di una dashboard delle attività svolte per riferire al titolare del trattamento. La relazione contiene necessariamente i risultati del piano di vigilanza e degli audit svolti dal DPO, le informazioni aziendali di rilievo, i KPI e nel caso in cui il DPO abbia riscontrato la presenza di una serie di problematiche, queste dovranno essere analiticamente evidenziate, fornendo, ove possibile, l’effetto rischio per la società.
La preparazione della relazione annuale viene realizzata dal DPO, oppure, viene demandata ad un professionista specializzato in ambito nei casi in cui il DPO è rappresentato da personale interno alla società che non abbia sufficiente esperienza e che necessiti di un supporto per l’implementazione delle sue attività.
YourGROUP propone un supporto per i DPO delle società oppure propone profili professionali di DPO in conformità con la legge con competenze tecnico – giuridiche adeguate per tale funzione.