NEWS

Revisori legali, le considerazioni per una corretta qualificazione soggettiva ai fini privacy

Il recente e prezioso parere del Garante privacy (nota prot. 17347 del 12 maggio 2020) sulla qualificazione giuridica ai fini privacy dell’ODV è stato accolto con favore dalla comunità di professionisti in materia di data protection tanto per l’autorevolezza della fonte quanto, in una dimensione prettamente operativa, per una chiara e mai sopita esigenza di certezza del diritto nonché per la lucida analisi giuridica compiuta dall’Autorità di Controllo.

Il revisore legale è un autonomo titolare del trattamento


Ebbene, si ingenera il dubbio e l'opportunità di estendere le conclusioni rassegnate dal Garante Privacy in merito alla qualificazione ai fini privacy dell’ODV, quale parte dell'ente, ai membri in qualità di autorizzati al trattamento, anche in riferimento al ruolo rivestito dal Revisore legale. Quella prospettata, e cioè considerare il revisore legale quale autorizzato al trattamento ex art. 29 GDPR, appare una soluzione che mal si confà con il ruolo, i poteri e soprattutto le responsabilità delineate dalla normativa di settore per i revisori legali. Mediante una lettura a contrario del parere del Garante privacy si ritiene il revisore, nell’espletamento delle funzioni di controllo stabilite obbligatoriamente dalla legge, sia un titolare autonomo del trattamento e cioè il soggetto sul quale ricadono le decisioni di fondo relativamente alle finalità e alle modalità del trattamento dei dati personali degli interessati, responsabile di implementare adeguate misure tecniche e organizzative volte a soddisfare i requisiti stabiliti dal GDPR (c.d. principio di accountability).

È opportuno ricordare che da un punto di vista del diritto alla protezione dei dati personali un'erronea qualificazione giuridica soggettiva del revisore potrebbe esporre i titolari del trattamento alle conseguenze sanzionatorie, non esclusivamente di tipo pecuniario, da parte dell’Autorità di controllo.

Allora, in primo luogo, appare opportuno rammentare che rispetto all'ODV non è l'organo dirigente a stabilire funzioni, poteri, risorse, mezzi e misure di sicurezza per il revisore legale ma la legge. Com’è noto, l'autonomia ed indipendenza dei revisori trova una compiuta disciplina nel d.lgs. del 27 gennaio 2010, n. 39 (Attuazione della direttiva 2006/43/CE, relativa alle revisioni legali dei conti annuali e dei conti consolidati, che modifica le direttive 78/660/CEE e 83/349/CEE, e che abroga la direttiva 84/253/CEE. (10G0057). E lo svolgimento di tale funzione di controllo può essere svolta esclusivamente da soggetti iscritti nell’albo dei revisori legali del MEF.

Detto questo e muovendo dal suddetto parere del Garante il quale esclude la qualificazione dell’ODV come titolare del trattamento, si legge che: "non può essere imputata una responsabilità penale in ordine all'eventuale commissione di reati rilevanti ai sensi del d.lgs. n.231/2001 nel caso di omessi controlli, posto che tale organismo, pur avendo funzioni di vigilanza e controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato, così che, anche in caso di inerzia dell'OdV, la responsabilità ricade sull'ente che non potrà avvalersi della scriminante prevista dall'art.6, comma 1 d.lgs n.231/2001.

Resta ferma invece la responsabilità di natura contrattuale dell'OdV nei confronti dell'ente per inadempimento delle obbligazioni assunte con il conferimento dell'incarico. Similmente, l'OdV non ha l'obbligo di denuncia all'Autorità giudiziaria in relazione agli illeciti di cui viene a conoscenza a causa e nell'esercizio delle sue funzioni (obbligo che grava invece sull'ente all'uopo informato dall'OdV) né è l'organismo investito di poteri disciplinari nei confronti degli autori degli illeciti, poteri che rimangono in capo all'ente ai cui vertici aziendali l'OdV è tenuto a segnalare le violazioni accertate, proponendo, al contempo, l'adozione delle necessarie sanzioni".

Ed invece, com’è, noto i revisori legali possono rispondere in sede civile, amministrativa e penale. Di seguito, alcune considerazioni e riflessioni rapsodiche sulla diversa natura, ambito di competenza e responsabilità dei revisori legali rispetto al ruolo espletato dall’ODV nell’ambito del quadro normativo delineato dal d.lgs. 231/01 in materia di responsabilità amministrativa da reato (rectius: penale) delle persone giuridiche.

Una corretta qualificazione soggettiva ai fini privacy dei revisori legali è fondamentale per non rischiare sanzioni


Per quanto attiene alla responsabilità penale, sussiste un consolidato orientamento della giurisprudenza di legittimità il quale delinea una responsabilità penale in concorso per omesso impedimento dell'evento (ex artt. 40, co. 2, e 110, c.p.), individuando nel potere di controllo la posizione di garanzia rispetto al bene giuridico protetto dalla fattispecie incriminatrice. Su tale aspetto, autorevole dottrina muove convincenti critiche a tale approdo giurisprudenziale ed in particolare sull'effettività dei poteri impeditivi dei revisori. Ma in via prudenziale è opportuno fare riferimento a tale consolidato orientamento della giurisprudenza di legittimità, tenuto conto anche del principio di prevedibilità della decisione giudiziale di matrice europea.

Nondimeno, analoghe responsabilità risarcitorie e restitutorie sono pienamente ascrivibili al revisore legale in sede civile per le condotte plurioffensive eventualmente poste in essere dagli amministratori, anche nei confronti dei terzi.

In relazione invece all'obbligo di denuncia all'Autorità giudiziaria, che il Garante Privacy ha ritenuto come un argomento atto ad escludere la qualifica di titolare del trattamento all’ODV invece è pienamente ascrivibile alla sfera dei compiti attribuiti dal legislatore ai revisori legali.

Tale obbligo previsto espressamente nel TUF e pienamente applicabile, in via interpretativa, in generale all’attività del revisore legale nell’ambito dello scambio di informazioni con il Collegio sindacale, che si specifica debba essere tempestivo.

L'art. 2409 cc infatti delinea tale potere-dovere di denunzia e riserva la legittimazione attiva ai sindaci che si attivano a seguito di una doverosa segnalazione dei revisori, la cui omissione costituisce elemento probatorio anche sul versante dell'elemento psicologico del reato, anche del dolo eventuale come recentemente affermato nel settore penale fallimentare1. In conclusione, un ultimo elemento a favore della tesi del revisore legale come titolare del trattamento è rinvenibile in un recente e condivisibile “Position Paper” dell'associazione Accountancy Europe, ove in un passaggio correttamente si legge che "therefore auditor in the framework of statutory audit should be considered data controllers". Aggiungendo che è il revisore legale a decidere quali dati trattare, compresa anche la conservazione, per eseguire l’attività di controllo.

Alla luce di quanto detto, il revisore legale non può che rivestire il ruolo di autonomo titolare del trattamento. Accettando tale prospettiva interpretativa si ritiene che ai sensi dell'art. 14, par. 5, lett. a) c) e d) la società di revisione non sia tenuta a fornire l'informativa agli interessati per i dati personali trattati in ragione dell’incarico.

In ogni caso, come ricordato anche nel parere, sussistono particolari ipotesi in cui la società di revisione potrebbe essere considerata come un responsabile del trattamento. In tali casi, sarà necessaria un’analisi del caso concreto volto a verificare chi effettivamente decida le finalità e le modalità del trattamento da cristallizzare in un accordo specifico con il titolare e di conseguenza sarà fondamentale effettuare un’accurata analisi sul grado di autonomia del professionista nell’espletamento del mandato professionale seguendo un approccio pragmatico, mediante l'utilizzo del c.d. criterio funzionale.

Note Autore

Rosario Palumbo Rosario Palumbo

Privacy specialist, Data Protection Officer, Giurista d'impresa modelli organizzativi Dlgs 231/01 presso Ergon Ambiente & Lavoro, Delegato Federprivacy per la provincia di Trapani | Email:[email protected]

 

Prev Cosa c’è dietro le 'sbadataggini' degli assistenti digitali che minacciano la nostra privacy
Next App di consegne a domicilio con milioni di utenti nel mondo non aveva il Dpo

Il presidente di Federprivacy a Rai Parlamento

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy