Compliance Manager
Chi è il Compliance Manager
Il Compliance Manager è un profilo professionale in grado di costruire, gestire e migliorare continuamente all’interno di un’organizzazione di qualsiasi settore, pubblico o privato, profit o no-profit, il corretto e coerente sistema di gestione delle regole (Compliance Management System), svolgendo un ruolo manageriale in collaborazione con la direzione o in base alle sue direttive.
Il ruolo del Compliance Manager: i controlli nel Modello Privacy
Quali le possibili attribuzioni di ruoli e responsabilità specifiche per il Compliance Manager previste nel Modello Organizzativo Privacy? La presenza di una funzione Compliance dimostra l’elevato grado di attenzione che l’ente pubblico o l’azienda pone al rispetto delle normative applicabili ed all’impatto che questo può avere sulla conduzione delle attività dell’organizzazione.
Diciamo anche che questa entità si colloca in un ambito più ampio che può prevedere diverse “funzioni di controllo permanenti e indipendenti":
- di conformità alle norme (compliance);
- di controllo dei rischi (risk management);
- di revisione interna (internal audit), come previsto dalla Circolare della Banca d’Italia n. 285 del 17 dicembre 2013 (Disposizioni di vigilanza per le banche) che citeremo ancora, pur essendo chiaro che non si applica fuori dall’ambito specifico.
La stessa circolare precisa che “le prime due funzioni attengono ai controlli di secondo livello, la revisione interna ai controlli di terzo livello”, che le funzioni Compliance e Risk Management possono essere accorpate (ma non Internal Audit, per evitare conflitti di interesse) e che possono essere esternalizzate.
Il Compliance Manager esegue Controlli e indicazioni su come arrivare alla conformità.
La collocazione della Compliance nelle tre aree del modello organizzativo Privacy prevede sicuramente la sua presenza nell’area Controllo, accanto alle altre funzioni opportune.
Nello specifico, alla Compliance spetterà la verifica dell’adeguatezza e corretta applicazione delle procedure e dell’efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di non conformità alle norme.
Altre responsabilità del Compliance Manager
Non solo controlli, tuttavia. La funzione Compliance può anche essere considerata direttamente responsabile del rischio di non conformità per le norme più rilevanti, ad esclusione di quelle “per le quali siano già previste forme di presidio specializzato”: ad esempio per la Data Protection. In quest’ambito il Compliance Manager svolgerà funzioni di consulenza e assistenza all’ente preposto alla Governance.
Fornirà inoltre ausilio alle altre funzioni aziendali per la definizione delle metodologie di valutazione dei rischi di non conformità; l’identificazione delle norme applicabili e la valutazione del loro impatto su processi e procedure aziendali; l’individuazione di idonee procedure per la prevenzione del rischio rilevato; la proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei rischi di non conformità identificati (infatti concorrerà ad esempio a definire il modello organizzativo privacy).
Da rilevare inoltre che la verifica dell’adeguatezza delle procedure interne a prevenire il rischio di non conformità prevede che il Compliance Manager sia coinvolto “nella valutazione ex ante della conformità alla regolamentazione applicabile di tutti i progetti innovativi (inclusa l’operatività in nuovi prodotti o servizi nell’ambito del relativo processo di approvazione …)”. È certamente da prevedere anche collaborazione nell’attività di formazione del personale sulle disposizioni applicabili alle attività svolte.
In conclusione, occorre prestare attenzione al fatto che il rischio di non conformità alle norme è definito come “il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (leggi, regolamenti) ovvero di autoregolamentazione (ad es., statuti, codici di condotta, codici di autodisciplina)”: appare evidente che si tratti di rischi per l’organizzazione, ben diversi da quelli che incombono sui diritti degli Interessati, dei quali si occupa la disciplina Privacy.
Per questo resta fondamentale attribuire ad altre funzioni indipendenti e specifiche (DPO) la tutela di questi diritti che sono a loro volta soggetti a pesanti sanzioni nel caso in cui si rilevino difformità o elusione delle regole.