In una recente decisione che ha fatto riflettere, l’Autorità Garante per la protezione dei dati personali (Garante) ha sanzionato una società di cartolarizzazione del credito (SPV) per non aver rispettato diversi requisiti del GDPR, in particolare per non aver nominato un responsabile della protezione dei dati (DPO).
A prima vista, questa può sembrare una semplice azione di enforcement. Tuttavia, la decisione rivela una tensione più profonda tra il GDPR e il quadro normativo che disciplina le cartolarizzazioni, un quadro che consente esplicitamente alle SPV di operare senza dipendenti o una struttura organizzativa interna.
La posizione del Garante: prevale la responsabilità formale
Nonostante il chiaro quadro legislativo che definisce la SPV come un’entità giuridicamente passiva che opera interamente attraverso servizi esternalizzati, il Garante ha ritenuto che la SPV, in qualità di titolare del trattamento dei dati, rimanga pienamente responsabile della conformità al GDPR e non possa dimostrare la conformità attraverso i suoi fornitori di servizi. Ciò include obblighi che sono tipicamente legati a entità con capacità operative, quali:
- Nomina di un responsabile della protezione dei dati,
- Tenuta di un registro delle attività di trattamento,
- Attuazione di procedure di audit interno su responsabili e sub-responsabili del trattamento.
La posizione dell’Autorità implica che anche in totale assenza di personale, una SPV deve comunque adeguarsi a questi adempimenti, trattando la responsabilità legale come separata dalle realtà operative consentite dalla regolamentazione finanziaria.
Quando i quadri giuridici si scontrano
Ciò solleva una questione normativa fondamentale: gli obblighi del GDPR possono essere applicati comunque, ignorando il regime giuridico specifico che governa l’entità in questione?
Le leggi sulla cartolarizzazione sono concepite proprio per consentire alle SPV di funzionare senza dipendenti. Le attività operative sono legalmente e deliberatamente esternalizzate a terzi regolamentati, come i gestori e i subgestori, in base a un regime che garantisce la trasparenza finanziaria e operativa.
Tuttavia, l’interpretazione del Garante sembra ignorare questo contesto, applicando il GDPR come se la SPV fosse un’azienda tradizionale con personale. Il risultato è un potenziale conflitto tra due quadri legali: uno ai sensi della legge finanziaria, l’altro ai sensi della legge sulla protezione dei dati.
Proporzionalità a rischio?
Il GDPR si basa sui principi di responsabilità e proporzionalità, che richiedono ai responsabili del trattamento dei dati di attuare misure adeguate al rischio e al contesto del trattamento. Ma quando una SPV senza risorse interne deve nominare un DPO, la cui unica funzione sarebbe quella di supervisionare terze parti già disciplinate dalla legge sulla cartolarizzazione, ci si chiede se questo approccio migliori davvero la protezione degli interessati o semplicemente introduca oneri di conformità duplicati e formalistici.
Il punto per il mercato
Questa decisione è un campanello d’allarme per il settore della finanza strutturata. I team legali e di compliance devono ora rivalutare le implicazioni del GDPR sulle strutture di cartolarizzazione e considerare la nomina di DPO, anche per SPV “vuote”. Nel caso di aziende che effettuano diverse cartolarizzazioni attraverso diverse SPV, l’obbligo di nominare un DPO diventerà un costo aggiuntivo da sostenere.
Su un argomento simile può essere d’interesse l’articolo: “Garante sanziona 4 enti locali per mancata comunicazione del DPO“
About the Author: Giulio Coraggio
