La Regola 26 dell'Allegato B) al D.lg. 196/03 impone a determinati Titolari del Trattamento di riferire nella "Relazione Accompagnatoria del Bilancio di Esercizio" dell'avvenuta  redazione  o  aggiornamento  del Documento Programmatico sulla Sicurezza.
Obiettivo del presente saggio è definire: i soggetti obbligati in qualità di titolari, le modalità di adempimento, le responsabilità di amministratori, sindaci e revisori e il sistema sanzionatorio previsto per il mancato adeguamento.

I - IL RIFERIMENTO DEL DPS NELLA RELAZIONE ACCOMPAGNATORIA DEL BILANCIO COME MISURA MINIMA DI SICUREZZA 

Considerato che ai sensi dell'articolo 33 del D.lg. 196/03 "[...] i titolari del trattamento sono [...] tenuti ad adottare le misure minime [...] volte ad assicurare un livello minimo di protezione dei dati personali. " e che ai sensi dell'articolo 34 comma 1) del D.lg. 196/03: "// trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le [...] misure minime [...]", ne consegue che la Regola 26 dell'Allegato B) al D.lg. 196/03 che prevede che: "// titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza." rientra chiaramente tra le misure minime di sicurezza obbligatorie per legge in quanto prescrizione,contenuta nel disciplinare tecnico di cui al suddetto Allegato B).

II - LA DEFINIZIONE DI "RELAZIONE ACCOMPAGNATORIA DEL BILANCIO DI ESERCIZIO"

La terminologia "Relazione Accompagnatoria del Bilancio di Esercizio, utilizzata dal legislatore nella Regola 26 dell'Allegato B al D.lg. 196/03, non risulta avere nessun fondamento giuridico né alcuna origine tecnica, e pertanto si presta a notevoli critiche e valutazioni di tipo interpretativo e dottrinale.
Per tale motivo, come prima cosa, risulta necessario definire chiaramente cosa si debba intendere per "Relazione Accompagnatoria del Bilancio di Esercizio".
"Tenuto conto che ai sensi dell'articolo 2423 comma 1) del Codice Civile il bilancio di esercizio è " [...] costituito dallo stato patrimoniale, dal conto economico e dalla nota integrativa [...]" e che ai sensi dell'articolo 2428 C.C. "Il bilancio deve essere corredato da una relazione degli amministratori contenente un'analisi fedele, equilibrata ed esauriente della situazione della società e dell'andamento e del risultato della gestione nel suo complesso e nei vari settori in cui essa ha operato [...] nonché una descrizione dei principali rischi e incertezza cui la società è esposta" si evince che per relazione accompagnatoria del bilancio di esercizio deve intendersi la relazione che si accompagna al bilancio e pertanto la "Relazione sulla Gestione" ex articolo 2428 C.C. e non la "Nota integrativa" ex articolo 2427 C.C. che invece è parte integrante del bilancio stesso.
Infatti, la relazione sulla gestione è un documento accompagnatorio del bilancio di esercizio che va ad integrarne il contenuto pur non essendone una sua parte costitutiva.
A supporto di questa interpretazione è lo stesso testo della Regola 26 dell'Allegato B) al D.lg. 196/03 nel punto in cui viene precisato che: "[...] nella relazione accompagnatoria del bilancio d'esercizio, se dovuta [...]"; infatti essendo la nota integrativa parte stessa del bilancio non può essere "accompagnatoria" e soprattutto è sempre dovuta e pertanto con la terminologia di "relazione accompagnatoria del bilancio di esercizio" il legislatore intendeva definire senza ombra di dubbio la "relazione sulla gestione".

III - I SOGGETTI TENUTI AL RISPETTO DELLA REGOLA 26 DELL'ALLEGATO B) AL D.LG. 196/03

Fugati i dubbi interpretativi in merito al significato di "relazione accompagnatoria del bilancio di esercizio" rimane da identificare i soggetti titolari del trattamento di dati personali che sono obbligati al rispetto della Regola 26 dell'Allegato B) al D.lg. 196/03.
Sono tenuti a riferire nella relazione sulla gestione dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza i soggetti che in qualità di:
- Titolari trattano dati personali sensibili e/o gìudiziari con strumenti elettronici con esclusione delle categorie previste dall'articolo 34 comma I-bis del D.lg. 196/03
- Società hanno l'obbligo di redigere il bilancio di esercizio in forma ordinaria ai sensi dell'articolo 2423 C.C.
Risultano pertanto esclusi dal rispetto della Regola 26 dell'Allegato B) i soggetti che:
- ai sensi dell'articolo 34 comma I-bis del D.lg. 196/03 non trattano dati sensibili e giudiziari con strumenti elettronici in quanto non tenuti alla redazione del Documento Programmatico sulla Sicurezza;
- ai sensi dell'articolo 34 comma I-bis del D.lg. 196/03 trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale in quanto la tenuta del Documento Programmatico sulla Sicurezza è sostituita dall'obbligo di autocertificazione;
- ai sensi dell'articolo 2435-bis C.C. possono redigere il bilancio di esercìzio in forma abbreviata e non sono soggetti alla redazione della relazione sulla gestione in quanto:
    o      non hanno emesso titoli negoziati in mercati regolamentati;

   o     non hanno superato nel primo esercizio o, successivamente, per due esercizi consecutivi, due dei seguenti limiti:

      • totale dell'attivo dello stato patrimoniale: 4.400.000 euro;
      • ricavi delle vendite e delle prestazioni: 8.800.000 euro;
      • dipendenti occupati in media durante l'esercizio: 50 unità.

   o    hanno indicato nella Nota Integrativa:

      • il numero e il valore nominale sia delle azioni proprie sia delle azioni o quote di società controllanti possedute dalla società, anche per tramite di società fiduciaria o per interposLa persona, con l'indicazione della parte di capitale corrispondente ai sensi del punto 3) dell'articolo 2428 C. C.

      • il numero e il valore nominale sia delle azioni proprie sia delle azioni o quote di società controllanti acquistate o alienate dalla società, nel corso dell'esercizio, anche per tramite di società fiduciaria o per interposta persona, con l'indicazione della corrispondente parte di capitale, dei corrispettivi e dei motivi degli acquisti e delle alienazioni ai sensi del punto 4) dell'articolo 2428 C.C.

IV - COMPITI E RESPONSABILITÀ DEL RISPETTO DELLA REGOLA 26 DELL'ALLEGATO B)

 Considerato che ai sensi dell'articolo 2423 C.C. "Gli amministratori devono redigere il bilancio di esercizio [...]' e che ai sensi dell'articolo 2428 C. C. "Il bilancio deve essere corredato da una relazione degli amministratori contenente un'analisi fedele, equilibrata ed esauriente della situazione della società [...] nonché una descrizione dei principali rischi e incertezze cui la società e' esposta, "si evince che l'obbligo e la responsabilità di riferire nella relazione sulla gestione dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza è sicuramente in capo agli amministratori della società.
Tenuto conto poi che ai sensi del comma 1) dell'articolo 2429 C.C. "Il bilancio deve essere comunicato dagli amministratori al collegio sindacale, e al soggetto incaricato della revisione legale dei conti, con la relazione, almeno trenta giorni prima di quello fissato per l'assemblea che deve discuterlo."e che ai sensi del comma 1) dell'articolo 2403 C.C. "Il collegio sindacale vigila sull'osservanza della legge e dello statuto, sul rispetto dei principi di corretta amministrazione ed in particolare sull'adeguatezza dell'assetto organizzativo, amministrativo e contabile adottato dalla società e sul suo concreto funzionamento." e che ai sensi del comma 2) dell'articolo 2429 C.C. "Il collegio sindacale deve riferire all'assemblea sui risultati dell'esercizio sociale e sull'attività svolta nell'adempimento dei proprì doveri, e fare le osservazioni e le proposte in ordine al bilancio e alla sua approvazione [...]" se ne deduce che la responsabilità di verifica del corretto adempimento previsto dalla Regola 26 dell'Allegato B) al D.lg. 196/03 grava sul collegio sindacale e sul revisore legale dei conti ove previsti.
Pertanto considerato che ai sensi dell'articolo 2407 C. C. "/ sindaci devono adempiere i loro doveri con la professionalità e la diligenza" e che "[...] sono responsabili della verità delle loro attestazioni [...]" ne consegue che "Essi sono responsabili solidalmente con gli amministratori per i fatti o le omissioni di questi, quando il danno non si sarebbe prodotto se essi avessero vigilato in conformità degli obblighi della loro carica. "
Di conseguenza qualora gli amministratori omettano di indicare nella relazione sulla gestione dell'avvenuta redazione e/o aggiornamento del DPS o indichino falsamente di averlo redatto e/o aggiornato i membri del collegio sindacale risponderanno solidalmente con gli amministratori per il reato da questi commesso, qualora non abbia correttamente vigilato.

V - TEMPISTICHE PER IL RISPETTO DELLA REGOLA 26 DELL'ALLEGATO B)

Considerato che ai sensi della Regola 19) dell'Allegato B) al D.lg. 196/03: "Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziarì redige [...] un documento programmatico sulla sicurezza [...]" e che ai sensi del comma 1) dell'articolo 2429 C.C. "// bilancio deve essere comunicato dagli amministratori al collegio sindacale, e al soggetto incaricato della revisione legale dei conti, con la relazione, almeno trenta giorni prima di quello fissato per l'assemblea che deve discuterlo." e che ai sensi dell'articolo 2409-terdecies C.C. "7/ consiglio di sorveglianza [...] approva il bilancio di esercìzio e, ove redatto, il bilancio consolidato" ovvero che ai sensi dell'articolo 2364 C.C. "Nelle società prive di consiglio di sorveglianza, l'assemblea ordinaria [...] approva il bilancio [...]" e che "L'assemblea ordinaria deve essere convocata almeno una volta l'anno, entro il termine stabilito dallo statuto e comunque non superiore a centoventi giorni dalla chiusura dell'esercizio sociale" o "comunque non superiore a centottanta giorni" ne consegue che:
      • qualora l'assemblea ordinaria per l'approvazione del bilancio sia convocata prima di 120 giorni dalla chiusura dell'esercizio sociale allora il DPS dovrà essere redatto o aggiornato alrreno 30 giorni prima della comunicazione al collegio sindacale e/o al revisore legale dei conti della relazione sulla gestione; in alternativa si potrà indicare nella relazione sulla gestione, che al momento della sua redazione il DPS per l'esercizio di riferimento era ancora in fase di aggiornamento e che gli amministratori si impegnano ad aggiornarlo e approvarlo entro e non oltre il 31  Marzo come
previsto dalla Regola 19 dell'Allegato B) del D.lg. 196/03. In tal caso il collegio sindacale e/o il revisore legale dei conti dovranno verificare il rispetto di tale impegno e termine.
      • qualora l'assemblea ordinaria per l'approvazione del bilancio sia convocata dopo 120 giorni dalla chiusura dell'esercizio sociale, allora il DPS dovrà essere redatto o aggiornato entro e non oltre il 31 Marzo come previsto dalla Regola 19 dell'Allegato B) del D.lg. 196/03; in tal caso il DPS dovrà essere allegato alla relazione sulla gestione e inviato insieme ad essa al collegio sindacale e/o al revisore legale dei conti almeno trenta giorni prima della data fissata per l'approvazione del bilancio.

VI - MOTIVAZIONI DEL RIFERIMENTO DEL DPS NELLA RELAZIONE SULLA GESTIONE 

La Regola 26 dell'Allegato B) del D.lg. 196/03, trova il suo fondamento giuridico nel fatto di rendere noto e pubblico a tutti gli stakeholders della società il corretto adempimento della redazione o aggiornamento annuale del Documento Programmatico sulla Sicurezza.
L'adempimento della Regola 26 dell'Allegato B), inoltre, impegna formalmente gli amministratori della società nei confronti di tutti gli interessati, in merito al reale stato di adeguamento del titolare del trattamento e dell'effettiva applicazione di specifiche misure di sicurezza a protezione dei loro dati personali. Infine, tale Regola permette agli organi di vigilanza della società di verificare l'effettivo rispetto della normativa in materia di privacy, di identificare e valutare i rischi patrimoniali derivanti dalla mancata osservanza delle misure di sicurezza prescritte per legge e di mettere in luce eventuali responsabilità dei soggetti delegati alla gestione del sistema privacy aziendale.

VII - SANZIONI PER MANCATO RIFERIMENTO DEL DPS NELLA RELAZIONE SULLA GESTIONE

Come in precedenza esaminato, il mancato rispetto della Regola 26 dell'Allegato B) al D.lg. 196/03, rientra la mancata adozione delle misure minime di sicurezza previste dall'art. 33 del D.lg. 196/03 e pertanto tale omissione è sanzionabile in sede amministrativa - ai sensi dell'articolo 162 comma 2-bis del D.lg. 196/03 -con il "[,,.] pagamento di una somma da diecimila euro a centoventìmila euro [...]' (con esclusione del pagamento in misura ridotta) e in sede penale - ai sensi dell'art. 169 del D.lg. 196/03 - con "[...] l'arresto sino a due anni [...]'.
Inoltre ai sensi dell'articolo 164-bis comma 4) del D.lg. 196/03 "Le sanzioni [...] possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore."e pertanto la sanzione amministrativa può arrivare fino a € 480.000,00 in caso di grandi imprese o di gruppi societari.
Infine ai sensi dell'articolo 165 del D.lg. 196/03 "[...] può essere applicata la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali [...] a cura e spese del contravventore."e ai sensi dell'articolo 172 del D.lg. 196/03 " [...] la pubblicazione della sentenza."

CONCLUSIONI

Da quanto finora descritto, risulta evidente che la Regola 26 dell'Allegato B) al D.lg.  196/03 è una prescrizione a cui sono soggetti solo un numero ristretto e determinato di Titolari.
Lo scopo principale di tale norma è, infatti, responsabilizzare gli alti vertici di aziende strutturate con organizzazioni complesse al fine di renderli più sensibili al rispetto della normativa in materia di protezione di dati personali e coinvolgerli nel processo decisionale strategico relativo alla sicurezza delle informazioni. La redazione della relazione sulla gestione diventa, quindi, il momento di raccordo e confronto tra il vertice aziendale a cui è affidata l'amministrazione della società e i soggetti preposti alla gestione del sistema privacy aziendale al fine di riportare le decisioni in merito alle "decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza" m capo alle persone delegate a rappresentare il titolare del trattamento.

-------------------------------------------------------------------------------------------

FONTI 
Privacy in Azienda: Manuale di Formazione per Titolari, Responsabili e Incaricati (Autore Eric Fa/zone - Casa Editrice Hoepli Spa) - Decreto legislativo 30 giugno 2003, n. 196- Allegato B) al D.lg. 196/03 - Codice Civile - "La relazione sulla gestione art.2428 codice civile: la relazione sulla gestione dei bilanci d'esercizio alla luce delle novità introdotte dal D.lgs 32/2007", Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili, Roma, 14 Gennaio 2009