GDPR e Modello Organizzativo 231/01
L’entrata in vigore del GDPR ha avuto ripercussioni sui controlli degli organi di vigilanza riguardanti il modello 231, il modello di gestione delle persone giuridiche volto alla prevenzione della responsabilità penale. Utile approfondire le connessioni tra il modello e il Regolamento europeo.
Scopri i nostri servizi in materia di GDPR e Privacy
Decreto Legislativo 231/01 e GDPR: esistono alcuni punti di contatto?
La prima fase è:
- la revisione dell’organigramma aziendale, prestando cioè attenzione alla presenza delle nomine esistenti e alla descrizione dei nuovi compiti assegnati al titolare, al responsabile del trattamento, agli incaricati al trattamento.
Quanto sopra detto sembra rispondere pienamente al criterio della:
- Segregation of Duties (Sod) che già governa il sistema 231, in base al quale occorre individuare distinte responsabilità in capo a ciascuna funzione descrivendone nel dettaglio i compiti affidati.
In questa ottica vi è l’obbligo di provvedere alla valutazione dei rischi privacy (una sorta di risk assessment privacy, definita DPIA: Data Protection Impact Assessment), destinato inevitabilmente a confluire in un documento riepilogativo delle analisi effettuate, in cui sono individuati i possibili rischi associati alle distinte attività svolte, passaggio che presuppone la previa disamina dei rispettivi processi aziendali nell’ambito dei quali sono trattati i dati (operazione di adeguatezza prognostica del trattamento).
Ulteriori somiglianze:
- Responsabilizzazione: come già detto nel caso del D.Lgs 231/01, entrambe le normative puntano sull’adozione di misure finalizzate alla corretta applicazione del regolamento. Nel caso del GDPR, si parla appunto di principio di accountability.
- Centri di Imputazione di Attività: entrambe le normative prevedono l’istituzione di organismi che accentrino lo svolgimento di diverse attività: tra queste, un’unità interna di vigilanza preposta alla verifica del rispetto delle regole e una di formazione del personale.
- Formazione: Dopo aver predisposto la documentazione di riferimento è fondamentale formare il personale che opera all’interno dell’Organizzazione al fine di diffondere una “cultura 231” o una “cultura privacy” e rendere fattiva l’adozione delle regole e dei controlli predisposti.
- Alcuni reati ai danni dei dati personali contenuti nel GDPR sono già presenti nel Decreto 231/01, tra i quali:
- Reato di Associazione per delinquere (art 24-ter D. Lgs. 231)
- Riciclaggio/Autoriciclaggio (art 25-octies D. Lgs. 231)
- Prevenzione dei reati informatici (art 24-bis D. Lgs. 231)
In base a quanto sopra analizzato, possiamo concludere sostenendo che, alla luce della recente normativa sulla privacy, il titolare del trattamento, il responsabile ed il Data Protection Officer (quando designato) risultano essere interlocutori importanti dell’OdV, alla stregua del RSPP e dei Responsabili dei sistemi di gestione aziendale che, quindi, dovrebbero monitorare anche il trattamento dei dati effettuato dall’OdV nella sua funzione di organo di controllo e vigilanza del modello organizzativo adottato dall’ente (articoli 6 e 7 del D.lgs. 231/2001).
Scopri i nostri servizi in materia di GDPR e Privacy
Non correre inutili rischi aspettando l’ultimo momento per adeguarti, in caso di mancato rispetto degli obblighi privacy il Regolamento Europeo Privacy prevede sanzioni amministrative pecuniarie fino a € 20.000.000 o fino al 4% del tuo fatturato se maggiore di tale importo.