gdpr modello 231 privacy control

GDPR e Modello Organizzativo 231/01

L’entrata in vigore del GDPR ha avuto ripercussioni sui controlli degli organi di vigilanza riguardanti il modello 231, il modello di gestione delle persone giuridiche volto alla prevenzione della responsabilità penale. Utile approfondire le connessioni tra il modello e il Regolamento europeo.

Nell’ambito del decreto legislativo 231/2001 riguardante la Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, che ha introdotto nel nostro ordinamento il principio della responsabilità penale della persona giuridica conseguente alla commissione di un reato, sono ravvisabili diversi punti di connessione con il nuovo regolamento sulla privacy al quale, ad oggi, si spera tutte le imprese si siano diligentemente adeguate.

Scopri i nostri servizi in materia di GDPR e Privacy

Decreto Legislativo 231/01 e GDPR: esistono alcuni punti di contatto?

La prima fase è:

  • la revisione dell’organigramma aziendale, prestando cioè attenzione alla presenza delle nomine esistenti e alla descrizione dei nuovi compiti assegnati al titolare, al responsabile del trattamento, agli incaricati al trattamento.

Quanto sopra detto sembra rispondere pienamente al criterio della:

  • Segregation of Duties (Sod) che già governa il sistema 231, in base al quale occorre individuare distinte responsabilità in capo a ciascuna funzione descrivendone nel dettaglio i compiti affidati.

In questa ottica vi è l’obbligo di provvedere alla valutazione dei rischi privacy (una sorta di risk assessment privacy, definita DPIA: Data Protection Impact Assessment), destinato inevitabilmente a confluire in un documento riepilogativo delle analisi effettuate, in cui sono individuati i possibili rischi associati alle distinte attività svolte, passaggio che presuppone la previa disamina dei rispettivi processi aziendali nell’ambito dei quali sono trattati i dati (operazione di adeguatezza prognostica del trattamento).

Ulteriori somiglianze:

  • Responsabilizzazione: come già detto nel caso del D.Lgs 231/01, entrambe le normative puntano sull’adozione di misure finalizzate alla corretta applicazione del regolamento. Nel caso del GDPR, si parla appunto di principio di accountability.
  • Centri di Imputazione di Attività: entrambe le normative prevedono l’istituzione di organismi che accentrino lo svolgimento di diverse attività: tra queste, un’unità interna di vigilanza preposta alla verifica del rispetto delle regole e una di formazione del personale.
  • Formazione: Dopo aver predisposto la documentazione di riferimento è fondamentale formare il personale che opera all’interno dell’Organizzazione al fine di diffondere una “cultura 231” o una “cultura privacy” e rendere fattiva l’adozione delle regole e dei controlli predisposti.
  • Alcuni reati ai danni dei dati personali contenuti nel GDPR sono già presenti nel Decreto 231/01, tra i quali:
    • Reato di Associazione per delinquere (art 24-ter D. Lgs. 231)
    • Riciclaggio/Autoriciclaggio (art 25-octies D. Lgs. 231)
    • Prevenzione dei reati informatici (art 24-bis D. Lgs. 231)

In base a quanto sopra analizzato, possiamo concludere sostenendo che, alla luce della recente normativa sulla privacy, il titolare del trattamento, il responsabile ed il Data Protection Officer (quando designato) risultano essere interlocutori importanti dell’OdV, alla stregua del RSPP e dei Responsabili dei sistemi di gestione aziendale che, quindi, dovrebbero monitorare anche il trattamento dei dati effettuato dall’OdV nella sua funzione di organo di controllo e vigilanza del modello organizzativo adottato dall’ente (articoli 6 e 7 del D.lgs. 231/2001).

Scopri i nostri servizi in materia di GDPR e Privacy

Non correre inutili rischi aspettando l’ultimo momento per adeguarti, in caso di mancato rispetto degli obblighi privacy il Regolamento Europeo Privacy prevede sanzioni amministrative pecuniarie fino a € 20.000.000 o fino al 4% del tuo fatturato se maggiore di tale importo.

Related Posts

© PrivacyControl 2023
Privacy Control, brand di Privacycert Lombardia srl • Pass. Don seghezzi, 2, 24122 Bergamo (BG)
P.IVA 04224740169 • Cap. Sociale 10.000,00 € I.V. • REA N. 445875 • Privacy policy
Tutte le immagini e i contenuti presenti in questo sito sono coperti da copyright. Condizioni di Vendita
Supportscreen tag