Modello organizzativo Privacy e Modello 231: differenze e sinergie per imprese


Con l’entrata in vigore del GDPR, le aziende hanno dovuto dotarsi di un modello organizzativo privacy, ovverosia l’insieme degli adempimenti relativi alla privacy che una società deve implementare al fine di effettuare un trattamento dei dati sicuro, nel rispetto di quanto previsto dalle normative di riferimento. In questo articolo un nostro esperto avrà modo di fare chiarezza su differenze e sinergie che esistono con il Modello 231 e che si attuano all’interno delle imprese in tema di privacy .

Indice:

Modello organizzativo privacy: quali sono gli adempimenti

Cos’è il Modello organizzativo 231

Differenze e punti di contatto

Come si attuano

 

Modello organizzativo privacy: quali sono gli adempimenti

quando è obbligatorio data protection officer

 

 

Quando si parla modello organizzativo privacy occorre precisare che molti sono degli adempimenti da rispettare, tra cui riportiamo – a titolo esemplificativo – i seguenti:

  • Definizione ruoli e responsabilità privacy interni ed esterni;
  • Predisposizione del registro del titolare dei trattamenti;
  • Predisposizione del registro del responsabile del trattamento (qualora si trattino dati anche da responsabile e non solo da titolare);
  • Data Breach policy;
  • Retention policy;
  • DPIA (valutazione di impatto e rischio del trattamento dati effettuato);
  • Regolamento di utilizzo degli strumenti informatici;
  • Compliance sito web.

 

  • La Normativa

Il modello organizzativo privacy  risponde a diverse normative che regolano e disciplinano la materia privacy, vale a dire:

  • Codice privacy,
  • Regolamento europeo sulla protezione dei dati personali n° 20167679,
  • Provvedimenti del Garante Privacy.

In aggiunta alla normativa sopra indicata, particolare rilievo hanno anche i differenti provvedimenti di emanzione del EDPB (European Data Protection Board),organo deputato a garantire l’applicazione coerente della normativa a livello europeo.

Cos’è il modello organizzativo 231

Con il termine Modello Organizzativo 231 si intende un documento al cui interno sono mappate le aree sensibili della società, ovverosia quelle a rischio  di commissione reato (reati elencati nel D.lgs 231/2001). Non solo, oltre ad individuare i rischi, vengono definiti protocolli e regole che la società adotta al fine di evitare che qualcuno che lavora al suo interno, dai vertici ai dipendenti, possa commettere un reato di quelli previsti dalla normativa, definiti “reato presupposto”, chiamata a rispondere in procedimento penale, insieme all’autore materiale del reato.

  • I ruoli

Il Modello definisce anche “chi fa che cosa”, perché il D.lgs. 231/2001 si fonda sul concetto di segregazione delle funzioni. In altre parole chi esegue, chi controlla, chi autorizza devono essere persone diverse in modo da evitare che un intero processo – es. acquisti di beni – venga gestito da un’unica persona che sarebbe, dunque, agevolata nel perpetrare condotte illecite previste dal Decreto.

Differenze e punti di contatto

data protection officer, Labor Project

 

 

Quando si parla di privacy occorre tenere presente un concetto basilare: il mondo compliance è ampio e risponde a più normative. Ogni attività di una azienda può impattare su differenti aspetti normativi, che devono essere conosciuti e appresi in modo da rendere l’attività della società aderente e congruente rispetto al dettato normativo. Esistono a tal proposito due ambiti completamente distinti per la materia trattata, ma entrambi rientrano nell’ambito compliance.

  • Modello 231 

Rappresenta l’organizzazione che si dà la Società per evitare il rischio della commissione di reati (tra cui anche i      reati informatici, che però non sono gli stessi illeciti previsti dal Codice Privacy). l’adozione del modello 231 non è una prescrizione di legge obbligatoria, ma  ogni ente con personalità giuridica, società, o associazione anche priva di personalità giuridica,  dovrebbe  dotarsene poiché la commissione di illecito è potenziale in ogni impresa.

 

  • Compliance privacy

Mira a organizzare la Società in modo tale da effettuare un trattamento dei dati personali degli interessati, evitando rischi per i diritti dei medesimi. In questo caso l’adeguamento alla normativa interessa tutti coloro che effettuano il trattamento dei dati personali, indistintamente, tenendo conto che per dati personali si intendono quelli definiti da Regolamento europeo 2016/679: “qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione, la distruzione“.

 

 

  • Quali sono i punti di contatto?

Il punto di contatto è la previsione di un’organizzazione da parte della società al fine di evitare la commissione di condotte illecite (ciascuna materia ha le sue previsioni di illeciti). Altro punto di contatto è la previsione di un organismo deputato ad operare un controllo sull’effettiva ed efficace implementazione della compliance ed il suo mantenimento nel tempo: tali organi sono, per l’ambito compliance 231 l’Organismo di Vigilanza (OdV – sempre obbligatorio per tutte le società che adottino un Modello Organizzativo); per l’ambito compliance privacy il Data Protection Officer (DPO – non obbligatorio per tutte le realtà, ma necessario solo per le realtà più complesse secondo specifici criteri di valutazione).

 

Come si attuano

Una volta adottato il Modello 231 o privacy, l’impresa deve agire su due fronti: formare il personale e definire un sistema di vigilanza.

  • Formazione

Dopo aver predisposto la documentazione di riferimento è fondamentale formare il personale che opera all’interno dell’Organizzazione al fine di diffondere una “cultura 231” o una “cultura privacy” e rendere fattiva l’adozione delle regole e dei controlli predisposti.

 

  • Vigilanza

Si deve approntare un sistema di vigilanza sul rispetto delle regole che la Società si è data, anche tramite la nomina degli organi deputati a tale verifica (ODV e DPO). Nel Modello Organizzativo 231 sono previste, per il caso di violazione delle prescrizioni contenute nello stesso (e nel Codice Etico che ne è parte integrante), l’irrogazione di sanzioni disciplinari. Anche il Modello Privacy prevede la possibilità di sanzionare chi non rispetta le regole privacy in esso definite.

 

  • Chi deve usare il primo e chi invece il secondo?

    • Compliance Privacy: tutte le società che operano un trattamento di dati personali come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione, la distruzione devono avere una compliance privacy.
    • Modello Organizzativo 231: non c’è obbligo di avere un  Modello 231, ma potenzialmente ogni ente con personalità giuridica o associazione,  anche priva di personalità giuridica, perché di fatto la commissione di illecito è potenziale in ogni organizzazione.

 

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia