La funzione di Compliance Aziendale


Per Compliance Aziendale si intende la conformità a procedure, leggi, regolamenti e codici di condotta. Una società che risulta essere rispettosa delle regole di mercato ha sicuramente un biglietto da visita più invitante per pubblico e finanziatori.  Lo scopo principale della compliance è dunque quello di proteggere una società dai rischi legali e reputazionali. In che modo? In questo articolo un nostro esperto ci guiderà attraverso le best practices affinché non si incorra in rischi legali e reputazionali.

Indice:

Compliance aziendale

Modello Organizzativo Privacy

Modello 231

Differenze tra Modello Organizzativo Privacy e Modello 231

Organizzare una compliance aziendale

 

 

Compliance Aziendale

Ogni attività di una azienda può impattare su differenti aspetti normativi, che devono essere conosciuti e governati in modo da rendere l’attività della società aderente e congruente al dettato normativo. La funzione compliance si occupa, infatti, di verificare l’allineamento del business aziendale alla normativa cogente, applicabile al settore di riferimento.

Di seguito tratteremo il modello organizzativo privacy ed il modello 231, due ambiti distinti ma simili, rientrano entrambi nell’ambito compliance.

 

Modello organizzativo privacy

 

modello organizzativo privacy, Labor Project

 

 

  • Al fine di dimostrare il rispetto al Regolamento Europeo sulla protezione dei dati personali n. 2016/679, le aziende si sono dotate di una sorta di Modello Organizzativo Privacy, che racchiude l’insieme degli adempimenti relativi alla privacy che una Società deve implementare al fine di effettuare un trattamento di dati personali sicuro e nel rispetto di quanto previsto dalle normative di riferimento.
    • La legge

    Le principali normative di riferimento a cui occorre attenersi per un corretto trattamento dei dati personali sono:

    • Codice Privacy,
    • Regolamento Europeo sulla protezione dei dati personali n. 2016/679,
    • Provvedimenti del Garante Privacy;
    • Provvedimenti dell’European Data Protection Board. 
    • Gli adempimenti

    Gli adempimenti relativi alla privacy che possono formare il Modello Organizzativo Privacy sono diversi, di seguito elenchiamo i principali:

    • la definizione Ruoli e responsabilità interni ed esterni;
    • Registri delle attività di trattamenti del titolare e del responsabile (qualora si trattino dati anche da responsabile e non solo da titolare);
    • Data Breach policy
    • Retention policy
    • DPIA
    • Regolamento privacy,
    • Compliance sito web

 

Il modello organizzativo 231

 

modello 231, privacy, Labor Project

 

 

Il Modello Organizzativo 231 è un documento al cui interno sono mappate le aree di rischio di commissione reato da parte della Società. Insieme all’individuazione dei rischi, vengono definiti protocolli e regole che la società si dà al fine di evitare che qualcuno (apicali o dipendenti) commetta un reato presupposto (ovvero i reati elencati nel D.lgs. 231/2001 e per la cui commissione la società potrebbe essere chiamata a rispondere in procedimento penale, insieme all’autore materiale del reato).

  • Ruoli

Il Modello definisce anche “chi fa che cosa”, perché il D.lgs. 231/2001 si fonda sul concetto di SEGREGAZIONE DELLE FUNZIONI, ovvero chi esegue, chi controlla, chi autorizza devono essere persone diverse in modo da evitare che un intero processo – es. acquisti di beni – venga gestito interamente da un’unica persona che sarebbe, dunque, agevolata nel perpetrare condotte illecite previste dal Decreto.

 

Differenze tra Modello Organizzativo privacy e modello organizzativo 231

La principale differenza riguarda la diffusione del modello: Se il Modello Organizzativo Privacy interessa tutti coloro che effettuano trattamenti di dati personali, indistintamente, il Modello 231 non è obbligatorio, ma è facoltativo.

  • Punti di contatto

Esistono dei punti di contatto che mettono in relazione i due ambiti. Di seguito i principali:

  • la previsione di un’organizzazione da parte della società al fine di evitare la commissione di condotte illecite (ciascuna materia ha le sue previsioni di illeciti).
  • la messa a punto di un organismo deputato ad operare un controllo sull’effettiva ed efficace implementazione della compliance ed il suo mantenimento nel tempo: tali organi sono, per l’ambito compliance 231 L’ORGANISMO DI VIGILANZA (ODV – sempre obbligatorio per tutte le società che adottino un modello organizzativo); per l’ambito compliance privacy il DATA PROTECTION OFFICER (DPO – non obbligatorio per tutte le realtà, ma necessario solo per le realtà più complesse secondo specifici criteri di valutazione).

 

  • Chi deve usare il primo e chi invece il secondo

      • Compliance Privacy: Tutte le società che operano un trattamento di dati personali, che sia la mera raccolta, o anche la relativa conservazione, estrazione, consultazione o qualsiasi altra forma di messa a disposizione o la semplice distruzione degli stessi, devono affrontare il tema della Compliance Privacy.
      • Modello Organizzativo 231: non c’è obbligo di avere Modello, ma potenzialmente ogni ente con personalità giuridica o associazione anche priva di personalità giuridica dovrebbero averlo, perché la commissione di illecito è potenziale in ogni organizzazione.

 

Come organizzare una compliance aziendale

 

come organizzare compliance aziendale, Labor Project

 

 

Dopo aver predisposto la documentazione di riferimento, è fondamentale:

  • formare il personale che opera all’interno dell’Organizzazione al fine di diffondere una “cultura 231” o una “cultura privacy”.
  • rendere fattiva l’adozione delle regole e dei controlli predisposti.
  • approntare un sistema di vigilanza sul rispetto delle regole che la Società si è data, anche tramite la nomina degli organi deputati a tale verifica (ODV e DPO).
  • nei casi previsti dai modelli qui analizzati e in conformità con la normativa giuslavoristica, irrogare sanzioni disciplinari.
Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia