09 Mag Modelli 231 e privacy a confronto

MODELLO 231 e PRIVACY

I modelli 231 e i modelli privacy presentano innumerevoli similitudini.

La cifra distintiva di entrambi i sistemi di gestione è, infatti, l’efficacia che nei modelli 231 si declina nell’espressione “modello adottato ed efficacemente attuato”, mentre nei modelli privacy si traduce nel principio di “accountability” o responsabilizzazione.

In entrambi i modelli poi non esistono standard ovvero modelli tipo o misure minime, salvo forse per i cosiddetti modelli semplificati per le microimprese, ma si richiede l’adozione di un sistema di gestione customizzato sull’Ente ovvero sull’azienda, il che si significa, la predisposizione di procedure, mansionari, organigrammi, nomine e garantire l’osservanza di quanto inserito nella parte documentale.

DPO e ODV

Molteplici analogie si riscontrano anche nel ruolo dell’ODV, Organismo di Vigilanza e del DPO, Data Protectione Officer ovvero Responsabile della Protezione dei dati.

Entrambi gli organismi si collocano a fianco della governance aziendale e forniscono, più che un’attività di consulenza in favore di quest’ultima, un’attività di sostanziale continua verifica di conformità in ordine all’attuazione dei modelli stessi. Tali soggetti, pur potendo essere anche interni all’Ente, non dovrebbero ricoprire altri incarichi operativi, al fine di evitare situazioni di conflitto di interesse tra il cosiddetto sorvegliante, Odv o Dpo per l’appunto e il sorvegliato, cioè il soggetto che svolge anche incarichi operativi.

Whistelblowing

Una particolare criticità è rappresentata dalla normativa sul whistleblowing, che disciplina il soggetto segnalante all’azienda o all’ODV le violazione dei sistema di gestione e più precisamente la commissione dei reati presupposto. Si pone infatti la necessità di garantire da un lato la riservatezza del segnalante e la protezione dello stesso da eventuali azioni ritorsive e dall’altra il rispetto della normativa privacy.

Inquadramento dell’ODV nell’organigramma Privacy

Vale la pena a tal proposito osservare come l’ODV sia un organismo dell’Ente, interno alla società; pertanto anche quando è composto solo da soggetti esterni, i suoi componenti saranno sempre dei soggetti autorizzati al trattamento dei dati e mai dei responsabili esterni.

Aree comuni

Molto spesso poi l’area di interesse dell’ODV può essere comune al campo d’azione dell’DPO.

Si pensi ad esempio al caso di un “data breach” e più precisamente ad un leak, ovvero ad una sottrazione di dati personali, mediante un’abusiva intrusione nei sistemi informatici. La fattispecie in questione, poiché costituisce un reato presupposto della responsabilità amministrativa ex Dlgs 231/2001, non può non coinvolgere tanto l’attività di sorveglianza dell’ ODV, quanto quella del DPO.

E’ ragionevole pensare che oramai modelli siffatti potranno essere sempre più diffusi nel panorama delle aziende e che l’evoluzione digitale, peraltro sempre più incalzante, finirà per moltiplicare le ragioni di connessione tra i diversi  sistemi 231, privacy e tutela della informazioni aziendali.