Roma – La disciplina relativa al trattamento dei dati personali viene paragonata alla disciplina della 231, in quanto le stesse presentano similitudini normative.
Ma analizzando le due normative si individuano analogie specifiche tra gestione ed organizzazione della procedura in comparazione.
Si evidenzia come l’art 231 assicuri la tracciabilità e trasparenza dei processi aziendali tramite apposite procedure e una mappatura dei rischi derivanti dai reati presupposto, mentre il GDPR ha bisogno invece di una serie di figure soggettive, che rispondono al Titolare del trattamento, a cui sono affidate responsabilità e obblighi relativamente al trattamento dei dati personali.
Analizzando il Regolamento UE 2016/679, la mappatura permette da un lato di avere una visione completa dei processi operativi implicanti il trattamento, e dall’altro permette di comprendere cosa effettivamente si fa con i dati raccolti. A tal proposito, il GDPR, impone peraltro l’adozione del registro del titolare che contiene specifiche informazioni.
Il registro del responsabile contiene il nome e i dati del Responsabile o dei responsabili ed il nome e i dati di contatto di ciascun titolare del trattamento per conto del quale agisce il responsabile; le categorie dei trattamenti effettuati per conto di ogni titolare; se avviene, anche il trasferimento dei dati personali verso paesi extra UE o organizzazioni internazionali; e una descrizione delle misure di sicurezza tecnica ed organizzativa.
Non tutti gli enti hanno l’obbligo di redigere un Registro delle attività di trattamento, infatti l’UE dispone quanto segue: “gli obblighi di tenuta del registro non si applicano alle imprese con meno di 250 dipendenti, a meno che il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato; non sia occasionale; includa dati sensibili o dati personali relativi a condanne penali e a reati.
E’ comunque sempre consigliabile la redazione di un Registro del trattamento in quanto, in caso di ispezione, fornisce una chiara e precisa fotografia dei trattamenti effettuati, ed inoltre è uno degli strumenti di accountability per la valutazione dei rischi e le misure di sicurezza.
Il D.lgs. n. 231/2001 disciplina la responsabilità amministrativa degli enti per gli illeciti amministrativi dipendenti da reato, se quest’ ultimo è commesso nell’interesse o vantaggio dell’ente. Il Modello di Organizzazione gestione e controllo ai sensi del d.lgs. 231/2001 è adottato dal CDA/AU, ed è un documento nel quale sono esposti i principi e le regole di comportamento che la società adotta per la prevenzione dei reati presupposto, deve essere approvato dal CDA/AU, e da quel momento è immediatamente operativo. Quindi tutti i dipendenti, apicali e sottoposti (che sono le due categorie di possibili autori dei reati contenuti nel catalogo 231), devono rispettare i principi e le regole descritte.
pPr la redazione del modello di organizzazione gestione e controllo, il primo passo è quindi la mappatura e la valutazione dei rischi. Inoltre, è di fondamentale importanza definire ruoli e responsabilità dei soggetti nei vari processi operativi.
Il modello è composto da:
- una parte generale che rappresenta un documento di sintesi di un complesso organico di regole di buon governo societario funzionali alla gestione ottimale del rischio reato il cui obiettivo è quello di fornire ai destinatari un quadro sulla realtà aziendale;
- da parti speciali, che contengono le fattispecie di attività sensibili, regole generali di comportamento; principi di controllo specifici; e controlli dell’Organismo di Vigilanza, oltre al codice etico ed al sistema sanzionatorio.
Dunque, si può affermare che entrambi i modelli, Privacy e 231, spingono verso l’adozione di un sistema di compliance con una funzione di vigilanza affidata ad un organo indipendente (Organismo di vigilanza quando si parla di 231, e Garante/DPO quando si parla di Privacy).
In conclusione, le analogie tra i due “Modelli” possono essere sintetizzate come segue:
- necessità di mappare i trattamenti da un lato e dall’altro i processi operativi;
- necessità di valutare i rischi che incombono sui dati nei vari trattamenti e necessità di valutare i reati che potrebbero essere commessi nei vari processi aziendali;
- necessità di definire ruoli e responsabilità;
- necessità di un organo di controllo;
- ed infine la formazione obbligatoria a tutti i dipendenti.
Il team dello Studio Legale Antonaci è in costante attività sugli aggiornamenti normativi di settore.