Tra il sistema di gestione ed organizzazione in ambito privacy, il cosiddetto GDPR, e quello delineato dal decreto legislativo 231 del 2001 vi sono importanti analogie.
Le due discipline presentano affinità di approcci e di modelli di governance dei rischi relativamente a ruoli e responsabilità dei soggetti coinvolti nei processi interni all’organizzazione.
Così come il modello 231 assicura la tracciabilità e trasparenza dei processi aziendali esposti al rischio di verifica dei reati mediante apposite procedure, anche la costruzione di un efficiente sistema di gestione della privacy richiede l’adozione di una struttura organica chiaramente delineata dal Titolare a cui siano affidati responsabilità e obblighi relativamente al trattamento dei dati personali.
Ma oltre ai principi quali sono i concreti punti di contatto?
Entrambe prevedono l’identificazione di soggetti organizzativi stabili e identificati capaci da un lato di evitare la commissione di condotte illecite – l’Organismo di Vigilanza per l’ambito compliance 231- e dall’altro di garantire l’effettiva ed efficace implementazione della conformità ed il suo mantenimento nel tempo del trattamento dei dati – il Data Protection Officer per l’ambito Privacy-.
Chi deve usare l’uno e chi l’altro modello?
Tutte le società che operano un trattamento di dati personali come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione, la distruzione devono implementare e seguire un modello di compliance privacy.
Non esiste invece un obbligo soggettivo di adottare il Modello 231. Ma poiché di fatto la commissione di un illecito è un rischio potenzialmente presente in ogni organizzazione, la decisione circa l’adozione del modello va considerata con attenzione da tutte le imprese e dagli enti con personalità giuridica e dalle associazioni, anche quelle prive di personalità giuridica. Solo l’adozione del modello e un suo corretto esercizio consentono infatti di beneficiare di una limitazione del carico di responsabilità amministrativa in caso di reato. Oltre a ciò va valutato anche che l’adozione del modello 231 è considerata un requisito indispensabile per ottenere o mantenere l’accreditamento a livello di legislazione regionale in determinati settori (es. formazione e sanità), oppure per le Società che richiedono di essere ammesse al segmento Star della Borsa di Milano.
GR ADVISORY supporta in modo efficace le imprese, le associazioni e gli enti che adottano il Modello 231 e/o che implementano sistema di gestione ed organizzazione Privacy, formando il personale, definendo sistemi e suggerendo interventi di ottimizzazione ed efficientamento dei processi utilizzati per essere compliant con le rispettive normative.
Scopri di più sulla nostra practice GDPR