• Privacy Solution

Modelli organizzativi privacy e 231: differenze e possibili sinergie per le imprese

L'obiettivo della responsabilizzazione contenuto nel GDPR si può - e si deve - realizzare attraverso un modello che si potrebbe definire “modello organizzativo privacy” e che presenta molti punti in contatto, sia come filosofia dell'impianto sia come contenuti peculiari, con il “modello organizzativo 231”. Infatti, in entrambi i modelli si individuano centri di imputazione di attività, alcune delle quali di sorveglianza e altre di formazione. Altri punti di contatto sono ravvisabili nella mappatura dei rischi e dei trattamenti dei dati. Ma ci sono anche importanti differenze: quali? Infine, l’impresa può utilizzare l’impianto 231 ai fini della privacy?

Per perfezionare l'applicazione del regolamento europeo n. 2016/ 679- GDPR, molto spesso, anche le autorità di controllo fanno riferimento ad un approccio individuato come “basato sul rischio”.Si tratta di un’ottica particolare e peculiare, che rappresenta una modalità pragmaticanell’illustrazione e nella programmazione delle attività e degli adempimenti.In effetti individuare i focolai del rischio per le persone fisiche a riguardo del trattamento dei dati personali è un ottimo metodo per calibrare le relative misure tecniche e organizzative, che il titolare del trattamento deve obbligatoriamente predisporre per dimostrare la sua avvenuta responsabilizzazione.Non si tratta dell’unica a prospettiva, attraverso la quale possono essere lette e attuate le norme della disciplina della protezione delle persone fisiche, con riguardo al trattamento dei dati. Si tratta però di una prospettiva che assicura in via tendenziale un maggior livello di adeguamento ed una più efficace prognosi favorevole, se non di eliminazione, almeno di mitigazione del rischio delle responsabilità.Consulta i dossier:- Nuovo regolamento privacy- GDPR: come gestire gli adempimentiQuesto approccio - ovvero l'approccio del basato sul rischio - evoca in maniera diretta l'approccio analogo sotteso alla disciplina e alla applicazione della normativa sulla responsabilità amministrativa delle persone giuridiche trattata dal decreto legislativo n.231 del 2001.Quest’ultimo comparto normativo delinea un sistema di responsabilità per le organizzazioni, in primis quelle imprenditoriali, e nel contempo configura le strade per attenuare, ma anche per eliminare il rischio delle pesanti sanzioni amministrative correlate alla commissione da parte dei manager aziendale oppure dei dipendenti di un serie di uno dei reati inclusi tra i reati “presupposto”.Dal punto di vista dell'inquadramento, peraltro, il regolamento europeo sulla privacy ha una visuale ed una cornice più ampia, non limitata alla costruzione di un di un’impalcatura sanzionatoria a maggiore tutela di alcuni beni giuridici ovvero di quelli protetti dalle norme incriminatrici.Peraltro, l'obiettivo della responsabilizzazione si può e si deve realizzare attraverso un modello organizzativo, che potremmo definire “modello organizzativo privacy”, che ha molti punti in contatto, sia come filosofia dell'impianto sia come contenuti peculiari, con il “modello organizzativo 231”.

📷

Con le note illustrative della disciplina, con formule e modelli editabili, stampabili ed archiviabili, e lo scadenzario degli adempimenti, Guida alla privacy ti accompagna nell’applicazione del GDPR.

Scoprila su ShopWki.it

I punti di contatto…

I punti di contatto sono ravvisabili, innanzitutto, nel fatto che si individuano centri di imputazione di attività, alcune delle quali di sorveglianza, altre di formazione. Sono altresì ravvisabili nella mappatura dei rischi e nella individuazione delle modalità per mitigare l'insorgenza del rischio oltre che le conseguenze del danno, nel caso in cui l'evento non sia stato scongiurato. Una “medesimezza” di impianto è ravvisabile nella impalcatura del regolamento europeo: anche qui si impone una mappatura, stavolta dei trattamenti nonché un’analisi dei rischi, distinti a seconda del loro grado, e anche delle possibili conseguenze per l'interessato.A questa analisi segue l'individuazione delle misure di rimedio. Constatiamo, poi, la necessità di pianificare la formazione e l'istruzione in ordine al rispetto degli standard relativi al trattamento e alle misure di sicurezza. Si evidenzia l'individuazione di un centro di sorveglianza molto importante, che è rappresentato dalla funzione del responsabile della protezione dei dati.I punti di contatto sono ancora evidenziati dal fatto che alcuni reati presupposto della sanzione della responsabilità amministrativa delle imprese riguardano tipicamente aspetti connessi a flussi informativi, ancorchè non si tratti di dei reati (già) previsti dal decreto legislativo 196 del 2003 (incidenter, è ancora aperta la questione del sistema sanzionatorio penale relativo al regolamento europeo 2016/679).In effetti decreto legislativo 231/2001 prevede tra i reati presupposto alcuni delitti informatici e connesse fattispecie di trattamento illecito dei dati. Non a caso, proprio per tale ragione, alcuni modelli organizzativi 231, elaborati da associazioni o enti esponenziali di categorie economiche, prevedono tra i soggetti da coinvolgere nella stesura e nell’applicazione dei modelli organizzativi del codice di comportamento proprio un non ben definito “responsabile privacy”.Ciò a comprova del fatto che si tratta di un settore dal quale possono derivare falle e comunque pericoli per la commissione di reati riconducibili ad una politica d'impresa e, pertanto, tali da provocare una reazione sanzionatoria a carico dell’impresa stessa.

… e le differenze

Non ci sono solo elementi di estrema vicinanza, però, in quanto è possibile cogliere altresì elementi di differenza.La principale differenza è rappresentata dall’individuazione netta e precisa, da parte del decreto legislativo 231/2001, di piena non responsabilità in relazione all’esatta costruzione ed esecuzione ed applicazione del modello organizzativo. Per quanto lo stesso modello organizzativo sia suscettibile di essere valutato dal giudice nella sua congruità ed idoneità, è comunque rinvenibile nell'apparato normativo una declaratoria di non responsabilitàconnessa alla predisposizione di cautele preventive.Ci riferiamo in particolar modo all'articolo 6 del decreto legislativo 231/2001, che contiene la dichiarazione di non responsabilità per il reato commesso dal chi occupa una posizione apicale, così come all'articolo 7, con riferimento ai reati commessi da soggetti in posizione subordinata. Ebbene una declaratoria di questo tipo, così netta, non è rintracciabile nel regolamento europeo 2016/679, ancorché i modelli organizzativi e l'apparato documentale, in cui viene incorporata la responsabilizzazione, così come l'adesione a codici di condotta categoriali (non di impresa ma di categoria) sono tutti elementi che dovranno essere presi in considerazione dalla autorità di controllo e dall'autorità giurisdizionale nell'ambito della valutazione della responsabilità del titolare del trattamento.

Considerazioni finali

A livello pratico, quindi, può essere utile, per quelle organizzazioni che hanno definito e incrementato nel corso degli anni, un modello organizzativo 231, recuperare il contenuto dello stesso e verificare quando di tali contenuti siano trascinabili nel “modello privacy”.Ciò anche per garantire un necessario coordinamento e un necessario collegamento tra i due modelli. Non bisogna cadere nell'errore, però, di ritenere che il “modello organizzativo 231” esaurisca in maniera completa tutti gli aspetti di programmazione e di formazione imposti dal regolamento europeo sulla privacy. Bene fa, quindi, l'impresa a mappare i trattamenti e a mappare i rischi riprendendo anche i rischi individuati nella modello organizzativo 231, soprattutto con riferimento ai delitti informatici e relativi al trattamento illecito di dati, per poi combinare i piani dei possibili rimedi e quelli di formazione. Si ottimizzeranno gli adempimenti e si darà una solida base alla propria irresponsabilità.


articolo di http://www.ipsoa.it



4 visualizzazioni