GDPR e Modello Organizzativo 231/01: verso una possibile sinergia

  • Modello Organizzativo 231 e GDPR

Si è molto discusso nell’ultimo periodo dell’importanza della privacy e del Regolamento UE 2016/679 atto a proteggerla, noto ai più come GDPR.
Possono esserci dei punti in comune tra quest’ultimo e il Decreto Legislativo 231/01, ed è quello che andremo a vedere in questo articolo.

Decreto Legislativo 231/01: che cosa prevede in breve

Entrato in vigore nel 2001, il D.Lgs. 231/01 è un decreto che introduce la responsabilità amministrativa delle Società le quali, in caso di reati commessi dai suoi membri nell’esercizio delle loro funzioni aziendali, incorreranno in sanzioni amministrative e penali.

Il rischio delle conseguenze può essere diminuito in maniera considerevole adottando un Modello Organizzativo 231.

Il modello organizzativo è un sistema preventivo che l’impresa stabilisce al fine di indirizzare i comportamenti dei suoi membri al rispetto delle norme attinenti alla responsabilità d’impresa.

Privacy e protezione dei dati personali: il GDPR in pillole

Pubblicato in gazzetta Ufficiale il 4 Settembre 2018, il GDPR (General Data Protection Regulation) nasce come adeguamento alle nuove disposizioni comunitarie in materia di trattamento e protezione dei dati personali al fine di garantire una maggiore certezza normativa e giuridica anche nel caso di trasferimento dei dati verso altri paesi extra UE.

Concetto saliente del regolamento è ovviamente quello che riguarda i dati personali. Il GDPR considera come dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Il GDPR si applica così al trattamento “interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”.

In estrema sintesi, il GDPR:

  • prevede regole più chiare e stringenti sull’informativa e sul consenso definendo i limiti legati al trattamento automatizzato dei dati
  • stabilisce criteri rigorosi per il trasferimento dei dati nei paesi extra UE
  • prevede normative severe in caso di data breach (violazione dei dati)
  • introduce il principio di accountability per il quale il Titolare del trattamento dati ha la responsabilità di rispettare una serie di principi e deve anche essere in grado di dimostrarlo.

Inoltre, date alcune condizioni (come grandi dimensioni aziendali e tipologia dei dati trattati ecc.), richiede la nomina di un DPO interno alle aziende ed enti responsabili dei dati personali per assicurare una corretta gestione di questi ultimi.

Scarica il white paper su GDPR Privacy e Cyber Security

Con la piena applicazione del Regolamento Europeo 2016/679 (GDPR) per Aziende e Professionisti è obbligatorio adottare misure tecniche e organizzative adeguate a proteggere
i dati personali. Compila il form e scarica gratuitamente il white paper Alavie dedicato al GDPR e alla Cyber Security.



Decreto Legislativo 231/01 e GDPR: esistono alcuni punti di contatto?

Entrambe le normative condividono alcuni princìpi fondamentali, tra i quali:

  • Responsabilizzazione: come già detto nel caso del D.Lgs 231/01, entrambe le normative puntano sull’adozione di misure finalizzate alla corretta applicazione del regolamento. Nel caso del GDPR, si parla appunto di principio di accountability.
  • Risk Approach: entrambi i sistemi prevedono l’analisi dei processi, delle attività e dei ruoli per mappare i possibili fattori di rischio ai danni dei dati personali delle persone e configurare le ipotesi di reato. Si effettua perciò un approccio inverso, partendo dal rischio per individuare le modalità di prevenzione.
  • Centri di Imputazione di Attività: entrambe le normative prevedono l’istituzione di organismi che accentrino lo svolgimento di diverse attività: tra queste, un’unità interna di vigilanza preposta alla verifica del rispetto delle regole e una di formazione del personale.
  • Alcuni reati ai danni dei dati personali contenuti nel GDPR sono già presenti nel Decreto 231/01, tra i quali:
    • Reato di Associazione per delinquere (art 24-ter D. Lgs. 231)
    • Riciclaggio/Autoriciclaggio (art 25-octies D. Lgs. 231)
    • Prevenzione dei reati informatici (art 24-bis D. Lgs. 231)

 

Decreto Legislativo 231/01 e GDPR: la principale differenza

La principale differenza tra Decreto Legislativo 231/01 e GDPR riguarda invece il tema della responsabilità.
Nel decreto legislativo 231/01 infatti vi è la piena non responsabilità in relazione all’esatta costruzione, applicazione ed esecuzione del modello organizzativo da parte dei membri aziendali.

Il riferimento è per lo più relativo all’articolo 6 del decreto 231/2001 e all’articolo 7 dove è presente la dichiarazione di non responsabilità per il reato commesso da coloro che occupano sia posizioni di vertice che subordinate.
Per quanto concerne il GDPR non è presente una posizione così netta in merito alla non responsabilità, ma sono al contrario presenti riferimenti alla figura di un responsabile del trattamento dei dati personali, la cui figura ed il cui ruolo risulta elemento da prendere in considerazione dall’autorità di controllo e dall’autorità giurisdizionale.

GDPR e Modello Organizzativo 231: si può parlare di una possibile energia?

In occasione di una corretta applicazione del GDPR, le autorità di controllo fanno riferimento ad un approccio “basato sul rischio”, ovvero una modalità piuttosto pragmatica di analisi e realizzazione di attività ed adempimenti.

È proprio in relazione a questo tipo di approccio che il riferimento al decreto legislativo 231 del 2001 diventa naturale. Quest’ultimo, infatti, delinea un sistema di responsabilità per le organizzazioni e prevede una serie di possibili strade da percorrere per evitare le pesanti sanzioni previste.

In un certo senso l’attuazione del GDPR potrebbe così prevedere la definizione di un sistema e di un modello che per molti aspetti potrebbe richiamare il modello organizzativo 231.

Scopri i nostri servizi in materia di GDPR e Privacy

Gestione degli obblighi previsti dal GDPR Privacy per la protezione dei dati e del business di Professionisti e aziende, formazione e adozione di misure adeguate di Data Protection e Cybersecurity.

GDPR e principio di accountability