Riprendendo l’argomento sviluppato nell’articolo pubblicato precedentemente “Sistema Integrato D.lgs. 231 e Privacy”, affronteremo di seguito i punti d’incontro tra i due modelli organizzativi Privacy e 231.

Si intende un insieme di regole e procedure di tipo preparatorio che nasce con lo scopo di fornire in modo organico e compatto un apparato anche documentale afferente un determinato aspetto/settore.

Dallo sviluppo del Modello, l’Organizzazione può trarre tutte le indicazioni relative ai criteri di applicazione della normativa individuandone responsabilità, misure di sicurezza messe in atto e motivazioni per le quali, sulla base della valutazione dei rischi, l’Organizzazione abbia valutato di assumere ovvero implementare il sistema.

Tale modello risulta efficace nella misura in cui si attaglia alla realtà presa in considerazione.

Con l’applicazione del Regolamento UE n. 679/2016 nelle Organizzazioni a media/alta complessità, si rende opportuna la predisposizione di un MOP; affinché il Modello esprima tutto il suo potenziale, deve essere concepito, sin dall’indice, come un “vestito su misura”, aderente all’Organizzazione.

Non a caso, tale documento è visto come una forma di mitigazione in grado di soddisfare il principio di accountability rappresentando la capacità di dimostrare o meglio “rendicontare” le azioni di responsabilizzazione adottate dall’Organizzazione.

Il MOP rappresenta, pertanto, l’insieme delle specifiche “misure tecniche ed organizzative adeguate” comprese l’attuazione di “politiche adeguate in materia di protezione dei dati”, come richiamate dall’art. 24 del GDPR, volte a dimostrare che i trattamenti effettuati dall’Organizzazione siano conformi al Regolamento.

Tali misure, infatti, devono essere altresì efficaci nel dimostrare che la loro applicazione permetta il raggiungimento degli obiettivi di tutela posti dal Regolamento e la conformità al Regolamento stesso.

L’individuazione delle misure deve tenere altresì conto dei rischi associati ai trattamenti valutandoli in termini di origine, natura, probabilità e gravità.

Supporti nell’individuazione di tali misure, sotto forma di codici di condotta, di linee guida, di certificazioni potrebbero provenire anche da altri soggetti come il Responsabile del trattamento ovvero da ulteriori fonti qualificate.

Il Modello di Organizzazione Gestione e Controllo (MOG) discende dal D.Lgs. n. 231/2001 pertinente alla responsabilità degli Enti per gli illeciti amministrativi dipendenti da reato commessi da persone fisiche nell’interesse o a vantaggio degli enti stessi, scardinando quel granitico principio secondo il quale “Societas delinquere non potest”.

Il D.lgs. 231/2001 disciplina una particolare forma di responsabilità giuridica che ha natura sostanzialmente penale, poiché sorge in dipendenza di un fatto di reato, accertata all’interno di un processo penale.

I destinatari della normativa sono:

• le società e le associazioni fornite di personalità giuridica (tra cui le società di capitali e le società cooperative iscritte nel registro delle imprese);

• le associazioni, fondazioni ed altre istituzioni di carattere privato senza scopo di lucro;

• le società di capitali e cooperative e tutti gli enti privati sprovvisti di personalità giuridica (le associazioni non riconosciute).

Oggi, una società priva di un MOG potrebbe esporsi a pesanti conseguenze per i reati commessi al suo interno.

Nella fattispecie, oltre alle sanzioni pecuniarie, esistono le sanzioni interdittive.

L’art. 6 del citato decreto contempla una forma di esonero di responsabilità qualora l’Ente dimostri di aver adottato ed efficacemente attuato un MOG idoneo a prevenire la realizzazione dei reati considerati, comprovando che la commissione del reato non è etiologicamente collegabile ad una propria “colpa organizzativa”.

Il MOP presenta molti punti di contatto con le disposizioni dettate dal D.lgs. 231/2001. Tale ampliamento di responsabilità mira a coinvolgere il patrimonio degli enti e gli interessi economici dei Soci, i quali, fino all’entrata in vigore di tale legge, non pativano conseguenze alcune in seguito alla realizzazione dei reati commessi, con vantaggio della Società, da amministratori e/o dipendenti.

Evidenti sono, dunque, gli elementi di contatto tra i due modelli (MOG e MOP). Tali denominatori comuni sono dati, essenzialmente, dalla presenza di molteplici fattori tra cui, senza ovviamente citare tutti:

• un Organigramma la cui revisione è volta ad individuare e descrivere i ruoli assegnati, corrispondenti al criterio della segregation of duties (Sod) su cui si basa il Sistema 231 il quale impone che un’Organizzazione sia imperniata su di una segmentazione di ruoli – in misura di micro o macro granularità – e delle responsabilità strutturata ed organica, tipizzando la separazione dei compiti, affinché nessuno possa gestire, autonomamente, un intero processo;
• i membri dell’Organismo di Vigilanza (ODV) ai quali deve essere garantita piena autonomia. Costoro devono essere responsabilizzati in quanto la loro attività prevede necessariamente il trattamento di dati personali (attività di ispezione, analisi dei flussi, ricevimento di comunicazioni, ecc.). Importante sottolineare che i membri dell’Organismo di Vigilanza non assumono il ruolo di Titolare del trattamento né quello di Responsabile.
• Nell’ottica della sua accountability ex art. 5, co. 2, GDPR, l’ente vigilato, in qualità di Titolare, può prescrivere all’OdV il rispetto di particolari “misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR”.
• l’informativa agli interessati: gli interessati dalle procedure e dai flussi che afferiscono all’applicazione del D.lgs. 231/2001 devono essere informati che i loro dati potranno essere trattati nell’ambito dei controlli e degli audit, non sempre e necessariamente a carico dell’ODV, relativi alla verifica della applicazione delle procedure previste (indicate anche come protocolli), dei flussi e delle eventuali indagini a seguito di segnalazioni.
• l’analisi dei rischi: come nel Sistema 231 anche il MOP detta l’obbligo di provvedere alla valutazione dei rischi attraverso la redazione di un documento di analisi finale che individui possibili rischi associati alle varie attività svolte in ragione dei processi aziendali nell’ambito dei quali sono trattati i dati.
• i reati informatici: tra i reati che rientrano nel perimetro di quelli considerati dal D.lgs. 231/2001 si annoverano anche quelli cd “informatici”. Si tratta di un insieme di reati che afferiscono alla sfera dell’area ITC. Tali reati pur non contemplando quelli relativi alla protezione dei dati, presentano diversi punti di contatto.A tal fine una parte delle procedure previste dall’applicazione della ISO/IEC 27001:2013 possono essere considerate quali misure di mitigazione anche per la prevenzione dei reati informatici previsti dal D.lgs. 231/2001;

Concludendo, le due discipline manifestano tratti omogenei sotto differenti aspetti, sia come principi ispiratori che come contenuti specifici dei modelli, delineati secondo un’impostazione fondata sulla gestione del rischio al fine di prevenire la commissione di reati, in un caso, e di violazioni dei diritti e delle libertà dei soggetti i cui dati vengono trattati, nell’altro.

Non può ignorarsi che entrambi i modelli puntano a prevenire il rischio di un trattamento illecito dei dati personali.

La ricerca di un coordinamento tra i due modelli, e, aspetto non secondario, l’obiettivo di contenere i costi che derivano dall’adozione di adeguati sistemi di compliance, non devono tuttavia portare alla convinzione che il modello organizzativo 231 esaurisca in maniera completa tutti gli aspetti di programmazione e di formazione imposti dal GDPR, attesa anche la sostanziale differenza intercorrente tra i soggetti preposti al controllo sul corretto funzionamento dei modelli adottati, rectius l’OdV e il DPO.

Sarà dunque rimesso ad ogni realtà imprenditoriale, tenuto conto del tipo di attività svolta e dei rischi annessi, valutare se la struttura di fondo del modello adottato per la prevenzione dei reati presupposto sia eventualmente compatibile anche per l’adempimento delle obbligazioni previste in ambito privacy, ovvero se lo stesso debba essere aggiornato ed integrato per assicurare il massimo grado di salvaguardia dei dati soggetti al trattamento e conformarsi così ai principi statuiti dal Legislatore Europeo.

Adotta anche tu il Sistema Integrato Privacy e 231.

Il nostro team ti offre il Kit “Dossier Privacy e 231” contenenti tutte le documentazioni necessarie per una implementazione immediata.

Ce ne occupiamo noi per te!