Consideriamo per un attimo il punto di contatto come un luogo in cui la Responsabilità, quella amministrativa e penale delle aziende, incontra la Tutela, quella dei dati personali. L’una di fronte all’altra: si tratta di uno scontro o un confronto?
Nonostante la normativa non lo preveda espressamente, ci sono diverse intersezioni tra i due sistemi di compliance, seppur il bene tutelato sia differente:
- entrambi prevedono una preliminare attività di survey o audit
- la creazione o implementazione di modelli organizzativi e delle procedure esistenti
- la formazione delle risorse
- la costante sorveglianza effettuata direttamente e tramite organi di controllo.
In entrambi i sistemi è centrale la valutazione dei rischi, anche se sotto profili differenti:
- ai fini privacy è individuato il rischio di procurare impatti negativi su persone fisiche;
- ai fini 231 è invece ricercato il rischio di commissione di reati, non solo verso persone fisiche.
È dunque subito evidente che la finalità, e così gli interessi tutelati dalle due normative in esame, sono diversi.
Privacy, 231 e flussi digitali
Anche l’individuazione di misure tecniche e organizzative, volte a limitare i fattori di rischio individuati, è comune ad entrambi i sistemi.
Altro punto di incontro è infatti la rilevanza dei flussi informatici, considerato che tra i reati sanzionabili, vi sono alcuni delitti informatici connessi al trattamento illecito di dati personali. Tant’è che alcuni modelli organizzativi 231 prevedono il coinvolgimento del privacy officer o del D.P.O. nella stesura ed applicazione dei modelli stessi.
Inoltre i due sistemi di compliance ruotano attorno al ruolo primario che assumono i dipendenti dell’impresa, tenuti al rispetto di procedure specifiche per la concreta attuazione dei modelli organizzativi implementati, i cui comportamenti posso rilevare ai fini dell’attribuzione delle diverse responsabilità dei soggetti che le due normative in esame prevedono.
I dipendenti, infatti, operano per conto del datore di lavoro – il cui ruolo di legale rappresentante spesso coincide con quello di titolare del trattamento dei dati personali – interagendo con i colleghi, con i clienti, con l’esterno, inviando e ricevendo comunicazioni, utilizzando i beni aziendali, tra cui pc, mezzi e strumenti di lavoro. In tale contesto i rischi sono molteplici, strutturali, sia ai fini privacy che a quelli ex D.Lgs 231/01, ed è questo l’ambito di maggior intervento per entrambi i sistemi.
I controlli su adeguamento privacy e adeguatezza del modello organizzativo 231
Sotto il profilo dei controlli, le nuove funzioni attribuite dall’organismo di vigilanza (O.D.V.) previsto dal D.Lgs 231/01 a seguito dell’introduzione della normativa sul whistleblowing e delle connesse procedure finalizzate a garantire l’anonimato del denunziante, portano con se diverse analogie con il sistema privacy. Di conseguenza, soprattutto su detto aspetto, risulta indispensabile che l’ODV sia inserito anche in alcune procedure volte al rispetto del GDPR e delle misure applicate per limitare i rischi privacy.
In conclusione, allo stato i due modelli non possono dirsi sovrapponibili, e occorre tuttavia rilevare che, nello specifico, le misure poste in essere in ottica privacy potrebbero non essere sufficienti a scongiurare i rischi propri del sistema 231.
Ma è certo che l’impresa debba raffrontare attentamente i rischi individuati nel modello 231 con quelli emersi nell’attività di adeguamento privacy, con particolare riferimento situazioni specifiche, come per i delitti informatici ed il trattamento illecito di dati, prevedendo misure e procedure coordinate.
A proposito di costi di 231 e Privacy
Tutto questo impatta sull’efficienza del sistema azienda, piccola o grande che sia. Ma anche sui costi diretti e indiretti che derivano dalla mancanza di gestione e controllo dei processi inerenti ai dati e ai comportamenti dell’azienda. Erroneamente l’imprenditore considera 231 e Privacy come mali necessari da arginare più possibile, anziché approfittare per ottimizzare efficacia ed efficienza della gestione dei dati, creando un sistema virtuoso e capace di ridurre i costi e i rischi.
In base a queste riflessioni possiamo valutare come e perché sia utile invece avvicinare, far parlare due aspetti della compliance aziendale che, fino a ieri, consideravamo separati.