Abbiamo già detto che la protezione dei dati personali non è più (non lo è mai stato) produrre scartoffie che nessuno legge, conosce o applica; si tratta di implementare un adeguato, concreto e su misura Sistema di Gestione.
Alcuni lo chiamano Sistema Gestione Privacy (S.G.P.), altri lo definiscono Modello Organizzativo Privacy (M.O.P.).
Abbiamo di recente discusso sul perchè riteniamo che si debba correttamente definire Sistema di Gestione e non Modello Organizzativo.
Inoltre, riteniamo che la definizione “privacy” da tempo non sia più adeguata, ma occorra adottare la più rispondente protezione dei dati personali o “dataprotection” (anche questo aspetto lo abbiamo spiegato nella pagina precedentemente indicata).
Questo Sistema di Gestione Privacy noi lo definiamo quindi S.G.P.D.P. – Sistema di Gestione per la Protezione dei Dati Personali.
Quindi tutte le aziende che vorranno essere costantemente “compliant” al GDPR, dovranno adottare, ed esercire, un Sistema di Gestione Data-Protection, con i relativi collegamenti ai processi aziendali esistenti e la creazione di quelli necessari.
Dato che molte aziende hanno già adottato altri modelli organizzativi e/o sistemi di gestione (es. Gestione Qualità, Gestione Ambientale, Responsabilità Amministrativa delle Aziende, ecc.), ci sono diverse attività che si sovrappongono.
Il D.Lgs. 231/01 e Regolamento UE 679/2016 condividono il concetto di “valutazione del rischio”; in effetti essi risultano avere vari “punti di contatto”, tra i quali:
- reati informatici;
- trattamento illecito di dati;
- software illegale;
- whistleblowing;
- in vari ambiti, sicurezza informatica;
- audit e monitoraggio.
Il D.Lgs. 231/01 è attualmente obbligatorio solo per le società quotate; in Senato è all’esame un decreto legge che ne estenderebbe l’obbligo alle società di capitali che abbiano avuto, in uno degli ultimi tre esercizi, un attivo patrimoniale non inferiore a 4.400.000 euro oppure ricavi non inferiori ad 8.800.000 euro.
Noi riteniamo inoltre che l’OdV debba collaborare con il DPO, considerando che alcuni reati previsti dal Modello 231 potrebbero interessare la protezione dei dati.
Insieme ad altri colleghi esperti in ambito giuridico e dataprotection, abbiamo valutato l’opportunità di creare un modello integrato GDPR – D.Lgs. 196/03+101/18 – D.Lgs. 231/01; stiamo quindi lavorando su questo nuovo modello, che presto potrà essere adottato ed implementato dalle aziende italiane.