Giusto per partire dalla notte dei tempi, vediamo prima di tutto cos’è e come funziona un modello organizzativo 231.
Il d.lgs. 231/01 in poche parole
Il d.lgs. 231/01 stabilisce che per non essere imputata per reati di vario tipo (cosiddetti “reati-presupposto”), un’ente debba dotarsi di un modello organizzativo che, se è fatto e applicato bene, consente di dimostrare che l’illecito commesso dal dipendente apicale “soddisfaceva” l’interesse privato di quest’ultimo e non quello dell’azienda.
A questo proposito si parla comunemente di “prevenzione” (anche perchè questo dice il testo normativo) quando nei fatti sarebbe più opportuno parlare di “dissuasione”. Dal punto di vista dell’ente infatti, ciò che interessa è non subire le conseguenze del fatto reato del dipendente, e dunque l’obiettivo di un modello organizzativo dovrebbe essere quello di fare in modo che se qualcuno vuole fare qualcosa di male, ciò accada al di fuori del perimentro (anche metaforico) di controllo dell’ente stesso.
Il modello organizzativo
Il modello organizzativo 231 è uno strumento costruito dall’insieme delle strategie, procedure e controlli che un ente decide, nella sua autonomia, di attivare per evitare che un dipendente apicale possa coinvolgerlo in azioni illeccite. E’ un atto che promana esclusivamente dall’ente che ne decide i contenuti in piena autonomia.
Ruolo e natura dell’organismo di vigilanza
L’organismo di vigilanza 231 ha essenzialmente tre compiti:
- verificare (e “certificare”) che il modello organizzativo sia formalmente efficace,
- accertare che il modello organizzativo sia effettivamente operante,
- gestire le segnalazioni di non conformità o di commissione di reati-presupposto
Il rapporto con il trattamento dei dati personali
In linea di principio, l’organismo di vigilanza non tratta dati personali con modalità tali da essere sottoposto al GDPR.
La definizione di “dato personale” rilevante per la norma, infatti, prevede che il trattamento debba essere automatizzato o finalizzato a “maneggiare” i dati tramite un filing system (che, come è noto, non vuol dire necessariamente data-base informatico).
Ora:
- è pacifico che la verifica di efficacia formale del modello organizzativo non comprende di per sè alcun trattamento di dati personali (perchè è un’attività puramente documentale e astratta),
- è altrettanto pacifico che la verifica di effettiva adozione del modello non comprende alcun dato personale (perchè si tratta di documentare il corretto rispetto delle procedure, senza accedere ai dati personali di chicchessia),
- non è previsto, di regola, che le segnalazioni di non conformità o di commissione di reati vengano gestite con trattamenti automatizzati nè che finiscano in un filing system sotto il controllo, anche condiviso, dell’organismo di vigilanza,
- pur se autonomo e dotato di budget, l’organismo di vigilanza opera nei limiti stabliti dal modello (che esso OdV ha “validato”)
In termini di trattamento dei dati personali, dunque, la necessità di qualificare l’OdV come titolare, contitolare o responsabile esterno dipende dal modo in cui viene scritto il regolamento dell’OdV stesso. Nella misura in cui, in altri termini, le attività dell’OdV non implicano un trattamentto diretto di dati personali (perchè, per esempio) le attività vengono richieste al point-of-contact dell’ente, non si pone un tema di conformità al GDPR.
Il ruolo del segreto professionale e degli accordi di riservatezza
Ovviamente, questo non vuol dire che l’OdV non abbia vincoli di alcun tipo rispetto alle informazioni che riceve e ai dati che tratta.
Nei limiti in cui si applica (ruolo assunto da professionisti vincolati al segreto professionale) l’OdV può essere sottoposto al vincolo. Ma anche se non è sempre così, la stipulazione di accordi di riservatezza che comprendono anche regole sulla sicurezza e limitazione del trattamento dei dati, con relative penali per l’inadempimento garantisce una tutela sostanziale dei dati personali (nel senso più ampio del concetto) che gli vengono messi a disposizione.
Conclusioni
Per fare il suo lavoro un OdV non ha bisogno necessariamente di accedere ai dati personali individuati dal GDPR. E’ buona norma, dunque, verificare che il modello organizzativo e il regolamento dell’OdV non contengano – a meno che non sia strettamente necessario – previsioni in questo senso.
Possibly Related Posts:
- Lo Human Genome Meeting di Roma riporta in primo piano la necessità di liberare l’uso dei dati
- Il duello tra Usa e Cina sui processori va oltre l’autonomia tecnologica
- Quali conseguenze potrebbe avere il possibile bando di TikTok negli Usa
- Libertà di stampa, giornalismo investigativo e Stato di diritto
- Neuralink è l’anticamera della discriminazione tecnologica