Consulteam S.r.l.

Orari Uffici

Lun – Ven dalle 9 alle 18

+3908241743280

Hai domande? Contattaci.

Richiedi Informazioni
  • Home
  • Chi siamo
    • Il Team
    • Dicono di Noi
  • Servizi
    • Finanza Agevolata
      • Credito di Imposta per attività di Ricerca e Sviluppo
      • Credito di Imposta per Investimenti nel Mezzogiorno
      • Credito di imposta Formazione 4.0
      • Credito di imposta per i beni strumentali 4.0
      • Resto al SUD
    • Attestazione SOA
    • Certificazione dei Sistemi di Gestione
      • ISO 9001
      • ISO 14001
      • ISO 37001
      • ISO 45001
    • Sicurezza sul Lavoro
      • Protocollo COVID
      • SGSL
    • Privacy
    • Gare d’Appalto
      • Rating di Legalità
  • News
  • Contatti
Consulteam S.r.l.

PRIVACY: GLI ODV DEVONO ESSERE CONSIDERATI QUALI SOGGETTI AUTORIZZATI AL TRATTAMENTO

By consulteam inPrivacy

La diffusione dell’epidemia Covid-19 ha messo a dura prova la tenuta dei modelli organizzativi ex lege 231/2001. Lo scorso 12 maggio l’Autorità Garante per la protezione dei dati personali ha espresso il suo punto di vista sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza, chiarendo così l’annosa questione.

Il Sistema Privacy, spiega il garante, è così composto:

  • Il Titolare del trattamento è il soggetto (persona fisica o giuridica) sul quale ricadono le decisioni relative alle finalità e alle modalità del trattamento dei dati personali;
  • Il titolare, proprio nell’ambito dell’implementazione del sistema di gestione privacy (misure tecniche e organizzative, anche sotto il profilo della sicurezza), può ricorrere ad uno o più Responsabili del trattamento. Tale figura svolge, pertanto, attività per conto e nell’interesse del titolare, agendo sulla base degli accordi e delle istruzioni impartite da questi.

Sebbene con il GDPR sarebbe formalmente sparita la figura dell’incaricato del trattamento, in realtà, da una interpretazione attenta del Regolamento ne emerge un ruolo analogo: la persona autorizzata al trattamento (sotto l’autorità diretta del titolare). Conferma di ciò la si rinviene nell’art.2-quaterdecies del d.lgs. n. 196/2003 come modificato dal d.lgs. n. 101/2018, in cui si riconosce al titolare o al responsabile la facoltà di prevedere che, sotto la propria responsabilità, autorità ed organizzazione, specifici compiti e funzioni connessi al trattamento dei dati personali siano attribuiti a persone fisiche, espressamente designate.

Il d.lgs. 8 giugno 2001 n. 231 è la norma che regola le ipotesi in cui una persona giuridica possa rispondere di specifici reati quando questi siano commessi nell’interesse o a vantaggio della stessa da soggetti che ricoprono funzioni apicali. L’unica possibilità per l’ente di andare esente da responsabilità è dimostrare di avere adottato ed efficacemente attuato (in perfetto stile accountability, mi preme sottolineare), prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire i reati e di avere affidato a un organismo (composto da membri interni o esterni) il compito di vigilare sul funzionamento, l’osservanza e l’aggiornamento del modello organizzativo per la prevenzione dei reati. L’OdV deve agire in piena autonomia. Deve essere garantito un adeguato livello di estraneità rispetto ad ogni forma di interferenza e pressione dei vertici, nonché una adeguata autonomia decisionale rispetto allo svolgimento delle proprie attività, con possibilità di accesso a tutte le informazioni aziendali utili allo svolgimento del controllo.

Nell’ambito dell’organizzazione del modello 231 devono essere predisposti, con specifici processi di comunicazione aziendale, tutta una serie di flussi di informazioni (periodici e ad hoc, da e verso l’OdV) al fine di conoscere e gestire eventuali situazioni di rischio.

L’OdV non può essere considerato autonomo titolare del trattamento perché:

  • i compiti di iniziativa e controllo sono determinati dalla legge e dalla dirigenza (funzionamento, risorse, misure di sicurezza);
  • al verificarsi di eventi reato rilevanti per il modello, anche in caso di inerzia dell’OdV, la responsabilità “231” ricade comunque sull’ente (salva la responsabilità per inadempimento delle obbligazioni assunte con il conferimento dell’incarico);
  • non sussiste alcun obbligo di denuncia all’Autorità giudiziaria in relazione agli illeciti, né sono previsti poteri disciplinari.

L’OdV, d’altra parte, non può essere considerato responsabile del trattamento inteso come soggetto chiamato ad effettuare un trattamento per conto del titolare. L’Organismo è parte dell’Ente; non può essere considerato una persona giuridicamente distinta dal titolare, ma che agisce per conto di quest’ultimo.

L’Ente, in ragione del trattamento dei dati personali che l’esercizio dei compiti e delle funzioni affidate all’OdV comporta, designerà – nel rispetto del principio di accountability – i singoli membri dell’OdV quali soggetti autorizzati.

Sarà fondamentale, ed a tali fini potrà senz’altro aiutare la struttura del modello 231, conoscere e tracciare in maniera dettagliata i processi aziendali ed i relativi flussi informativi connessi al funzionamento dell’OdV, in modo tale, evidentemente, da poter redigere le corrette istruzioni in termini di trattamento dati a cui i membri dell’OdV dovranno attenersi.

L’Autorità ha anche precisato che il parere espresso sulla qualifica dell’OdV non tiene volutamente conto del ruolo che l’OdV potrebbe andare a ricoprire a seguito della L. 179/2017 che ha introdotto la denuncia anonima di illecito (whistleblowing) nei modelli 231, lasciando aperta la strada per ulteriori e possibili specificazioni.

 

  • L'AFFIDAMENTO ESTERNO DEL SERVIZIO DI «DATA PROTECTION OFFICER» È SOGGETTO A ROTAZIONE
    Previous ArticoloL'AFFIDAMENTO ESTERNO DEL SERVIZIO DI «DATA PROTECTION OFFICER» È SOGGETTO A ROTAZIONE
  • Next ArticoloCREDITO D’IMPOSTA PER LE ATTIVITÀ DI RICERCA, SVILUPPO, INNOVAZIONE E DESIGN, PARTE INTEGRANTE DEL PIANO TRANSIZIONE 4.0.
    L'AFFIDAMENTO ESTERNO DEL SERVIZIO DI «DATA PROTECTION OFFICER» È SOGGETTO A ROTAZIONE

Related Posts

Linee Guida dell’EDPB: uno spunto sul diritto di accesso tra interessato e titolare
Privacy

Linee Guida dell’EDPB: uno spunto sul diritto di accesso tra interessato e titolare

Il Garante della Privacy chiarisce la parità di diritti per lavoratori subordinati e collaboratori in tema di account email e privacy
Privacy

Il Garante della Privacy chiarisce la parità di diritti per lavoratori subordinati e collaboratori in tema di account email e privacy

Privacy: Responsabilità civile da illecito trattamento dei dati personali
Privacy

Privacy: Responsabilità civile da illecito trattamento dei dati personali

Smart Working e difesa della privacy
Privacy

Smart Working e difesa della privacy

Lascia un commento (Cancel reply)

Your email address will not be published. Required fields are marked *

*
*

ConsulTeam S.r.l.

Forniamo un valido supporto alle imprese che non vogliono sopravvivere ma crescere in professionalità ed innovazione

Naviga

  • Home
  • Chi siamo
    • Il Team
    • Dicono di Noi
  • Servizi
    • Finanza Agevolata
      • Credito di Imposta per attività di Ricerca e Sviluppo
      • Credito di Imposta per Investimenti nel Mezzogiorno
      • Credito di imposta Formazione 4.0
      • Credito di imposta per i beni strumentali 4.0
      • Resto al SUD
    • Attestazione SOA
    • Certificazione dei Sistemi di Gestione
      • ISO 9001
      • ISO 14001
      • ISO 37001
      • ISO 45001
    • Sicurezza sul Lavoro
      • Protocollo COVID
      • SGSL
    • Privacy
    • Gare d’Appalto
      • Rating di Legalità
  • News
  • Contatti

News

Articoli recenti

  • ANAC sulla determinazione dell’importo a base di gara
  • L’istanza di accesso tardiva esclude il principio di “dilazione temporale”
  • ANAC: Le Cause di esclusione tra vecchio e nuovo Codice dei Contratti

Contatti

Corso Vittorio Emanuele III, 23 82100 - Benevento (BN)
info@consulteam-srl.com
consulteam@arubapec.it
+39 0824 1743280

© 2020 ConsulTeam S.r.l. P.IVA 01739360624

Cookie Policy
Privacy Policy
Copy