Modelli organizzativi per aziende

Il modello organizzativo 231 è un documento che le aziende possono adottare per prevenire e limitare la propria responsabilità amministrativa derivante da reati commessi dai propri dipendenti o collaboratori nell’interesse o a vantaggio dell’azienda stessa. Il modello organizzativo 231 è previsto dal decreto legislativo 231/2001, che ha introdotto la responsabilità delle persone giuridiche per una serie di reati, tra cui quelli contro la pubblica amministrazione, l’ambiente, la salute e la sicurezza sul lavoro, il mercato e i consumatori.

Il modello organizzativo 231 non è obbligatorio, ma è fortemente consigliato, in quanto rappresenta una forma di tutela contro le sanzioni amministrative e penali che possono essere irrogate all’azienda in caso di illeciti. Le sanzioni possono consistere in multe, interdizioni, confische e danni reputazionali.

Per redigere il modello organizzativo 231, l’azienda deve seguire alcune fasi:

• Mappare le aree di attività e i processi sensibili al rischio di reato, individuando le tipologie, le finalità e le basi giuridiche dei dati personali trattati.
• Valutare i rischi e adottare misure tecniche e organizzative adeguate a garantire la sicurezza, la riservatezza e l’integrità dei dati personali.
• Nominare, se necessario, un DPO (Data Protection Officer), ovvero una figura indipendente e competente che ha il compito di vigilare sul rispetto del GDPR e del modello organizzativo 231, fornire consulenza e assistenza al titolare del trattamento e agli interessati, cooperare con l’autorità garante e gestire eventuali violazioni dei dati.
• Predisporre l’informativa privacy per gli interessati, informandoli sulle modalità e le finalità del trattamento dei dati personali, sui loro diritti e sui contatti del titolare del trattamento e del DPO.
• Definire i ruoli e regolare i rapporti con i soggetti coinvolti nel trattamento dei dati personali, come i responsabili, gli incaricati e i destinatari dei dati.
• Redigere il registro delle attività di trattamento, descrivendo in modo dettagliato le caratteristiche dei trattamenti effettuati dall’azienda.
• Effettuare la valutazione d’impatto sulla protezione dei dati (DPIA), analizzando preventivamente i rischi derivanti da trattamenti particolarmente invasivi o innovativi per i diritti e le libertà degli interessati.
• Notificare il data breach all’autorità garante e agli interessati, comunicando obbligatoriamente in caso di violazione della sicurezza dei dati personali che possa comportare un rischio o un danno per gli interessati.
• Rispettare i diritti degli interessati previsti dal GDPR, come il diritto di accesso, di rettifica, di cancellazione, di limitazione, di portabilità e di opposizione al trattamento dei dati personali, nonché il diritto all’oblio.