Privacy e contenimento dei costi: la compliance integrata
Articolo di: Jastin Squizzato
Quante volte hai sentito qualcuno, magari persino un tuo collega, il tuo capo, un amico, sfogarsi dicendo: “queste rotture sul trattamento dei dati personali mi costano un occhio della testa”?
Tante, lo sappiamo.
D’altronde se sei qui, probabilmente sai che ad oggi la cultura della privacy nelle aziende è ancora poco diffusa, ed in pochi ne comprendono l’importanza.
Per fortuna, una soluzione pratica da servire su di un piatto d’argento ai detrattori della privacy in azienda c’è, e si chiama compliance integrata.
1. Cos’è la compliance integrata
Negli ultimi anni, il legislatore, sulla spinta soprattutto della normativa europea, ha responsabilizzato moltissimo le aziende, e con esse gli imprenditori, imponendo loro di adottare adeguati sistemi di prevenzione e
gestione dei rischi, in diversi campi e materie.
Un esempio? La responsabilità amministrativa delle persone giuridiche, l’igiene e la sicurezza sul posto di lavoro, la protezione dei dati.
Posto che molteplici possono essere i sistemi di compliance da adottare, pare senza dubbio utile ricorrere ad una soluzione che abbracci le diverse discipline, attraverso l’utilizzo dei medesimi metodi di analisi del rischio e dei medesimi criteri per il controllo e per la prevenzione dello stesso, pur mantenendo le specifiche peculiarità
Questa è la compliance integrata: un unico insieme di flussi informativi, documenti, protocolli che disciplinino con una metodologia comune le varie aree di rischio dell’ente.
Questo approccio, non solo consente di ridurre i costi, ma anche di evitare duplicazioni, favorendo l’uniformità della policy aziendali, potenziando anche le sinergie tra i processi aziendali.
2. Nella pratica quindi che si deve fare?
Per capirlo, è prima necessario individuare le sinergie tra il GDPR e altre normative che prevedono sistemi di prevenzione e gestione dei rischi.
Una fra tutti quella di cui al D.lgs. 231/2001, che ha introdotto nell’ordinamento italiano la responsabilità amministrativa degli enti, per reati commessi da soggetti apicali o subordinati, nell’interesse o a vantaggio degli enti medesimi.
Per essere esenti dalla responsabilità, è necessario che l’ente si sia dotato e abbia effettivamente implementato un modello di gestione, adeguato a mitigare il rischio di reati.
Il modello 231 ed il GDPR si basano sostanzialmente sul medesimo approccio basato sul rischio.
Questo risulta ancora più evidente se si considera che tra i reati punibili ai sensi del D.lgs. 231/2001, ci sono anche i reati informatici, la cui commissione spesso deriva proprio da una violazione della normativa privacy, causando anche violazioni di dati personali (data breach).
Peraltro, la responsabilizzazione dell’imprenditore, prevista dal D.lgs. 231/2001, non è altro che l’analogo della c.d. accountability, fulcro centrale del GDPR e della normativa per la tutela dei dati personali
3. Quindi è sufficiente un unico modello di gestione e organizzazione?
Non proprio. Nonostante i numerosi punti di contatto, la finalità del D.lgs. 231/2001 e quella del GDPR sono molto differenti.
Il sistema di gestione 231 risponde alla necessità di evitare che la persona giuridica sia utilizzata come strumento di commissione di reati, rimanendo impunita.
Il sistema di gestione GDPR persegue invece principalmente la finalità di tutelare i diritti delle persone, garantire elevati standard qualitativi dei dati.
Tuttavia, come anticipato ci sono dei punti di contatto, e vale la pena costruire i sistemi di gestione aziendali rafforzando le sinergie tra i processi, e adottando una metodologia coerente per la valutazione dei rischi.
In ogni caso, risulta certamente utile per gli enti destinatari di entrambe le normative, che si siano già dotati di appositi sistemi di gestione 231, recuperare il contenuto degli stessi e verificare in che misura essi possano
contenere spunti interessanti per la tutela dei dati personali.
Adottando un approccio di compliance integrata consapevole sarà possibile rendere più efficienti i processi aziendali, evitare duplicazioni di documenti e procedure, e in definitiva…risparmiare soldi.
Insomma, anche in questo ambito, può valere la massima del famoso chimico Lavoisier: “nulla si crea, nulla si distrugge, tutto si trasforma”.
