L’entrata in vigore, nel corso del 2018, del G.D.P.R. in materia di tutela dei dati personali ha posto nuovi dubbi afferenti il coordinamento tra tale disciplina e quella dettata dal D.Lgs.231/01.
In particolare ci si è interrogati quanto alla possibilità che uno stesso soggetto ricopra le funzioni e le vesti di componente dell’Organismo di Vigilanza e di Responsabile della Protezione dei Dati.
Facendo un passo indietro va evidenziato che come nel caso del Sistema Qualità, del Sistema di Gestione della Salute e della Sicurezza del Lavoro e del Sistema di Gestione Ambientale, le diverse normative hanno operato nei rispettivi ambiti, realizzando autentici presidi a garanzia di un corretto, responsabile funzionamento delle società, così anche la normativa sulla Privacy è finalizzata a razionalizzare, migliorare, controllare i processi aziendali, sì da coordinarsi inevitabilmente con i MOG adottati dalle Società. Presupposto comune ai diversi sistemi dettati dalle normative di riferimento è sempre l’Analisi dei Rischi, e ogni Analisi del rischio conduce all’implementazione di procedure e protocolli cosiddetti a presidio.
All’evidenza, le misure adottate in un ambito spesso finiscono per “coprire” i rischi rilevanti anche in altro contesto; quanto, ad esempio, al rapporto tra G.D.P.R. e reati presupposto ex D.Lgs.231/01, non si può non pensare ai reati c.d. informatici di cui all’art.24 bis D.Lgs.231/01.
A fini preventivi opereranno, inevitabilmente, le misure prescritte e protocollate dal sistema di organizzazione gestione della privacy, cui il Mog si dovrà precisamente richiamare.
L’inevitabile correlazione tra le modalità operative e di analisi dei diversi sistemi aziendali di responsabilizzazione, nonché tra presidi, procedure e principi a presidio, si estende alle figure previste a verifica e controllo dell’implementazione dei Sistemi stessi, ovvero, quanto al MOG, l’Organismo di Vigilanza e quanto al GDPR, il Responsabile della Protezione dei Dati.
Or bene, un aspetto non chiarito, per la verità, da alcuna norma, che tuttavia rileva a livello pratico, afferisce proprio alla possibilità, o meno, che ODV e RPD coincidano, siano riuniti in un unico soggetto.
Pare francamente preferibile una soluzione diversa.
Innanzitutto le competenze richieste all’uno e all’altro soggetto, in linea di principio, sono diverse.
Non necessariamente chi si occupa di responsabilità amministrativa di un Ente ha al contempo cognizione e pratica delle problematiche concernenti il Trattamento dei Dati.
Peraltro non rileva solo la competenza attuale, ma anche la necessità dei periodici aggiornamenti, vista la costante modifica e il continuo allargamento della materia, tanto nella “231” quanto nella “Privacy”.
Inoltre, a far optare per le due figure differenti, a nostro avviso, è l’innegabile dato che il RPD, tra i suoi compiti, ha anche quello di monitorare e verificare il trattamento dei dati posto in essere dallo stesso ODV (con le conseguenti segnalazioni in caso di difformità dalle procedure prescritte…).
Dunque la scelta più opportuna, lo ribadiamo, pare quella di differenziare i soggetti, salvaguardandone, per tal via, autonomia e indipendenza.
Al contempo va, però, assicurata una fattiva cooperazione tra gli stessi, un coordinamento reciproco e un contatto periodico, idonei e necessari a garantire la giusta attenzione a criticità e violazioni eventualmente rilevate nei diversi ambiti aziendali.