Il Rating di Legalità, sin dalla sua entrata in vigore nel 2013, sta diventando sempre di più un punto di riferimento per le aziende italiane, soprattutto per le c.d. PMI, in quanto permette di ottenere molti vantaggi competitivi e reputazionali. Il Rating, infatti, più che un mero e sterile fattore di business, deve essere visto come una grande opportunità per far acquisire alle aziende maggiore trasparenza e visibilità sul mercato, una migliore immagine nei confronti dei propri Clienti e dei propri Fornitori (rammentiamo che esiste una apposita sezione sul sito dell’AGCM con i nomi di tutte le imprese titolari del Rating), oltre che benefici di natura economica e finanziaria.
Gli strumenti volontari che aumentano il punteggio del Rating
Il Rating prevede tre livelli di adesione che vanno da una stelletta, punteggio minimo, fino ad arrivare alle tanto “agognate” tre stellette che rappresentano il punteggio massimo. Per ottenere il livello massimo di Rating, l’impresa deve adottare strumenti volontari che superino il livello di legalità minimo previsto, come ad esempio le certificazioni relative ai Sistemi di Gestione di qualità, del rispetto dell’ambiente e della salute e sicurezza nei luoghi di lavoro (normative UNI EN ISO 9001, 14001 e 45001), oppure il “famoso” Modello organizzativo 231.
Quest’ultimo, in particolare, costituisce uno strumento che un’impresa può attuare per prevenire tutta una serie di reati che possono arrecarle problemi anche di rilevante gravità ed è stato introdotto dal D.Lgs. n. 231 del giugno 2001 che, per la prima volta, ha disciplinato la responsabilità amministrativa delle Società per i reati commessi dai propri dipendenti (soggetti in posizione apicale o sottoposti alla loro direzione e vigilanza).
La “Privacy aziendale”
Strettamente connessa al Modello 231 con cui spesso si sovrappone e, di conseguenza, al punteggio del Rating di Legalità, è la c.d. “Privacy aziendale”, declinata nel sintagma della protezione dei dati personali che assurge a perno del nostro ordinamento. Normativa cardine del sistema privacy è il Regolamento (UE) 2016/679 (GDPR), fonte europea entrata effettivamente in vigore in tutti gli Stati Membri il 25 maggio 2018, unito al D.Lgs. n. 196/2003 (“Codice Privacy”) così come novellato dal D.Lgs. 1001/2018 che rappresenta la normativa nazionale.
Il GDPR ha un impatto diretto ed immediato sull’intero core business aziendale e una sua violazione può portare alla commissione di illeciti penali ed amministrativi, con la conseguenza di elevate sanzioni. Ma quali sono tutti gli adempimenti che un’impresa deve effettuare, affinché possa considerarsi conforme al GDPR? La risposta non è univoca, tuttavia si possono individuare sei passaggi (step) generali, astrattamente applicabili a tutte le imprese indipendentemente dalle loro dimensioni.
Essere conformi al GDPR: i 6 step generali applicabili a tutte le imprese:
- Analisi dell’azienda e dei singoli tipi di trattamento (operazione o insieme di operazioni automatizzate, parzialmente automatizzate o non automatizzate) effettuati dal Titolare, in modo da identificare precisamente il tipo di dati trattati (identificativi, particolari o giudiziari) e procedere alla loro catalogazione;
- Valutazione dei rischi e delle misure di sicurezza adottate o da adottare;
- Nomina, qualora necessario, del DPO/RPD (Responsabile Protezione Dati) ex art. 37 GDPR;
- Predisposizione e redazione di una chiara e dettagliata Informativa Privacy ex artt. 13 e 14 GDPR, comprensiva di tutti i diritti che possono essere esercitati dal soggetto interessato, in particolare il diritto di accesso ex art. 15 GDPR, il diritto di rettifica ex art. 16 GDPR ed il diritto di cancellazione (c.d. “oblio”, oggetto di numerosa casistica giurisprudenziale europea e nazionale) ex art. 17 GDPR, nonché del diritto di porre reclamo all’Autorità Garante;
- Definizione dei ruoli e di tutti i soggetti coinvolti nel mondo della “Privacy aziendale”
- Redazione Registro Trattamento ex art. 30 GDPR;
- Cookie Policy da inserire all’interno del sito web aziendale.
Il MOP: “Modello Organizzativo Privacy”
Inoltre, sempre al precipuo scopo di soddisfare il principio di “accountability” (responsabilizzazione) sancito dal GDPR, molte imprese stanno adottando il MOP, acronimo di “Modello Organizzativo Privacy”, che alcuni operatori definiscono anche come “Manuale Operativo Privacy”. Si tratta di un testo che condensa al suo interno tutti i documenti, tutte le procedure, tutti i flussi di dati e tutte le istruzioni che l’azienda avrebbe redatto, al fine di essere “compliance” alla normativa del GDPR. Anche in questo caso, non è assolutamente possibile definire un modello tipo e standardizzato di MOP, tuttavia si possono indicare i contenuti di base, comuni alle maggior parte delle versioni del documento, fra i quali:
- Registro dei trattamenti svolti;
- Analisi dei rischi e conseguente valutazione;
- Informativa Privacy ex artt. 13 e 14 GDPR;
- Individuazione di tutti i soggetti coinvolti nel mondo Privacy aziendale con le relative nomine (soprattutto per quel che riguarda i Responsabili esterni ex art. 28 GDPR e gli Amministratori di Sistema ex artt. 29 e 32 GDPR).
A questo contenuto base, si possono eventualmente aggiungere anche altri documenti come:
- L’organigramma ed il mansionario Privacy aziendale con specifica individuazione degli Incaricati e del Responsabile Interno (Privacy Officer);
- Registro di eventuali segnalazioni di Data Breach ex art. 33 GDPR, audit e reclami;
- Piano di formazione del Titolare, dei suoi più stretti collaboratori e dei dipendenti;
- Elenco di tutti gli investimenti sostenuti, rimandati e da svolgere in futuro in ambito privacy (ad esempio acquisto di un antivirus o introduzione di un firewall);
- Elenco di tutti i backup effettuati in maniera periodica;
- Regolamento sulla videosorveglianza e sulle videoregistrazioni ai sensi delle Linee Guida 3/2019 emanate dall’EDPB (Comitato Europeo per la Protezione dei Dati).
Alla luce di quanto esposto, un’impresa deve comprendere che l’adeguamento alla normativa sulla privacy prevista dal GDPR non deve essere visto come un inutile spreco di tempo e di energie economiche fine a sé stesso, bensì come un momento fondamentale per valutare ed analizzare tutti i processi ed i flussi aziendali, mirati alla diffusione di una cultura di legalità, tutela, gestione e protezione del bene attualmente più prezioso: i nostri dati.
Sitografia:
www.federprivacy.it
www.informazionefiscale.it
Contributo del Dr. Giuseppe Virgallita, abilitato all’esercizio della professione forense presso la Corte D’Appello di Roma, DPO ISO Certified, docente/formatore in ambito di salute e sicurezza sul lavoro (D. Lgs. n. 81/2008 e s.m.i.), si occupa di affari legali, qualità, sicurezza e ambiente in una nota società.
Desideri ottenere il Rating di Legalità e/o il Modello Organizzativo 231?
Scrivici a rating-legalita@bilanciarsi.it oppure compila il form contatti!