Type a keyword and hit enter to start searching. Press Esc to cancel.
© Consulenza Legale Moda. 2016. Tuttti i diritti riservati.

Categoria: Modello 231

analisi valutazione rischio crisi impresa

L’analisi e valutazione del rischio è un tema che riguarda l’imprenditore in qualsiasi area della propria attività e non soltanto in relazione ai rischi per la salute e la sicurezza dei lavoratori, che devono essere parametrati sulla base del settore di appartenenza dell’impresa e della tipologia di mansioni svolte.

Infatti, il legislatore ha reso l’analisi e valutazione del rischio uno strumento essenziale per guidare l’imprenditore nella scelta di molti tipi di strategie idonee a minimizzare il rischio previsto in un determinato settore, da ultimo anche con la normativa sulla crisi di impresa.

Dal settore assicurativo al Codice della Crisi d’Impresa

L’analisi e valutazione del rischio è un modus operandi tipico del settore assicurativo, dove prima di decidere se assumersi un rischio di un terzo, vengono valutati in modo puntuale l’attività e il settore da assicurare.

In ambito legale, sono molti i settori che hanno fatto propria la metodologia dell’analisi e valutazione del rischio. Si pensi al d.lgs. 231/2001 in materia di responsabilità amministrativa degli enti, al Reg. UE 2016/679 (GDPR) in tema di trattamento dei dati personali, al Codice della Crisi d’Impresa (d.lgs. 14/2019) di cui si continua a rimandare la complessiva entrata in vigore.

Il rischio da mitigare per il d.lgs. 231/2001 è quello relativo alla possibile commissione dei reati presupposto, il quale viene minimizzato mediante la predisposizione e adozione di protocolli organizzativi aziendali (raccolti nel “Modello 231”, di cui vi abbiamo parlato in un precedente articolo), ove sono indicate le modalità operative da porre in essere per evitare la commissione del reato.

Per quanto riguarda il trattamento dei dati personali, il rischio da gestire è quello relativo ai parametri della c.d. CIA, ovvero alla perdita di Confidentiality (da intendersi come perdita di riservatezza del dato), Integrity (da intendersi come perdita di integrità del dato ovvero come perdita di completezza) e Availability (da intendersi come perdita di disponibilità del dato). Al fine di limitare tali rischi, si procede alla definizione di modalità operative aziendali spesso trascritte in policy sul trattamento dei dati personali, in procedure interne o in regolamenti.

analisi valutazione rischio crisi impresa

Per quanto concerne il rischio di crisi d’impresa, l’art. 2086 c.c. prevede l’obbligo per l’imprenditore di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, che deve essere anche idoneo alla rilevazione tempestiva della crisi ed alla sua gestione, nell’ottica di assicurare la continuità aziendale. Tale assetto organizzativo si sostanzia in modalità operative interne, spesso codificate, volte ad una corretta amministrazione aziendale.

Continua a leggere →

Bentrovati. Come promesso, torniamo a parlare della possibilità per il datore di lavoro di imporre la vaccinazione ai propri dipendenti, e dell’eventuale legittimità del licenziamento in caso di rifiuto.

Come ricorderete, la questione è molto dibattuta e sul punto si registrano due tesi:

  • la prima, secondo cui il datore di lavoro può imporre il vaccino ai propri lavoratori e in caso di rifiuto licenziarli per giusta causa. Di questa vi abbiamo parlato qui;
  • la seconda, per cui il datore di lavoro non può imporre il vaccino ai propri dipendenti e conseguentemente il licenziamento è illegittimo.

Ed è proprio di questa seconda tesi che vi vogliamo parlare oggi.

Quadro normativo di riferimento.

Image result for quadro normativo

Prima di addentrarci nella questione, rivediamo assieme il quadro normativo di riferimento.

Art. 32 Costituzione, comma 2: nessuno può essere obbligato a un determinato trattamento sanitario se non per disposizione di legge. La legge non può in nessun caso violare i limiti imposti dal rispetto della persona umana”;

– Art. 2087 c.c.:L’imprenditore è tenuto ad adottare nell’esercizio dell’impresa le misure che, secondo la particolarità del lavoro, l’esperienza e la tecnica, sono necessarie a tutelare l’integrità fisica e la personalità morale dei prestatori di lavoro”;

Art. 279 Testo Unico in materia di sicurezza (D.Lgs. 81/08), comma 2:il datore di lavoro, su conforme parere del medico competente, adotta misure protettive particolari per quei lavoratori per i quali, anche per motivi sanitari individuali, si richiedono misure speciali di protezione, fra le quali: a) la messa a disposizione di vaccini efficaci per quei lavoratori che non sono già immuni all’agente biologico presente nella lavorazione, da somministrare a cura del medico competente”.

La seconda tesi: no imposizione del vaccino, no licenziamento

Image result for vaccino e licenziamento

Questa tesi presenta diversi argomenti a favore. In particolare:

L’articolo 2087 c.c.

Tale norma non può essere considerata la disposizione di legge di cui all’art. 32 Cost. che obbliga un soggetto a sottoporsi alla vaccinazione, dovendo tale norma consistere in una normazione ad hoc, specificamente diretta ad imporre la vaccinazione anti Covid-19.

L’art. 2087 c.c. impone al datore di conformarsi al criterio della “massima sicurezza possibile”, ma il rispetto di tale criterio è pur sempre ancorato a dati scientifici dedotti dall’”esperienza e la tecnica”. Al momento si conosce poco sul vaccino ed i suoi effetti e gli scienziati si dividono anche sui mezzi di propagazione del virus. Dunque, mancherebbero quei dati di acquisita “esperienza e tecnica”, che potrebbero imporre al datore l’adozione di tale misura. Così come il lavoratore potrebbe addurre, se non il rispetto della riservatezza, particolari condizioni personali che possono sconsigliare di sottoporsi alla vaccinazione.

L’art. 279 TU

L’art. 279 TU impone la vaccinazione a protezione dello stesso lavoratore esposto ad un rischio che comunque promana dall’ambiente lavorativo. Tale norma costituisce la migliore conferma del fatto che solo con una esplicita previsione legislativa si può superare il divieto previsto dall’art. 32 Cost. con il corollario che, trattandosi di norma di stretta interpretazione, non se ne possono allargare le maglie estendendola a situazioni diverse e non previste.

Conclusioni della seconda tesi.

Continua a leggere →

Con la Circolare 4 settembre 2020 n. 13, i Ministeri del Lavoro e della Salute hanno fornito una serie d’indicazioni e di chiarimenti sulla sorveglianza sanitaria dei lavoratori fragili e sulle visite mediche obbligatorie.

Nello specifico, la circolare ha cercato di chiarire il concetto di fragilità evidenziando che la “fragilità” va individuata nelle condizioni di salute del lavoratore rispetto alle patologie preesistenti che potrebbero determinare, in caso di infezione, un esito più grave o infausto. Pertanto, il solo parametro dell’età non è elemento sufficiente per definire uno stato di fragilità.

La circolare in oggetto, inoltre, fornisce alcune indicazioni operative, prevedendo che ai lavoratori debba essere assicurata la possibilità di richiedere al proprio datore di lavoro l’attivazione di adeguate misure di sorveglianza, in ragione dell’esposizione al rischio Covid-19, in presenza di patologie con scarso compenso clinico (a titolo esemplificativo si citano malattie cardiovascolari, respiratorie, metaboliche). In particolare, le richieste di visita dovranno essere corredate da documentazione medica relativa alla patologia diagnosticata, con modalità che garantiscano la riservatezza, a supporto della valutazione del medico competente.

Inoltre, la sorveglianza sanitaria dovrà essere garantita anche laddove il datore di lavoro non è tenuto alla nomina del medico competente. In tale ipotesi, ferma la possibilità di nomina del medico competente, ai fini della massima tutela dei lavoratori fragili, su richiesta dei lavoratori o delle lavoratrici, il datore di lavoro può inviare gli stessi ad effettuare la visita all’INAIL, alle ASL o ai dipartimenti di medicina legale e di medicina del lavoro delle Università. Ai fini della valutazione della condizione di fragilità, il datore di lavoro dovrà fornire al medico incaricato di emettere il giudizio una dettagliata descrizione della mansione svolta dal lavoratore o dalla lavoratrice e della postazione/ambiente di lavoro dove presta l’attività, nonché le informazioni relative all’integrazione del documento di valutazione del rischio, in particolare con riferimento alle misure di prevenzione e protezione adottate per mitigare il rischio da Covid-19, in attuazione del Protocollo condiviso del 24 aprile 2020.

Sulla base di tali elementi il lavoratore sarà giudicato, quindi, come idoneo o meno. In modo poco chiaro e del tutto generico viene ulteriormente affermato che «resta ferma la necessità di ripetere periodicamente la visita anche alla luce dell’andamento epidemiologico e dell’evoluzione delle conoscenze scientifiche in termini di prevenzione, diagnosi e cura».  Pertanto, si consiglia al medico competente di scadenzare, in base al quadro clinico del lavoratore o della lavoratrice, la periodicità con cui la visita dovrà essere ripetuta.

Altresì la circolare precisa che la sorveglianza sanitaria eccezionale introdotta dall’art. 83 del D.L. n. 34/2020, riguardante la sorveglianza sanitaria eccezionale dei lavoratori fragili, per effetto dell’art. 1, co. 4 del D.L. n. 83/2020 è da ritenersi come non più in vigore dal 1° agosto 2020. Tuttavia, in termini operativi, il quadro muta di poco in quanto nella stessa circolare viene precisato che allo stato, in ragione dei mutamenti del quadro normativo, le visite mediche richieste dai lavoratori e dalle lavoratrici entro il 31 luglio 2020, ai sensi del menzionato articolo 83 saranno regolarmente svolte sulla base delle indicazioni operative illustrate nella presente circolare e secondo la disciplina speciale di cui al citato disposto normativo.

Infine, con riferimento alle visite obbligatorie, nella circolare viene precisato che «nell’attuale fase, si ritiene opportuno tendere al completo – seppur graduale – ripristino delle visite mediche previste dal decreto legislativo n. 81 del 2008, sempre a condizione che sia consentito operare nel rispetto delle misure igieniche raccomandate dal Ministero della salute e secondo quanto previsto dall’organizzazione Mondiale della Sanità, nonché tenendo conto dell’andamento epidemiologico nel territorio di riferimento».

Secondo i Ministeri, in linea generale, possono essere ancora differibili, previa valutazione del medico competente, anche in relazione all’andamento epidemiologico territoriale:

  • la visita medica periodica (art. 41, co. 2, lett. b) del D. Lgs. n. 81/2008);
  • la visita medica alla cessazione del rapporto di lavoro, nei casi previsti dalla normativa vigente (art. 41, co. 1, lett. e) del D. Lgs. n. 81/2008).

Tuttavia, si ritiene opportuno non prorogarle salvo gravi motivi legati all’andamento dell’epidemia che non rendano possibile l’effettuazione di tali attività.

In caso di dubbi o per necessità di consigli per la tua attività, non esitare a contattare lo Studio legale Soccol .

Continua a leggere →

Negli ultimi anni il settore agroalimentare ha assunto sempre più rilevanza non solo per i consumatori, ma anche per il Legislatore, che già a partire dal 2015, aveva elaborato un disegno di legge di riforma dei reati agroalimentari, che però era andato scemando.

L’esigenza di intervenire in tale settore è determinata dal fatto che l’attuale mercato degli alimenti appare inevitabilmente dominato dalle multinazionali del settore, soggette alla globalizzazione e a continue aggregazioni societarie che comportano un aumento di investimenti nel settore, rendendo la food company il principale referente criminologico.

Appare, dunque, evidente che anche in tale ambito possano configurarsi attività imprenditoriali scorrette unicamente volte ad aumentare i profitti dell’ente violando prescrizioni che regolamentano la produzione, conservazione e vendita dei prodotti alimentari.

Pertanto, risulta necessario il coinvolgimento delle persone giuridiche nei cd. reati agro-alimentari, che sebbene configurino condotte criminose di rilevante portata, ad oggi non rientrano nel novero dei reati presupposto di cui al Dlgs. 231/01.

Il nuovo disegno di legge

Alla luce di quanto sopra, lo scorso 25 Febbraio 2020, il Consiglio dei Ministri ha approvato il Ddl n. 283 rubricato “Nuove norme in materia di reati agroalimentari”, che è stato presentato alla Camera in data 6 Marzo 2020 ed è stato assegnato alla Commissione Giustizia per l’esame in sede referente il 23 Aprile 2020.

La riforma introduce una riorganzizzazione sistematica della categoria dei reati in materia alimentare, contemplando anche nuove fattispecie delittuose e incidendo sulla responsabilità amministrativa dell’ente.

Le nuove fattispecie di reato

Il Ddl interviene in modo organico sia sulla legge di riferimento, L. 283/1962, sia sul codice penale, anche mediante la contemplazione di nuove fattispecie delittuose tra cui il “reato di agropirateria” (art. 517 quater 1 c.p.) e di “disastro sanitario” (art. 445 bis. c.p.).

Nello specifico, il reato di agropirateria è volto a reprimere tutti quei comportamenti criminosi e dannosi che compromettono il prodotto alimentare ab origine, come ad esempio le condizioni degli animali, l’uso di prodotti chimici ecc…

Con riguardo, invece, al delitto di disastro sanitario esso si staglia come ipotesi aggravata e autonoma di singoli mini- disastri pregiudizievoli per la salute dai quali sia derivata: a) la lesione grave i la morte di 3 o più persone; b) il pericolo grave e diffuso di analoghi eventi ai danni di altre persone.

La responsabilità da illecito alimentare nel modello 231

Il summenzionato Ddl prevede l’introduzione dei reati agro-alimentari nel catalogo dei reati presupposto. In particolare, dalle Linee Guida del disegno di legge si desume che l’intervento del legislatore è finalizzato non solo ad allargare il novero dei reati presupposto, ma altresì ad incentivare l’applicazione concreta delle norme in tema di responsabilità degli enti, nonché favorire l’adozione e l’efficace attuazione di più puntuali modelli di organizzazione e di gestione da parte delle imprese anche di minore dimensioni.

In particolare, è prevista la scomposizione dell’art. 25 bis del D.Lgs. 231/01 in tre nuovi e distinti capi:

  • Art. 25 bis. 1: che rimane dedicato ai “Delitti contro l’industria e il commercio;
  • Art. 25 bis 2 rubricato “Delle frodi in commercio di prodotti alimentari”, punito con la sanzione pecuniaria tra le 100 e le 800 quote, oltre che l’applicazione di sanzioni interdittive temporanee limitatamente ai soli casi di condanna per il reato di agropirateria;
  • Art. 25 bis 3 rubricato “Dei delitti contro la salute pubblica” punito con la sanzione pecuniaria ricompresa tra le 300 e 1000 quote, oltre che l’applicazione di sanzioni interdittive temporanee nei casi di condanna per tutte le fattispecie ivi menzionate secondo una durata definita sulla base della gravità dell’illecito commesso.

Altresì, con riferimento agli art. 25 bis 2 e 25 bis 3 è prevista la possibilità di ricorrere all’applicazione nei confronti dell’ente della più grave misura dell’interdizione definitiva dall’esercizio dell’attività “nel caso in cui lo scopo unico o prevalente dell’ente sia il consentire o l’agevolare la commissione dei reati sopra indicati”.

Infine, il Ddl prevede l’introduzione dell’art. 6 bis, speciale rispetto all’art. 6 del D.Lgs. 231/01.

Tale disposizione detta una particolare disciplina da applicare solo alle imprese alimentari, prevedendo standard personalizzati per la creazione e l’implementazione di un Modello 231 integrato, per l’assolvimento di 3 classi di obblighi eterogenei con finalità di tutela diverse:

  1. Obblighi a tutela dell’interesse dei consumatori (art. 6bis lett. a) e b) D.Lgs. 231/01)
  2. Obblighi a protezione della genuinità e sicurezza degli alimenti sin dalla fase originaria di produzione (art. 6 bis lett. c), d) ed e) del D.Lgs. 231/01)
  3. Obblighi in merito agli standard di monitoraggio e controllo (art. 6 bis. lett. f) e g) D.LGS. 231/01)

Ad oggi, non ci è dato sapere, quando il provvedimento descritto entri in vigore. Tuttavia, nonostante l’incertezza, un aspetto è chiaro: il settore agro-alimentare, al pari di altri, per il suo florido dinamismo può essere terreno fertile per la commissione di diversi reati. Non si può escludere a priori la responsabilità della società per gli stessi, soprattutto se non la medesima dotata di Modello 231.

Non aspettate la riforma per implementare all’interno delle vostre Società un Modello 231: prevenire è meglio che…. pagare!

Continua a leggere →

L’emergenza epidemiologica da Covid-19 ha coinvolto le imprese anche dal punto di vista del loro assetto organizzativo. In particolare, le imprese che hanno deciso di dotarsi di Modelli Organizzativi, ai sensi del d.lgs. 231/2001, hanno dovuto valutare la tenuta dei loro Modelli e il ruolo dell’Organismo di Vigilanza.

Sul tema, Confindustria ha emanato, nel presente mese, delle linee operative che aiutano le imprese dotate di un Modello 231, ad affrontare l’emergenza.

Il profilo di rischio indiretto

La situazione che le imprese hanno vissuto e stanno vivendo può comportare un aumento del rischio di commissione di alcuni dei reati presupposto. Invero, basti pensare alla famiglia dei reati corruttivi (reati contro la PA, corruzione tra privati), reati che possono più facilmente essere commessi in un periodo di crisi finanziaria (ad esempio, per la partecipazione a procedure di gara semplificate, piuttosto che per accedere ad ammortizzatori sociali o per continuare l’attività produttiva nel periodo del lock down).

Non solo di corruzione si occupa il d.lgs. 231/2001.

Difatti, l’impresa potrebbe incorrere nella commissione di ulteriori reati (es. ricettazione, riciclaggio, impiego di cittadini di Paesi terzi con permesso irregolare) anche attraverso i propri dipendenti in smart working. Non dimentichiamo invero che nell’alveo del catalogo 231, sono annoverati anche i reati informatici e le violazioni del diritto d’autore. Basti pensare all’utilizzo promiscuo dei dispositivi personali anche per finalità lavorative e al rischio che possano essere, ad esempio, utilizzati software non originali.

Risulta pertanto necessario procedere alla modifica del Modello 231?

Come correttamente indicato da Confindustria, i rischi sopra richiamati sono rischi indiretti e trasversali alle varie tipologie aziendali. Tali rischi invero avrebbero dovuto già essere valutati e mappati all’interno del Modello 231 e l’impresa avrebbe dovuto dotarsi di procedure idonee a ridurre al minimo, se non ad eliminare, il rischio di commissione di reato. Qualora l’azienda non abbia adempiuto in tal senso, si presenta in ogni caso l’occasione per procedere ad una nuova analisi e valutazione del rischio a cui seguirà poi l’adozione di procedure specifiche.

Per le imprese invero che hanno già adottato siffatte procedure, probabilmente si renderà necessario procedere ad un loro rafforzamento.

Rischi diretti

I rischi invece che direttamente impattano sull’impresa sono quelli connessi al rischio di contagio da Covid-19, in materia di salute e sicurezza nei luoghi di lavoro. Ad ogni modo, il rischio di commissione dei reati di omicidio colposo e lesioni personali gravi e gravissime, commessi in violazione delle norme antinfortunistiche, erano già parte del catalogo 231, prima dell’emergenza epidemiologica. Ne deriva che, il rischio di contagio da Covid-19, diventa un ulteriore rischio specifico che non impatta però sui presidi di carattere generale. In altri termini il Covid-19 non impone l’adozione di un sistema gestionale ad hoc per tale rischio.

Diversamente, nell’ipotesi in cui l’impresa abbia deciso di integrare le procedure sicurezza all’interno del Modello 231, si dovrà invece valutare se procedere alla loro revisione oppure alla creazione di un addendum specifico.

In ogni caso, onere del datore di lavoro è quello di predisporre le misure idonee a tutelare i lavoratori da tale rischio.

Data l’assoluta novità di tale virus, il datore di lavoro dovrà attenersi alle misure di contenimento che sono state individuate, e che verranno via via individuate in futuro, dalle Autorità Pubbliche (sul tema si veda il nostro contributo video).

Organismo di Vigilanza

L’Organismo di Vigilanza, in tale contesto, deve procedere a rafforzare il proprio controllo sulla corretta ed efficace implementazione del Modello 231 esistente, nonché sulle misure adottate dal datore di lavoro nel rispetto di quanto indicato dalle Autorità Pubbliche. L’OdV dovrà mantenere un costante confronto con i vertici aziendali e con il comitato per l’applicazione e la verifica dei presidi indicati dalle Autorità Pubbliche per evitare il contagio da Covid-19.

Il monitoraggio della situazione aziendale viene garantito dai flussi informativi tra i responsabili di funzione e l’OdV, che si ritiene debbano essere potenziati in tale periodo. Invero, l’OdV dovrà essere tenuto in costante aggiornamento circa le misure adottate in azienda, circa gli strumenti, anche di natura finanziaria, messi in campo per arginare l’eventuale crisi economica (es. ammortizzatori sociali, finanziamenti a fondo perduto etc).

L’OdV conserva in ogni caso il proprio ruolo propulsivo nell’ipotesi di inerzia dell’impresa, ovvero nel caso in cui, ad esempio, l’impresa non proceda ad adottare le misure poste a presidio del contagio.

Nell’emergenza epidemiologica il Modello 231 e tutta la compliance aziendale rappresenta un valido presidio per la gestione del rischio di commissione dei reati del d.lgs. 231/2001.

Vi invitiamo a contattare lo Studio per ogni ulteriore approfondimento.

Continua a leggere →

Con l’entrata in vigore del Reg. UE 2016/679 ci si è chiesti quale qualificazione dovesse rivestire l’Organismo di Vigilanza ai fini della normativa sul trattamento dei dati personali. Invero, ci si interrogava se l’OdV dovesse essere inteso come Titolare del trattamento, ovvero come il soggetto che determina le finalità e i mezzi del trattamento dei dati personali che decide di trattare, oppure come Responsabile esterno, cioè come colui che svolge un’attività in nome e per conto del Titolare e soggiace pertanto alle istruzioni impartite da quest’ultimo.

Invero, l’OdV nello svolgimento della propria attività, può raccogliere e trattare dati personali anche particolari, come, ad esempio, i dati giudiziari. Tali dati possono essere raccolti a seguito di attività ispettive, oppure a seguito della ricezione di flussi informativi e/o di segnalazioni, anche anonime.

Prima tesi: OdV come Titolare autonomo

I sostenitori della tesi della titolarità autonoma dell’OdV fondavano la loro convinzione sul fatto che l’OdV, essendo dotato di autonomi poteri di iniziativa e di controllo, fosse pertanto dotato anche del potere di determinare le finalità e i mezzi del trattamento dei dati personali. In realtà tale tesi confonde l’autonomia di iniziativa con l’eventuale determinazione delle finalità. Difatti, le finalità del trattamento sono determinate dal d.lgs. 231/2001 (ovvero la vigilanza sull’osservanza del Modello 231), e i mezzi sono generalmente messi a disposizione dall’azienda stessa.

Seconda tesi: OdV come Responsabile esterno

La tesi che considerava l’OdV quale Responsabile del trattamento non può più trovare accoglimento dall’entrata in vigore del GDPR. Invero, il Responsabile, ai sensi di tale Regolamento, può essere soltanto esterno. È, infatti, venuta meno quella peculiarità tutta italiana, in virtù della quale il Responsabile poteva essere, alla luce del Codice Privacy, anche interno. Appare, invero, pacifico che l’OdV sia configurabile quale organo interno della società e, in particolare, organo di staff dell’Organo Dirigente.

Terza tesi: né titolare autonomo né responsabile esterno

Vi è, tuttavia, una terza tesi, sostenuta da AODV, la più importante associazione dei componenti degli Organismi di Vigilanza, secondo cui l’OdV, essendo “parte dell’impresa” non sia qualificabile né come Titolare né come Responsabile. Peraltro, i singoli membri non sarebbero qualificabili come “designati al trattamento”, in quanto l’OdV va considerato nella sua collegialità e non come singoli componenti. Nondimeno, il designato al trattamento soggiace all’autorità del Titolare: questo aspetto confligge chiaramente con l’autonomia di iniziativa e di controllo in capo all’OdV.

Cosa ne pensa il Garante Privacy?

Sul punto si è recentemente espresso il Garante per la protezione dei dati personali, il quale ha sostenuto che l’OdV non possa configurarsi quale Titolare, in quanto: innanzitutto, le finalità proprie del trattamento dei dati sono definite dalla legge; in aggiunta,l’OdV non ha nessun obbligo di denuncia all’autorità giudiziaria, né esercita alcun potere disciplinare nei confronti nei confronti degli autori dell’illecito. L’OdV non può essere configurato nemmeno quale Responsabile del trattamento, essendo parte dell’Ente stesso e non un soggetto esterno.

Il Garante conclude ritenendo che l’OdV, nella sua collegialità, sia parte dell’ente e che, come tale, svolga il proprio ruolo nell’ambito dell’organizzazione dell’ente stesso. Ciononostante, ai fini della normativa sul trattamento dei dati personali, i singoli componenti dell’OdV andranno nominati quali “Autorizzati al trattamento”. I medesimi dovranno rispettare le istruzioni impartite dal Titolare del trattamento, al fine di osservare le misure tecniche e organizzative che il medesimo ha implementato in azienda, in virtù dei principi sanciti dal GDPR (art. 5).

In ogni caso, per consentire all’OdV di svolgere la propria attività di vigilanza e controllo,  dovranno essere assicurate al medesimo l’autonomia e indipendenza rispetto agli organi societari.

In pratica

Risulta pertanto necessario che l’Ente proceda ad affidare a legali esperti in materia l’esatta determinazione dei poteri dell’OdV nella sua collegialità e come singoli membri, al fine di osservare la normativa sul trattamento dei dati personali e nel rispetto della riservatezza dei dati aziendali.

Continua a leggere →