Il titolare del trattamento dei dati nelle società di capitali

In materia della protezione dei dati personali, non è possibile fare ricorso alla delega “di funzione”, mentre la delega “di consiglio” rappresenta una opportunità rilevante per organizzare al meglio la struttura e concentrare obblighi e relative responsabilità su un soggetto predefinito

22 Set 2020

Massimo Davi

avvocato

Sempre più frequentemente, leggendo la visura camerale di una società di capitali, si può verificare la circostanza per cui uno dei consiglieri di amministrazione risulti amministratore “delegato alla privacy e alla sicurezza dei dati”.

Se una medesima soluzione “organizzativa” appare consueta in tema di “igiene e sicurezza sul lavoro”, ovvero in tema di “gestione di rifiuti e/o ambiente”, ci si domanda quale effetto possa determinare una analoga scelta laddove, come detto, essa investa la materia del “trattamento” dei dati personali, oltreché ogni ambito organizzativo connesso, e i relativi doveri e responsabilità.

Non può, infatti, non considerarsi come, nel caso che occupa, la disciplina di cui all’art 2381 c.c.[1] si intersechi necessariamente con le norme specifiche del Reg. Eu. n. 2016/679, e in particolare con i limiti che, proprio nell’ambito di quelle norme, sono posti al potere di delega delle attribuzioni (e responsabilità) già proprie del “Titolare del trattamento”, ma su ciò infra.

Parimenti rilevanti in tema appaiono le norme di cui al d.lgs. n. 196/2003, per come modificato dal d.lgs. n. 101/2008[2].

La ripartizione dei poteri e delle responsabilità

Traendo, dunque, spunto dalla comparazione con la materia attinente alla sicurezza sul lavoro, possiamo riconoscere che in quell’ambito si possono rivenire due meccanismi tipici di ripartizione dei poteri e delle responsabilità a) all’interno dell’Organo amministrativo 2) verso un soggetto estraneo all’Organo amministrativo: la “delega di Consiglio” e “la delega di funzioni”.

In forza della prima il Consiglio di Amministrazione si spoglia (salvo il limite del controllo sull’operato del delegato) di prerogative sue proprie investendo di esse un Consigliere (membro del C.d.A.) che direttamente ricoprirà ad ogni effetto il ruolo di “datore di lavoro”, e ciò ai sensi del d.lgs. n. 81/2008: l’“Amministratore delegato alla sicurezza” sarà, dunque, l’unico responsabile delle decisioni attinenti la gestione della materia, il titolare del potere di spesa e, proprio in forza della delega, solleverà il Consiglio (ed eventualmente altri Amministratori parimenti delegati ad altre materie) da ogni responsabilità (anche penale) per il mal funzionamento dei sistemi prevenzionali in caso di infortunio, malattia professionale o omicidio colposo ai danni di un lavoratore.

E tanto è così vero che proprio, e solo, il “delegato” nella sua veste di “datore di lavoro” firmerà il DVR e nominerà l’RSPP, potendo, eventualmente, anche rilasciare altre e ulteriori deleghe “organizzative” di funzione ad altri soggetti, anche estranei all’organizzazione aziendale, per come individuati allo scopo.

Proprio la c.d. “delega di funzione”, regolata dall’art. 16 del d.lgs. 81/2008[3], rappresenta la seconda ipotesi: il “datore di lavoro”, ovvero l’Amministratore delegato (eventualmente anche solo alla “sicurezza sul lavoro” secondo la costruzione di cui ai paragrafi che precedono), delegherà, nei modi e con i limiti previsti, a un terzo soggetto (interno o esterno alla organizzazione) la “competenza” nell’ambito di interesse e le relative responsabilità per le violazioni contestate.

Questa seconda tipologia di delega è ontologicamente diversa rispetto alla prima in quanto la qualità di “datore di lavoro” non si trasferisce al delegato ma rimane in capo al delegante (sul punto è significativo notare come il Legislatore espressamente ponga un divieto alla possibilità di delegare, ex art. 16 d.lgs. n. 81/2008, la redazione del DVR e la nomina dell’RSPP, entrambe prerogative proprie del “datore di lavoro”)[4].

Quindi le due tipologie di deleghe descritte sono tra loro intimamente diverse.

La delega in senso generale è, dunque, uno strumento di “organizzazione aziendale”: se resa all’interno di un ragionato sistema di organizzazione essa potrà risultare anche uno “strumento difensivo” efficace e importante in relazione ai fatti negativi che si possano verificare in ambito aziendale in quanto con essa si trasferisce oltre al potere decisionale anche, e soprattutto, la responsabilità, in ipotesi penale, per le eventuali contestazioni che fossero sollevate dalle Autorità pubbliche di controllo.

Ed è proprio questa la ragione per la quale un istituto giuridico disciplinato e definito in un ambito operativo specifico ha trovato applicazione in altri ambiti anche assai distanti dal primo (si pensi alle deleghe di funzioni in ambito fiscale/tributario o ambientale).

I limiti della responsabilità collegiale

Occorre, infine, per inquadrare al meglio la tematica svolgere un’ulteriore osservazione riguardante i limiti più o meno ampi della “responsabilità collegiale” del Consiglio di Amministrazione in relazione alle proprie decisioni, attribuzioni, spese, rendicontazioni, e ciò con riguardo alla prima delle due prospettate tipologie di delega, ovvero quella di Consiglio.

Per la giurisprudenza, infatti, non è mai automatica l’esenzione di responsabilità degli Amministratori non operativi sussistendo su di essi, almeno in astratto e a certe condizioni, un dovere “impeditivo” di eventuali fatti pregiudizievoli “dei quali abbiano acquisito in positivo conoscenza o, alternativamente, dei quali avrebbero dovuto acquisire conoscenza, di propria iniziativa, ex art. 2381 c.c. Gli amministratori non operativi possono ritenersi obbligati a chiedere informazioni relative alla gestione della società a condizione che sussistano elementi tali da metterli in guardia alla stregua della diligenza richiesta dalla natura dell’incarico e dalle loro specifiche competenze; in mancanza di “segnali d’allarme” specifici, al contrario, non incombe sugli amministratori non operativi alcun obbligo di acquisire ulteriori informazioni né tantomeno alcun obbligo di generale vigilanza sulla condotta degli amministratori operativi[5].

Tale principio deve ritenersi estensibile, ovviamente, per ogni ambito di materia in cui vi sia una organizzazione per deleghe, ovvero l’istituzione di diversi, e differenti, “Amministratori delegati” con relativa competenza per materia.

Non vi è dubbio che il sistema di cui al Regolamento (UE) 2016/679 non preveda esplicitamente, così come viceversa avviene in materia di sicurezza sul lavoro, la possibilità di una “delega” pari per funzione a quella di cui all’art. 16 del d.lgs. 81/2008.

Né tale mancanza può dirsi superata dal fatto che in tale ultimo ambito sia prevista la figura del c.d. “responsabile del trattamento” in quanto non vi è rispetto al tema alcuna similitudine o connessione.

Quest’ultimo, e in alcun modo, può identificarsi come un soggetto delegato, e infatti i rapporti giuridici tra il Titolare e il Responsabile del trattamento vengono usualmente regolati con contratto.

Nel Regolamento, anzi, sembrerebbe essere stato istituzionalizzato un sistema particolarmente chiuso con riguardo al riparto delle attribuzioni e delle responsabilità tra i soggetti che, a qualche titolo, entrino in contatto con il trattamento dei dati personali.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Il “Titolare del trattamento” è il protagonista del sistema in quanto destinatario diretto degli obblighi di conformazione e delle responsabilità per la loro violazione.

L’art. 24 del Regolamento (UE) 2016/679 sul punto è particolarmente chiaro laddove prescrive come egli “mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”.

Appare, poi, particolarmente significativo, confermando l’assunto, che laddove vi sia una esigenza qualificata per cui la “titolarità” debba essere ridistribuita tra più soggetti questa ripartizione avvenga non secondo il criterio della delega bensì sullo stesso piano “gerarchico” con lo strumento della “contitolarità”.

L’art. 26 del Regolamento (UE) 2016/679, infatti, introducendo la figura del “contitolare” del trattamento rafforza l’idea per cui possono esserci contitolari di pari livello e come essi nel caso “determinano congiuntamente le finalità e i mezzi del trattamento” in modo “trasparente, mediante un accordo interno” con riguardo alle “rispettive responsabilità in merito all’osservanza degli obblighi” derivanti dal regolamento, sino a prevedere che l’“interessato” sia messo a parte del “contenuto essenziale dell’accordo” e che egli possa “esercitare i propri diritti (…) nei confronti di e contro ciascun titolare del trattamento”.

Confermano l’assunto gli articoli seguenti laddove si precisa che se “un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” e essi non ricorreranno “a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento[6].

La forma giuridica

La forma giuridica per regolare i reciproci rapporti viene identificata nel “contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”[7].

E che non si operi, guardando al Responsabile del trattamento, in prospettiva di “delega”, essendo le prerogative del titolare del trattamento sempre incardinate su di esso, emerge ancora dall’elencazione dei contenuti dell’eventuale accordo di cui si è detto: saranno con esso disciplinate esplicitamente le modalità di trattamento dei dati personali, le clausole e condizioni di riservatezza di essi e i criteri di sicurezza applicati, sino a prevedere un vero e proprio “divieto di ingerenza” assai simile a quello di cui all’art. 299 d.lgs. 81/2008 per cui se “un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione”.

Chiude il sistema l’articolo 29 del Regolamento (UE) 2016/679 che, usando esplicitamente la parola “autorità”, non lascia ulteriore spazio a interpretazioni: “il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento”.

Lo scenario sin qui descritto non pare mutare, e anzi pare confermato, nemmeno a seguito dell’introduzione del c.d. “soggetto designato” se, come vero, l’art. 2-quaterdecies del d.lgs. n.196/2003 recante il “Codice in materia di protezione dei dati personali”dispone che:

“1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

2. Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta”.

Anche in questo caso, infatti, nonostante la norma preveda una ripartizione di potere dall’alto tra il titolare e il responsabile del trattamento e l’eventuale “designato” – e ciò per ragioni di ottimizzazione nell’“ambito del proprio assetto organizzativo” (sino a evocare un’assonanza con la figura della delega di funzione) – il fatto che il designato medesimo agisca “sotto la [loro] responsabilità” e “sotto la [loro] autorità [diretta]” rende i tratti propri di tale ultima figura assai diversi da quelli del delegato di funzione che agisca “per conto di” e con ampio margine di “autonomia” gestionale e di spesa.

Il titolare del trattamento

Concludendo, quindi, sul primo punto – ovvero se possa operare nell’ambito del sistema che quivi si è delineato una c.d. “delega di funzioni” analoga a quella di cui all’art. 16 del d. lgs. 81/2008, e fermo restando che il “responsabile del trattamento” non è equiparabile a un delegato nei termini cui ora ci si riferisce, seppur esterno all’organizzazione aziendale – pare quindi che si debba pervenire a una risposta negativa.

Resta, dunque, da chiarire l’ambito di l’efficacia della “delega di consiglio” che, questa sì, in ogni caso come già ricordato è molto frequentemente predisposta e annotata nelle visure camerali delle società di capitali.

In altri termini il quesito cui si vorrebbe dare risposta è se questo ultimo tipo di delega – istituendo un “amministratore delegato” alla protezione dei dati e a ogni tematica connessa all’adempimento degli obblighi lato senso riferibili alla privacy – possa trasferire la “titolarità” del trattamento dei dati già in capo all’Ente a una persona fisica.

Tale rilievo impatta, oltre che sul tema delle responsabilità e delle sanzioni, su quello più ampio del potere di decisione in relazione agli obblighi e agli adempimenti previsti dal regolamento.

Operativamente ci si chiede quali debbano essere i reciproci rapporti tra l’Amministratore per come delegato, “altri” eventuali amministratori delegati e, in ultima istanza, il Consiglio di Amministrazione.

L’art. 4 n. 7) del Regolamento (UE) 2016/679 nel definire la figura del “Titolare del trattamento” testualmente prevede che esso sia “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Una chiave di lettura importante, ai fini della risposta al quesito che occupa, potrebbe essere offerta dal Considerando n. (74) al Regolamento (UE) 2016/679: “È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”.

In effetti il “Titolare del trattamento” sembrerebbe, in relazione a un ente, identificarsi direttamente con esso, separando il piano tra l’essenza e la soggettività del ruolo e la figura (collegiale o monocratica) che operativamente coincida con “chi” assume le decisioni operative.

Ciò dato per presupposto ritiene chi scrive che, soprattutto in strutture imprenditoriali articolate, l’istituzione di un Amministratore delegato “alla protezione dei dati personali” sia assolutamente percorribile, nella misura in cui la delega sia effettiva e piena.

Se, allora, la responsabilità per eventuali sanzioni ricadrà necessariamente in capo all’Ente – in quanto indiscutibilmente ed inderogabilmente “Titolare del trattamento” tanto che l’“Interessato” avrà, per l’esercizio delle proprie prerogative, sempre un interlocutore certo ed identificato nell’Ente medesimo – all’Amministratore delegato alla “privacy” potranno per vero essere riconosciute ampie prerogative operative essendo, tra l’altro, egli designato[8], e membro, del “vertice gerarchico” del “Titolare del trattamento” medesimo.

Significativa sul punto l’espressione usata nell’art. 38 del Regolamento (UE) 2016/679 laddove si legge che il “responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”, formalizzando così la distinzione tra il soggetto titolare e la gerarchia organizzativa di esso.

A giudizio di chi scrive l’Amministratore delegato alla “privacy” può ben essere considerato “vertice gerarchico” del Titolare, ovviamente nei limiti della delega ricevuta che, però, essendo non già una delega di funzioni ma una delega organica, trasferisce non solo dei “compiti organizzativi” ma, lato senso e per l’ambito di riferimento, proprio la qualità di “imprenditore”.

Se, quindi e a titolo di esempio, ai sensi dell’art. 82 del Regolamento (UE) 2016/679[9] il “Titolare del trattamento”, inteso ente giuridico, sarà sempre responsabile della violazione di un diritto dell’“Interessato”, e dell’eventuale risarcimento del danno a quest’ultimo, nulla impedirebbe che la nomina del D.P.O. fosse direttamente effettuata e formalizzata, nell’ambito della propria autonomia decisionale, proprio dall’Amministratore delegato per materia il quale sarebbe suo diretto referente, senza dover rimettere alcuna questione al Consiglio di Amministrazione nella sua interezza.

Ragionando diversamente mal si rappresenterebbe la ripartizione dei poteri, e delle responsabilità, per come effettuata “dal vertice” aziendale, se essa fosse, in realtà, solo apparente.

E tanto pare ancor più ragionevole se si considera l’altro piano in cui una delega di Consiglio potrebbe trovare assai frequente applicazione, ovvero quello della responsabilità penale degli Amministratori per eventuali reati commessi, direttamente o indirettamente, nelle attività di trattamento dei dati personali.

Non vi è dubbio infatti che scegliere di segmentare le competenze sin dal livello più alto, ovvero quello amministrativo dell’ente, possa rispondere a molteplici esigenze: una organizzativa, una per competenza e specializzazione, una per limitare la responsabilità penale ad un soggetto soltanto (e non a tutto il Consiglio).[10]

Si pensi in questo senso agli illeciti penali previsti dal d. lgs. n.196/2003 recante il “Codice in materia di protezione dei dati personali” ovvero al “Trattamento illecito di dati” (art. 167), alla “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala” (Art. 167-bis), all’“Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala” (Art. 167-ter), alla “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” (Art. 168), all’“Inosservanza di provvedimenti del Garante” (Art. 170) o alle “Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori” (Art. 171).

L’Amministratore delegato per materia sarebbe il primo soggetto a dover rendere conto di eventuali condotte di reato commesse in ambito aziendali e sussumibili nelle norme di cui all’elenco che precede.

Né si tratterebbe soltanto di un mero espediente difensivo per limitare la responsabilità penale di uno o più soggetti nell’ambito del Consiglio di Amministrazione, ma di un vero e proprio trasferimento di responsabilità (secondo per vero le regole usualmente note) dal C.d.A. ad un suo membro, ferme restando ai fini dell’operatività determinate condizioni: che il trasferimento di potere sia reale, che l’Amministratore delegato possa porre in essere effettivi poteri decisionali con adeguata capacità di spesa, che egli possa esercitare adeguati poteri impeditivi rispetto a condotte illecite di cui fosse notiziato.

Al di là delle sanzioni, poi, per come irrogabili dal “Garante per la protezione dei dati personali” nell’ambito delle sue competenze al “titolare del trattamento”, ma anche al “responsabile” di esso, laddove tali contestazioni trovassero presupposto, per esempio, in una violazione del c.d. perimetro informatico aziendale verificatasi, anche e tra l’altro, per negligenza, imprudenza, imperizia o violazione di norme di condotta specifica da parte dell’Amministratore delegato, egli, ove fossero previsti reati colposi connessi con tali condotte, sarebbe certamente chiamato a risponderne.

Di analoghe responsabilità l’Amministratore così delegato potrebbe essere investito nell’ambito dei doveri e degli obblighi di cui al d.lgs. n. 231/2001, ed in particolare in relazione ai reati presupposto di cui all’art. 24 bis[11], operando in tale ambito, e per lo più, in via autonoma ed al di là del coinvolgimento, ogni volta, del Consiglio di Amministrazione.

Conclusioni

Concludendo, ritiene chi scrive che non sia possibile fare ricorso, in materia della protezione dei dati personali, alla delega c.d. di funzione.

Viceversa, lo strumento della c.d. delega di consiglio rappresenta una opportunità assolutamente rilevante per organizzare al meglio la struttura, concentrare gli obblighi (e le relative responsabilità) su un soggetto predefinito peraltro membro, in ogni caso, del Consiglio di amministrazione, investire risorse economiche, rafforzare la difesa in giudizio dei dipendenti o svolgere attività predittiva sulle risorse

  1. Cfr. Art. 2381, c.c. “(2) Se lo statuto o l’assemblea lo consentono, il consiglio di amministrazione può delegare proprie attribuzioni ad un comitato esecutivo composto da alcuni dei suoi componenti, o ad uno o più dei suoi componenti. (3) Il consiglio di amministrazione determina il contenuto, i limiti e le eventuali modalità di esercizio della delega; può sempre impartire direttive agli organi delegati e avocare a sé operazioni rientranti nella delega. Sulla base delle informazioni ricevute valuta l’adeguatezza dell’assetto organizzativo, amministrativo e contabile della società; quando elaborati, esamina i piani strategici, industriali e finanziari della società; valuta, sulla base della relazione degli organi delegati, il generale andamento della gestione. (4) Gli organi delegati curano che l’assetto organizzativo, amministrativo e contabile sia adeguato alla natura e alle dimensioni dell’impresa e riferiscono al consiglio di amministrazione e al collegio sindacale, con la periodicità fissata dallo statuto e in ogni caso almeno ogni sei mesi, sul generale andamento della gestione e sulla sua prevedibile evoluzione nonché sulle operazioni di maggior rilievo, per le loro dimensioni o caratteristiche, effettuate dalla società e dalle sue controllate.
  2. Cfr. Decreto Legislativo 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali” per come modificato dal Decreto Legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)https://www.garanteprivacy.it/documents/10160/0/Codice+in+materia+di+protezione+dei+dati+personali+%28Testo+coordinato%29
  3. Cfr. Art. 16 d.lgs. 81/2008 “Delega di funzioni – 1. La delega di funzioni da parte del datore di lavoro, ove non espressamente esclusa, è ammessa con i seguenti limiti e condizioni: a) che essa risulti da atto scritto recante data certa; b) che il delegato possegga tutti i requisiti di professionalità ed esperienza richiesti dalla specifica natura delle

    funzioni delegate; c) che essa attribuisca al delegato tutti i poteri di organizzazione, gestione e controllo richiesti dalla specifica natura delle funzioni delegate; d) che essa attribuisca al delegato l’autonomia di spesa necessaria allo svolgimento delle funzioni delegate. e) che la delega sia accettata dal delegato per iscritto (…)”.

  4. Cfr. Art. 17 d.lgs. 81/2008 “Obblighi del datore di lavoro non delegabili 1. Il datore di lavoro non può delegare le seguenti attività: a) la valutazione di tutti i rischi con la conseguente elaborazione del documento previsto dall’articolo 2823; b) la designazione del responsabile del servizio di prevenzione e protezione dai rischi”.
  5. Ex cetera si confronti Tribunale Milano Sez. spec. Impresa, 30/01/2018, Giurisprudenza Commerciale 2019, 5, II, 1129, pubblicata in “Dejure” – Giuffrè Francis Lefebvre S.p.a.
  6. Cfr. Art. 28 Regolamento (UE) 2016/679
  7. Cfr.. Art. 28 Regolamento (UE) 2016/679
  8. Ovviamente non nel senso ci cui all’art. 2-quaterdecies del d. lgs. n.196/2003 recante il “Codice in materia di protezione dei dati personali”.
  9. Cfr. Art. 82 del Regolamento (UE) 2016/679 Diritto al risarcimento e responsabilità1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile. 4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato. 5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2. 6. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2.
  10. Per ragioni di brevità non si approfondisce in questa sede il tema, seppur assai dibattuto, della responsabilità, anche penale, collegiale o meno, del Consiglio di Amministrazione.
  11. Cfr. d.lgs. 231/2001 – Art. 24 bis. – Delitti informatici e trattamento illecito di dati 1.I n relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote. 2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all’ente la sanzione pecuniaria sino a trecento quote. 3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, e dei delitti di cui all’articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105, si applica all’ente la sanzione pecuniaria sino a quattrocento quote. 4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e).
WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA
D
Massimo Davi
avvocato
Argomenti trattati

Approfondimenti

D
data protection
G
GDPR

Articolo 1 di 5