Il trattamento illecito dei dati nello studio professionale - Riskmanagement

Compliance

Il trattamento illecito dei dati nello studio professionale: la valutazione del rischio

Anche se non è richiesta l’adozione di un modello organizzativo di cui al D. Lgs. 231/01, i criteri di mappatura e valutazione del rischio reato possono essere traslati anche agli studi professionali, partendo dall’assunto che l’assessment sul rischio reato abbia a oggetto campi di indagine non completamente sovrapponibili alla DPIA in ambito GDPR

01 Feb 2021

Massimo Davi

avvocato Cassazionista - Penalista - Legal & 231 Compliance Consultant

Parliamo della gestione compliant dei dati personali nell’ambito di una “organizzazione” inquadrabile come studio professionale, ma limitando l’indagine alla valutazione e gestione del rischio di commissione del reato di cui all’art. 167 D. Lgs. 196/2003.

L’approccio alla gestione dei dati personali negli studi professionali presenta molteplici e sfaccettate peculiarità che in parte sono conseguenza diretta del fatto che tali “organizzazioni” non prediligano affatto paragonarsi dal punto di vista organizzativo a delle “imprese”; per altra parte dipendono dalla estrema variabilità dimensionale, con le conseguenze del caso in ambito gestionale; infine, discendono dal fatto che sono regolate da differenti plurimi sistemi normativi, tra cui i codici deontologici, che già autonomamente impongono agli iscritti agli albi professionali il rispetto di regole di condotta rigorose.

Non si intende in questa sede affrontare la tematica riferendosi esclusivamente alla disciplina di cui al Regolamento (UE) 2016/679 ma, e in prospettiva penalistica, restringere il campo alla mappatura, valutazione e mitigazione del “rischio reato” per come precisato, partendo dal presupposto che esso sia differente dai rischi valutati in sede di DPIA nell’ambito delle norme di cui al GDPR.

In tale ottica si dà per assodato che l’ipotetica “organizzazione” cui ci si riferisca sia compliant rispetto alla disciplina di cui al GDPR, senza addentrarsi nelle tematiche proprie di essa che saranno, di volta in volta, solo richiamate in relazione all’eventuale “rischio reato” ad esse sotteso.

Affrontiamo la questione in termini generali, con la consapevolezza che, a seconda dell’attività svolta dal singolo studio professionale, cambi radicalmente il volume e la qualità dei dati personali trattati e, dunque, anche il rischio astratto di commissione di “trattamenti illeciti di essi” da parte di soggetti interni allo studio. Né può sottovalutarsi come l’ambito professionale e la dimensione dell’organizzazione possano ampliare o limitare il rischio evidenziato, imponendo misure di mitigazione molto diverse a seconda dei casi.

Gli effetti della pandemia da Covid-19 sul lavoro degli studi professionali

Si pensi a uno studio medico o dentistico di media dimensione che certamente avrà implementato procedure e presidi ben più complessi, strutturati, verificati rispetto a quelli messi in campo da uno studio legale medio-piccolo, in cui l’approccio alla materia del trattamento dei dati personali e della loro tutela spesso si limita ancora al “mero” fornire al cliente una informativa.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Per alcuni ambiti di attività, la pandemia da Covid-19, avendo accelerato e largamente diffuso l’applicazione di forme di lavoro agile, ampliato il perimetro fisico dello studio professionale secondo prospettive di smart working, favorito l’utilizzo di soluzioni cloud, nella prospettiva dell’aggravamento del rischio in parola ha aumentato le potenziali minacce.

L’art. 167 del D. Lgs. 196/2003 prevede che “chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi[1] per poi precisare come (comma II) “chiunque, al fine di trarre per sé o per altri profitto, ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all’articolo 2-septies ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2-quinquiesdecies arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni”.

Rivolgendo in particolar modo l’attenzione a quanto disciplinato nel comma secondo dell’articolo che precede, si consideri come, in linea di principio, il titolare del trattamento di uno studio professionale, all’esito di una valutazione di impatto e predisponendo le migliori policy volte a garantire la sicurezza del trattamento dei dati personali transitanti nell’alveo della propria attività, avrà svolto un assessment tale da evidenziare i rischi nella gestione dei dati personali nella sua organizzazione, e ciò secondo il principio di accountability.

studio professionale

Effetti dell’art 167 del D. Lgs 196/2003

All’esito di tale attività di ricognizione lo studio sarà verosimilmente dotato di:

  • un organigramma e di un sistema gerarchico in cui saranno riassunti i rapporti tra i soggetti qualificati in ambito GDPR (titolare, responsabile e incaricato del trattamento) e gli altri a qualunque titolo coinvolti dalla gestione dei dati
  • un registro dei trattamenti esplicitante i processi da governare e vigilare
  • ulteriori procedure organizzative (tecniche e informatiche) tali da difendere il perimetro dell’attività da indebite intrusioni o sottrazioni o distruzioni di dati.

A lato di ciò verrà implementato il sistema informativo verso l’interessato per il tramite del quale saranno esplicitati allo stesso i diritti e le facoltà cui egli possa accedere.

L’articolo 167, per vero, impone di guardare questo sistema che assumiamo, come detto in apertura, “perfetto” da una diversa prospettiva: il soggetto agente, per come descritto dalla norma, nel porre in essere le condotte di reato tipiche ivi descritte, e sussumibili nella nozione di “trattamento illecito”, agirà dolosamente, perseguendo peraltro gli scopi “ulteriori” di ottenere un profitto ovvero di arrecare un danno.

Inoltre, egli non coinciderà necessariamente con il titolare del trattamento, ovvero con gli altri soggetti richiamati dal GDPR o con chiunque interno all’organizzazione, ma potrà essere “chiunque” anche al di fuori di essa.

Paradossalmente, il titolare del trattamento, ma nella prospettiva che occupa anzitutto in veste di titolare dello studio, sarebbe il primo “danneggiato” dal reato in parola, sebbene non “interessato” nel senso di cui al GDPR rispetto ai dati personali illecitamente trattati.

Emerge, dunque, come non si possa affatto escludere che un sistema GDPR adeguato necessiti di precipue integrazioni (originate dalla valutazione del rischio reato) in grado di preservare l’organizzazione dal trattamento illecito di dati posto in essere da soggetti a essa interni o estranei.

Se, per vero, il rischio di apprensione dall’esterno di dati personali da parte di soggetti non riconducibili allo studio professionale imporrà il rafforzamento del perimetro digitale, in parte diversi saranno i presidi da adottare con riguardo ai collaboratori e ai dipendenti.

I protocolli e le procedure finalizzate alla corretta gestione dei dati personali in prospettiva GDPR, infatti, assolvono fisiologicamente lo scopo di evitare dispersioni accidentali di essi, o trattamenti “abusivi” tali da comprometterne la riservatezza: ne consegue che l’alveo naturale di riferimento con riguardo alle sanzioni, rispetto ad eventuali condotte illegittime, saranno le disposizioni del GDPR medesimo e la giurisdizione di riferimento quella del Garante.

L’integrazione con il D. Lgs. 231/2001

Il reato di cui all’art. 167 D. Lgs. 196/2003 va, per vero, “oltre” la fisiologia, presupponendo che il sistema organizzato sia attaccato da un agente patogeno.

E allora, per fronteggiare adeguatamente il “rischio” di commissione di condotte di reato che abbiano a oggetto il trattamento illecito di dati – e che siano perpetrate dolosamente per perseguire un profitto o arrecare un danno – il “titolare” dello studio (inteso in senso più ampio, dunque, che non alla nozione di “titolare del trattamento” in sede di GDPR) dovrà adottare protocolli e procedure ulteriori e concettualmente più vicine a quelle del sistema di cui al D. Lgs. 231/2001, che non ai presidi già implementati per la gestione compliant dei dati personali.

Il “manuale” privacy sarà, infatti, un “presupposto” necessario, ma nella prospettiva evidenziata non necessariamente sufficiente, a scongiurare il rischio reato.

La valutazione d’impatto dei dati (DPIA) sarà il punto di partenza fondamentale per impedire “anche” che siano commessi reati informatici nell’ambito dell’organizzazione poiché, in seguito a tale assessment, saranno implementati controlli e presidi procedurali certamente in grado di mitigare buona parte dei rischi.

Ma se ci si fermasse a tale valutazione l’effetto impeditivo rispetto al trattamento abusivo dei dati, impatterebbe in prima battuta solo sui soggetti interni all’organizzazione medesima, e nell’alveo delle attività ordinarie di essa.

Il rischio di commissione di reati presuppone che si valuti l’eccezione, la straordinarietà, la patologia che di per sé è estranea al sistema e, dunque, proprio per tale ragione che si implementino presidi aggiuntivi e che, paradossalmente, possano non aver nulla a che fare con quelli già predisposti in ambito GDPR.

Se è vero che la Cassazione identifica il danno dalla diffusione illegittima di dati in qualsiasi pregiudizio giuridicamente rilevante per il soggetto passivo (“L’art. 167, comma 2, d.lgs. n. 196/2003 non ponendo alcuna precisazione su di esso consente che esso si manifesti in qualsiasi pregiudizio giuridicamente rilevante per il soggetto passivo”, Cass. Pen. sez. III, 13/03/2019, n. 20013) allora parimenti ampio e variegato potrà essere il novero delle condotte con cui il reato si manifesti.

Questo rapporto di strumentalità tra i presidi a tutela dei dati, per come integrati in ossequio alle norme di cui al GDPR, rispetto all’esigenza ulteriore di mitigare i rischi da reato pare ben esplicitato proprio dall’art. 24bis del D. Lgs. 231/01 la cui rubricaDelitti informatici e trattamento illecito di dati” appare particolarmente significativa.

Il fatto che tra i reati presupposto ivi indicati non ci sia il “trattamento illecito” di dati di cui all’art. 167 del D. Lgs. 196/2003 evidenzia come esso, nella prospettiva che quivi si indaga, non possa non avvenire se non mediante la commissione di un altro reato informatico, e in particolare di un delitto tra quelli richiamati dalla norma.

Il più frequente di essi potrà, in questa prospettiva, essere quello di cui all’art. 615-ter c.p. “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni” ma, per aver idea di quanto possa essere amplia la platea delle condotte potenzialmente impattanti sull’organizzazione si ricordi, anche, la recente sentenza (Cass. n. 11959/2020) con la quale è stato affermato che il “dato informatico” possa considerarsi un bene suscettibile di appropriazione ex 646 c.p. “i dati informatici, contenenti file, sono qualificabili come cose mobili ai sensi della legge penale e, pertanto, costituisce condotta di appropriazione indebita la sottrazione da un personal computer aziendale, affidato per motivi di lavoro, dei dati informatici ivi collocati, provvedendo successivamente alla cancellazione dei medesimi dati ed alla restituzione del computer formattato”.

Senza pretendere, quindi, che lo studio professionale adotti un modello organizzativo di cui al D. Lgs. 231/01, pare che i criteri di mappatura e valutazione del rischio reato (con riguardo al reato in parola) ivi definiti possano (debbano) essere traslati anche agli studi professionali partendo dall’assunto che lassessment sul rischio reato abbia ad oggetto campi di indagine non completamente sovrapponibili alla DPIA in ambito GDPR.

La maggiore cautela in caso di smart working

Maggiore, poi, è la cautela da adottarsi rispetto alle modalità organizzative intervenute in seguito alla pandemia da Covid-19.

In questo senso la circostanza per cui dipendenti e collaboratori di uno studio professionale (ancorché eventualmente soggetti al vincolo di segreto imposto dal loro codice deontologico) lavorino “altrove” rispetto ai locali dello studio medesimo – in modalità agile e facendo largo ricorso a soluzioni cloud da remoto – imporrà valutazioni dei rischi differenti rispetto a situazioni già valutate che prevedevano che le attività professionali si svolgessero solo nell’ambito fisico dello studio, all’esito delle quali, occorrendo, saranno rafforzati i presidi volti, per esempio, a garantire l’identità degli utenti che accedano a tali sistemi.

Potranno, per esempio, essere integrate le policy già esistenti con procedure ad hoc finalizzate alla protezione della confidenzialità, dell’integrità e la disponibilità dei dati imponendo l’accesso ad essi mediante identificazione, ovvero mediante registrazione di tutti gli accessi e le attività svolte da remoto.

Per prevenire attacchi dall’esterno, o perdita di dati, potranno per esempio essere implementati ulteriori protocolli di sicurezza con oggetto, per esempio, il corretto trasferimento dei dati su device personali dell’utente, ovvero l’implementazione di reti di trasmissione dati VPN.

Conclusioni

Concludendo, e ribadendo il presupposto per cui il reato è la patologia da curare prima che si diffonda in un sistema, un ruolo fondamentale sarà ricoperto dalla formazione di tutti i dipendenti e collaboratori dello studio professionale a fianco all’istituzione di regole generali volte a scongiurare che tali ultimi soggetti possano realizzare comportamenti che integrino le fattispecie di reato sopra considerate (art. 24-bis del d.lgs. 231/2001) o rendano pubbliche informazioni loro assegnate.

  1. L. art. 167, comma I, D. Lgs. 196/2003 con riguardo al trattamento dei dati dei contraenti ed utenti trattati da un fornitore “di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico” richiama l’art. 123 “Dati relativi al traffico”, l’art. 126 “Dati relativi all’ubicazione”, l’art. 129 “Elenchi dei contraenti” e l’art. 130 “Comunicazioni indesiderate”.

WHITEPAPER
Lo Smart working nel new normal: dall’implementazione all’assistenza
@RIPRODUZIONE RISERVATA
D
Massimo Davi
avvocato Cassazionista - Penalista - Legal & 231 Compliance Consultant

Articolo 1 di 5