Privacy aziendale: GDPR e D. Lgs 231/2001 - Riskmanagement

Compliance

La privacy in azienda: GDPR e D. Lgs. 231/2001, punti di contatto e divergenze

Tra le due normative vi sono profonde divergenze: la prima riguarda la meticolosità con cui il GDPR definisce l’ambito di applicazione dei modelli di organizzazione a protezione dei dati personali, non presente nel D. Lgs. 231/2001. Ma la differenza maggiore tra le due normative riguarda la loro differente ratio

07 Dic 2020

Giulio Guglielmotti

Avvocato praticante tirocinante giudiziario

Parlare di privacy in azienda presuppone inevitabilmente un confronto tra due discipline normative che costituiscono la struttura portante dell’argomento: il Regolamento Generale sulla Protezione Dati n. 679/2016 – GDPR e il D. Lgs. 231/2001 riguardante la responsabilità degli enti derivante da reati commessi dai dipendenti o da soggetti in posizioni apicali.

Il GDPR richiede la compliance aziendale

In particolare, il GDPR richiede l’adesione della compliance aziendale alla normativa in materia di privacy attraverso l’adozione degli strumenti necessari per assicurare il più alto grado di tutela dei dati personali estratti dai database aziendali, tramite l’adeguamento al GDPR dei c.d. MOG 231, ossia i modelli di organizzazione e gestione aziendale previsti dagli artt. 6 e 7 del D. Lgs. n. 231/2001, che contribuiscono a tipizzare il nesso di imputazione soggettiva della responsabilità delle persone giuridiche, articolandolo sulla base di categorie soggettive a cui appartengono gli autori del reato-presupposto e, più precisamente, del legame funzionale di questi con l’ente.

Tali modelli organizzativi privacy, tenendo conto dei rischi emergenti dalle attività aziendali che richiedono il trattamento dei dati personali ex art. 4 n. 2) del Regolamento n.679/2016, risultano quindi utili, se non fondamentali, per garantire la prevenzione dell’eventuale responsabilità dell’azienda derivante da reati commessi in suo vantaggio e/o interesse da dipendenti o soggetti in posizioni apicali all’interno della stessa.

Per comprendere la possibile armonizzazione delle due normative può risultare utile l’analisi dei punti di contatto e delle differenze tra i suddetti strumenti di compliance.

Un confronto normativo: l’Art. 25 del GDPR e l’Art. 6 comma 2 lett. b) del D. Lgs. 231/2001

L’Art. 25 del GDPR, nel definire la privacy by design al comma 1 (protezione dei dati fin dalla progettazione del sistema) e la privacy by default al comma 2 (protezione dei dati per impostazione predefinita), fa riferimento all’adozione, da parte del titolare del trattamento, di “misure tecniche e organizzative adeguate, in modo da attuare efficacemente i principi di protezione dei dati e da garantire nel trattamento i requisiti del Regolamento e la tutela dei diritti degli interessati”.

Analogamente, anche se in ambito differente dal data protection, l’Art. 6 comma 2 lett. b) del Dlgs. 231/2001, definendo i modelli di organizzazione e gestione dell’ente, stabilisce che questi devono “prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire”.

Appare oltremodo chiara l’armonia tra le due disposizioni che, pur normando aspetti differenti di compliance, convergono sulla necessità d’adozione di prassi standardizzate al fine di garantire la conformità delle attività aziendali alle normative vigenti e vagliare i rischi sottesi a tali attività, c.d. risk-based approach prerequisito per individuare misure tecniche e organizzative adeguate. Ed è proprio questo concetto che permette di introdurre un altro punto di intersezione tra le disposizioni normative esaminate. Infatti, in materia di data protection, esistono comportamenti scorretti ed eventi informatici malevoli che possono integrare fattispecie di reato, le quali, se derivanti da condotte di soggetti interni all’azienda, possono costituire il presupposto per innescare la responsabilità dell’ente stesso. In particolare, degni di nota sono:

  • Comportamenti degli insiders: comportamenti sleali e/o fraudolenti da parte dei dipendenti, che possono integrare il reato previsto e punito dall’art. 513 c.p. – Turbata libertà dell’industria o del commercio – delitto presupposto per configurare la responsabilità dell’impresa ex art. 25 bis.1 del D. Lgs. 231/2001. A fondamento della punibilità di tali fattispecie criminose vi è l’esigenza di tutelare l’esercizio leale ed ordinato dell’attività industriale o commerciale svolta dai privati[1];
  • Cyberattack: un malware o altro software malevolo, costituisce “l’arma del delitto” nei c.d. cybercrime, ossia condotte di cyber sabotaggio che mirano a generare il malfunzionamento delle macchine, l’indisponibilità o degrado degli strumenti, ad accedere a sistemi telematici senza autorizzazione, a intercettare informazioni in rete.

Questo aspetto verrà meglio analizzato nel prossimo paragrafo.

Reati informatici: la colpa organizzativa e il principio dell’accountability

È innegabile l’attuale elevato tasso di rischio per la riservatezza e l’integrità dei dati personali in ambito aziendale, infatti, nonostante la maggiore consapevolezza degli ultimi anni, ancora poche aziende sono realmente in grado di difendersi da cyber attack orientati in tal senso. E bene, in quest’ottica si pone la necessità di sviluppo di modelli organizzativi “integrati”, in grado di garantire adeguati livelli di privacy e allo stesso tempo di prevenire eventi indesiderati. I crimini informatici possono essere commessi in danno di alcune aziende e in vantaggio di altre da parte del personale interno, pertanto, l’adozione di MOG atti a prevenirli, esenterebbe l’impresa dalla responsabilità penale derivante da tali delitti commessi “nel loro interesse e/o in loro vantaggio” e al contempo, garantirebbe la tutela indiretta dei dati personali sottoposti a trattamento, in ossequio al GDPR.

L’art. 4 del GDPR, al punto 12, definisce il c.d. data breach, ossia la violazione dei dati personali[2], inteso come trattamento illecito degli stessi, che si verifica in tre categorie di eventi, come da linee guida WP29 adottate ai sensi degli artt. 33 e 34 del GDPR nel 2018:

  • Confidentialy breach: è il caso dell’accesso non autorizzato a dati personali, con potenziale divulgazione degli stessi;
  • Availability breach: si verifica quando i dati personali colpiti dall’attacco vengono alterati;
  • Integrity breach: comporta la modifica dei dati personali.
WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Sulla stessa linea d’onda si trovano gli artt. 24 e 24 bis del D.Lgs. 231/2001, non a caso rubricati “Indebita percezione di erogazioni, truffa in danno dello Stato o di ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di ente pubblico”[3] e “Delitti informatici e trattamento illecito dei dati”[4], che prevedono diverse categorie di cyber crime come reati presupposto all’innesco della responsabilità d’impresa. L’inserimento di tali reati nel D. Lgs. 231/01, pur non coprendo tutte le fattispecie previste nel GDPR, ha garantito che un solido nucleo di eventi criminosi, legati ai profili della protezione dei dati in ambito aziendale, venissero perseguiti anche in relazione alla responsabilità a carico dell’ente, con conseguente irrogazione di pesanti sanzioni pecuniarie e interdittive di cui all’art. 9 del D.Lgs. 231/01 dal carattere profondamente afflittivo per le imprese. Infatti, al verificarsi di un evento malevolo per la privacy, la normativa 231, insieme con il GDPR, costituirebbero il comune denominatore per la valutazione dell’eventuale responsabilità dell’ente per l’omissione colposa della predisposizione dei MOG funzionali ad evitare la commissione di data breach.

Pertanto, si evidenzia come entrambe le normative spingano sinergicamente verso una sempre crescente responsabilizzazione delle strutture aziendali, in relazione alle attività svolte: il presupposto del regime sanzionatorio ex D. Lgs. 231/2001 è quello della responsabilità colposa per mancata predisposizione delle misure necessarie ad impedire la commissione di reati nell’interesse o in vantaggio dell’azienda, da parte di soggetti interni ad essa, c.d. colpa organizzativa[5]. Mentre, uno dei pilastri del GDPR è il c.d. principio dell’accountability che, tralasciando la traduzione letterale, può essere assimilato al principio di responsabilità che comprende aspetti quali l’affidabilità e la competenza aziendale nella gestione dei dati personali, recepito all’art. 24 del GDPR il quale prevede che tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento[6].

Organi di sorveglianza a confronto: DPO e OdV

L’ultimo punto da affrontare è quello relativo agli organismi di vigilanza e controllo previsti dalla normativa 231 e dal GDPR. La 231 introduce l’OdV, Organismo di Vigilanza, mentre in tema di privacy viene introdotto il DPO, Data Protection Officer. Entrambi, in posizione di terzietà rispetto agli interessi aziendali, possiedono compiti di sorveglianza in merito alla corretta adozione e implemento degli strumenti di compliance, inoltre, agiscono in autonomia relativamente alla gestione dei flussi d’informazioni di cui sono destinatari e che hanno ad oggetto la violazione di MOG con conseguente incremento del rischio di commissione di reati (all’attenzione dell’OdV ai sensi dell’art. 6, comma 2 lett. b) del D. Lgs. 231/2001), oppure di data breach, valutati dal DPO (artt.37, 38 e 39 del GDPR).

A questo punto, potrebbe sembrare che le due figure siano perfettamente sovrapponibili, e che addirittura i loro compiti possano essere svolti dalla stessa persona o dallo stesso team in azienda. In realtà non è così, infatti, oltre al dato normativo in base al quale l’OdV, ai sensi dell’art. 6 del D. Lgs. 231/2001, è necessario ai fini dell’adeguamento delle prassi aziendali alla normativa in materia, mentre il DPO, in base all’art. 37 comma 1 del GDPR, deve essere individuato solo in relazione a determinate circostanze specificamente indicate nella norma[7], la sovrapponibilità delle due figure è da escludersi in considerazione della salvaguardia della terzietà e autonomia dei ruoli. Il DPO ha, tra l’altro, il compito di monitorare e verificare il corretto trattamento dei dati posto in essere dall’OdV, nell’esercizio delle sue funzioni, e quest’ultimo ha, a sua volta, lo specifico compito di verificare il corretto adempimento, da parte del DPO, delle prescrizioni impartite dai MOG adottati in azienda, pertanto, le due figure non possono concretizzarsi in un unicum operativo.

Conclusioni

In conclusione, si può affermare che proprio il confronto tra i ruoli dell’OdV e del DPO sintetizza il rapporto che lega le normative oggetto di analisi. Così come gli organi di vigilanza, pur cooperando tra loro al fine di garantire il rispetto delle prescrizioni tanto in materia di protezione dei dati personali quanto in materia di responsabilità degli Enti, sono sempre due ruoli distinti e non sovrapponibili, anche le normative, considerate nel loro complesso, pur sembrando complementari, non devono trarre in inganno l’imprenditore che, con l’obiettivo di contenere i costi derivanti dall’adozione di tali sistemi di compliance, può convincersi erroneamente che il modello organizzativo 231 esaurisca in maniera completa tutti gli aspetti di programmazione e di formazione imposti dal GDPR.

In realtà, tra le due normative vi sono profonde divergenze. La prima riguarda la meticolosità con cui il GDPR definisce l’ambito di applicazione dei modelli di organizzazione a protezione dei dati personali, di certo non presente nel D.Lgs. 231/2001 che lascia una maggiore discrezionalità alla valutazione dell’OdV. Poi la più grande differenza tra le due normative riguarda la loro differente ratio: con la normativa 231, infatti, il legislatore ha deciso di superare il brocardo latino “societas delinquere non potest”, implementando l’adozione di regole di comportamento che orientino l’agire delle imprese verso la prevenzione ragionevole del rischio-reato e, dunque, in direzione della legalità[8]. Pertanto, la portata del D.Lgs. è limitata alla punibilità dell’ente per non aver adottato ed efficacemente attuato modelli di organizzazione al fine di prevenire la commissione di reati commessi nel suo interesse e/o a suo vantaggio da coloro che rivestono posizioni di vertice al suo interno ovvero da chi è sottoposto alla direzione dei primi, non prevedendo la punibilità degli illeciti commessi in danno dell’azienda stessa, ovvero nel suo interesse e/o vantaggio da soggetti estranei all’organizzazione imprenditoriale. Di certo una tutela ridotta rispetto a quella del GDPR che, prevedendo la salvaguardia dei dati personali delle persone fisiche nel suo complesso, non distingue se il reato è commesso nell’interesse dell’ente o meno, ma ne prevede la punibilità sia che questo venga commesso in vantaggio sia in danno dell’impresa, con condotte provenienti da soggetti interni o esterni ad essa, senza alcuna differenza, ne tantomeno attribuisce valore scriminante all’adozione di MOG da parte dell’ente.

Quindi, l’armonizzazione delle due normative può essere garantita solo pensando a modelli di organizzazione e gestione integrati con le disposizioni in materia di privacy, così come accennato in apertura, visto che l’adozione di soli modelli di compliance 231 non esenta l’azienda dai rischi legati alla violazione della privacy. Naturalmente, l’ultima parola spetterà sempre all’imprenditore che, tenendo presente le dimensioni dell’azienda e la necessità di uniformare le prassi aziendali alle normative analizzate, dovrà decidere la portata che vorrà dare a tali modelli di organizzazione integrati all’interno della propria azienda.

  1. G. Gambogi, Diritto Penale d’impresa nel suo aspetto pratico, Giuffrè Editore, Milano, 2018.
  2. Art. 4, punto 12, Regolamento Ue n. 679/2016: «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
  3. Art. 24 D. Lgs. 231/01: 1. In relazione alla commissione dei delitti di cui agli articoli 316-bis, 316-ter, 640, comma 2, n. 1, 640-bis e 640-ter se commesso in danno dello Stato o di altro ente pubblico, del codice penale, si applica all’ente la sanzione pecuniaria fino a cinquecento quote. 2. Se, in seguito alla commissione dei delitti di cui al comma 1, l’ente ha conseguito un profitto di rilevante entità o è derivato un danno di particolare gravità; si applica la sanzione pecuniaria da duecento a seicento quote. 3. Nei casi previsti dai commi precedenti, si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e).
  4. Art. 24 bis D .Lgs. 231/01: 1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote. 2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all’ente la sanzione pecuniaria sino a trecento quote. 3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, e dei delitti di cui all’articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105, si applica all’ente la sanzione pecuniaria sino a quattrocento quote. 4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e).
  5. Nella Sentenza n. 36083/09, la Cassazione ha spiegato che la mancata adozione di tali misure (MOG) è sufficiente a costituire quella “rimproverabilità” per l’evento delittuoso commesso da soggetti interni all’azienda, nell’interesse o in vantaggio di quest’ultima, specificando che “in tale concetto di rimproverabilità è implicata una forma nuova, normativa, di colpevolezza per omissione organizzativa e gestionale”.
  6. Tratto da Altalex: https://www.altalex.com/documents/news/2018/02/13/il-principio-di-accountability-uno-dei-pilastri-del-gdpr.
  7. Art. 37 comma 1 del GDPR: 1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
  8. Piergallini, “Paradigmatica dell’autocontrollo penale (dalla funzione alla struttura del “modello organizzativo” ex d.lg. n. 231/2001)”, I, 2013.

@RIPRODUZIONE RISERVATA
G
Giulio Guglielmotti
Avvocato praticante tirocinante giudiziario

Articolo 1 di 5