Privacy e 231: strumenti di governance

29/10/2013
di roberto

Europa vs ItaliaCon la L. 119/13 di conversione del d.l. 93/13, in vigore dal 16 ottobre 2013, il legislatore è tornato sui propri passi, cancellando il comma 2 dell’art. 9 del d.l. 93/13 che aveva inserito nel novero dei reati–presupposto, capaci di fondare una responsabilità dell’ente ex d.lgs. 231/01, i delitti privacy. All’art 24 bis del d.lgs.231/01 erano stati infatti introdotti: il trattamento illecito di dati (art. 167 d.lgs.196/03), la falsità nelle dichiarazioni e notificazioni al Garante (art. 168 d.lgs.196/03) e l’inosservanza di provvedimenti del Garante (art. 170 d.lgs.196/03). In relazione alla commissione di questo tipo di reati, l’ente rischiava una sanzione pecuniaria che poteva oscillare tra le 100 e le 500 quote (l’importo di ciascuna quota  varia da un minimo di € 258 fino a un massimo di € 1.549), oltre all’applicazione di sanzioni interdittive: l’interdizione dall’esercizio dell’attività; la sospensione o revoca di autorizzazione, licenze o concessioni funzionali alla commissione dell’illecito; il divieto di pubblicizzare beni e servizi.

Era evidente, per dirla con le parole della Suprema Corte, la portata innovativa del provvedimento “soprattutto per la configurazione della responsabilità da reato per l’illecito trattamento dei dati personali. Si tratta, infatti, di una violazione potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del DLgs. 231/2001”.

L’inserimento nell’articolo 24 bis dei delitti privacy avrebbe peraltro completato l’originaria architettura normativa dell’articolo in esame, rubricato sin dalla sua introduzione nel 2008 “Delitti informatici e trattamento illecito dei dati”.

Se la normativa privacy è sempre stata dunque norma di riferimento, l’introduzione nel catalogo dei reati 231 dei delitti sopra richiamati, l’avrebbe definitivamente consacrata strumento di governance a tutti gli effetti, destinata ad integrarsi ed armonizzarsi con quelli già operativi.

Così non è stato, in sede di conversione si è fatta marcia indietro e la L.119/13 si è inserita nel solco di quella serie di provvedimenti tesi a ridimensionare la portata del Codice Privacy: si ricordi come con il D.L.5/12, convertito nella L.35/12, in nome di una presunta “semplificazione”, sia stato soppresso l’obbligo di predisporre e aggiornare il documento programmatico della sicurezza, (DPS). Documento che a tutt’oggi rimane l’unico riferimento completo da poter esibire in caso di controllo o che possa conferire oggettiva continuità alle attività privacy all’interno delle aziende, permanendo peraltro tutti gli obblighi normativi connessi agli adempimenti di base ed alle misure di sicurezza.

Ancora una volta il mondo imprenditoriale ha tentato di liberarsi dalle regole privacy, ritenute un costo e un inutile appesantimento. Ebbene il legislatore italiano si muove in assoluta controtendenza rispetto a quello europeo, e non si sa nemmeno sin dove con effettivo vantaggio dell’azienda. Il Regolamento Europeo sulla protezione dei dati personali, in corsa verso l’approvazione definitiva ottenuta la quale sarà immediatamente applicabile in tutti gli Stati membri, nel garantire una più penetrante protezione dei dati nonché un’armonizzazione della normativa UE in materia, approccia e concepisce la privacy come strumento di governance.

Il Regolamento Europeo infatti fa espresso riferimento:

  • alla “valutazione dei rischi”;
  • all’adozione di “misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta e alla natura dei dati personali da proteggere”: ovverosia modelli organizzativi idonei a tutelare i dati (si veda l’art.6 del d.lgs.231/01);
  • all’onere, in capo a chi tratta i dati, di dimostrare “l’adozione di politiche e l’attuazione di misure adeguate a garantire che il trattamento dei dati personali venga effettuato conformemente al Regolamento”, gravando altresì sul responsabile del trattamento l’onere di “mettere in atto meccanismi per assicurare la verifica dell’efficacia delle suddette misure”: (“il modello deve essere adottato ed efficacemente attuato” art.6 del d.lgs.231/01);
  • alla designazione del data protection officer, DPO, (il responsabile della protezione dati), figura con competenze giuridiche e informatiche, che coadiuva i vertici aziendali nel progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, curando l’adozione di un complesso di misure di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge. Una figura dotata di autonomia, indipendenza, nonché di un proprio bugdet per l’esercizio delle proprie funzioni, affine a quella del membro dell’OdV nel modello 231;
  • ad un sistema sanzionatorio volto a garantire l’effettività e l’efficacia della risposta sanzionatoria;

Di tutta evidenza le analogie che privacy e modello 231 palesano, condividendo architettura e istituti fondanti.

Il legislatore europeo segna dunque la strada: la gestione dei dati personali da parte delle aziende deve necessariamente tradursi in un sistema di governance che andrà ad integrarsi con quelli già esistenti. Il ritardo del nostro legislatore amplierà ancora di più le difficoltà applicative per quelle grandi realtà che si ritroveranno a breve costrette ad applicare una normativa completamente basata sulla sostanza di tutela organizzativa ed informatica e poco sugli aspetti documentali sino ad oggi valorizzati dal nostro legislatore.

Riproduzione riservata ©

ALTRE NEWS

Copyright: a chi compete la giurisdizione in caso di più Stati UE coinvolti?

La tutela della proprietà intellettuale compete al giudice dello stato di residenza dell’autore vittima della violazione in riferimento soltanto al danno causato nel territorio in… Leggi Tutto

Controllo degli accessi ad internet ed alla posta del dipendente

La Corte di Cassazione ha stabilito che il datore di lavoro non può controllare gli accessi a internet ed alla posta elettronica fatti dai dipendenti… Leggi Tutto

La divulgazione dei messaggi scambiati in una mailing list viola la riservatezza

L´ambito nel quale, certamente, la rivoluzione tecnologica degli ultimi anni ha inciso con maggiore forza è quello delle comunicazioni: la possibilità, prima sconosciuta, di interagire… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.