Privacy e 231: strumenti di governance

29/10/2013
di Leonardo

Europa vs ItaliaCon la L. 119/13 di conversione del d.l. 93/13, in vigore dal 16 ottobre 2013, il legislatore è tornato sui propri passi, cancellando il comma 2 dell’art. 9 del d.l. 93/13 che aveva inserito nel novero dei reati–presupposto, capaci di fondare una responsabilità dell’ente ex d.lgs. 231/01, i delitti privacy. All’art 24 bis del d.lgs.231/01 erano stati infatti introdotti: il trattamento illecito di dati (art. 167 d.lgs.196/03), la falsità nelle dichiarazioni e notificazioni al Garante (art. 168 d.lgs.196/03) e l’inosservanza di provvedimenti del Garante (art. 170 d.lgs.196/03). In relazione alla commissione di questo tipo di reati, l’ente rischiava una sanzione pecuniaria che poteva oscillare tra le 100 e le 500 quote (l’importo di ciascuna quota  varia da un minimo di € 258 fino a un massimo di € 1.549), oltre all’applicazione di sanzioni interdittive: l’interdizione dall’esercizio dell’attività; la sospensione o revoca di autorizzazione, licenze o concessioni funzionali alla commissione dell’illecito; il divieto di pubblicizzare beni e servizi.

Era evidente, per dirla con le parole della Suprema Corte, la portata innovativa del provvedimento “soprattutto per la configurazione della responsabilità da reato per l’illecito trattamento dei dati personali. Si tratta, infatti, di una violazione potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del DLgs. 231/2001”.

L’inserimento nell’articolo 24 bis dei delitti privacy avrebbe peraltro completato l’originaria architettura normativa dell’articolo in esame, rubricato sin dalla sua introduzione nel 2008 “Delitti informatici e trattamento illecito dei dati”.

Se la normativa privacy è sempre stata dunque norma di riferimento, l’introduzione nel catalogo dei reati 231 dei delitti sopra richiamati, l’avrebbe definitivamente consacrata strumento di governance a tutti gli effetti, destinata ad integrarsi ed armonizzarsi con quelli già operativi.

Così non è stato, in sede di conversione si è fatta marcia indietro e la L.119/13 si è inserita nel solco di quella serie di provvedimenti tesi a ridimensionare la portata del Codice Privacy: si ricordi come con il D.L.5/12, convertito nella L.35/12, in nome di una presunta “semplificazione”, sia stato soppresso l’obbligo di predisporre e aggiornare il documento programmatico della sicurezza, (DPS). Documento che a tutt’oggi rimane l’unico riferimento completo da poter esibire in caso di controllo o che possa conferire oggettiva continuità alle attività privacy all’interno delle aziende, permanendo peraltro tutti gli obblighi normativi connessi agli adempimenti di base ed alle misure di sicurezza.

Ancora una volta il mondo imprenditoriale ha tentato di liberarsi dalle regole privacy, ritenute un costo e un inutile appesantimento. Ebbene il legislatore italiano si muove in assoluta controtendenza rispetto a quello europeo, e non si sa nemmeno sin dove con effettivo vantaggio dell’azienda. Il Regolamento Europeo sulla protezione dei dati personali, in corsa verso l’approvazione definitiva ottenuta la quale sarà immediatamente applicabile in tutti gli Stati membri, nel garantire una più penetrante protezione dei dati nonché un’armonizzazione della normativa UE in materia, approccia e concepisce la privacy come strumento di governance.

Il Regolamento Europeo infatti fa espresso riferimento:

  • alla “valutazione dei rischi”;
  • all’adozione di “misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta e alla natura dei dati personali da proteggere”: ovverosia modelli organizzativi idonei a tutelare i dati (si veda l’art.6 del d.lgs.231/01);
  • all’onere, in capo a chi tratta i dati, di dimostrare “l’adozione di politiche e l’attuazione di misure adeguate a garantire che il trattamento dei dati personali venga effettuato conformemente al Regolamento”, gravando altresì sul responsabile del trattamento l’onere di “mettere in atto meccanismi per assicurare la verifica dell’efficacia delle suddette misure”: (“il modello deve essere adottato ed efficacemente attuato” art.6 del d.lgs.231/01);
  • alla designazione del data protection officer, DPO, (il responsabile della protezione dati), figura con competenze giuridiche e informatiche, che coadiuva i vertici aziendali nel progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, curando l’adozione di un complesso di misure di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge. Una figura dotata di autonomia, indipendenza, nonché di un proprio bugdet per l’esercizio delle proprie funzioni, affine a quella del membro dell’OdV nel modello 231;
  • ad un sistema sanzionatorio volto a garantire l’effettività e l’efficacia della risposta sanzionatoria;

Di tutta evidenza le analogie che privacy e modello 231 palesano, condividendo architettura e istituti fondanti.

Il legislatore europeo segna dunque la strada: la gestione dei dati personali da parte delle aziende deve necessariamente tradursi in un sistema di governance che andrà ad integrarsi con quelli già esistenti. Il ritardo del nostro legislatore amplierà ancora di più le difficoltà applicative per quelle grandi realtà che si ritroveranno a breve costrette ad applicare una normativa completamente basata sulla sostanza di tutela organizzativa ed informatica e poco sugli aspetti documentali sino ad oggi valorizzati dal nostro legislatore.

Riproduzione riservata ©

ALTRE NEWS

Trasporto e stoccaggio: istanza di verifica preliminare ed allungamento dei tempi di conservazione

La conservazione dei dati è uno dei temi di maggior interesse con cui le imprese si confrontano al momento dell’installazione del sistema di videosorveglianza, soprattutto laddove sia… Leggi Tutto

Timbratura tramite smartphone? Sì, ma occhio alla privacy

Oggigiorno si assiste alla diffusione e alla progettazione di nuovi strumenti che possono accelerare il lavoro nelle aziende e diminuire gli scarti e le perdite…. Leggi Tutto

Assolto per curiosità dal reato di accesso abusivo

Costituisce reato consultare dati presso il data base aziendale senza alcun specifico motivo di lavoro? Cioè solo per dare un’occhiata ai fatti altrui? No, sembrerebbe… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.