Home / Blog / Privacy e 231: strumenti di governance

Privacy e 231: strumenti di governance

Inserito da Avv. Novella Quilici 29 Ottobre 2013 in Reati informatici 231

Europa vs ItaliaCon la L. 119/13 di conversione del d.l. 93/13, in vigore dal 16 ottobre 2013, il legislatore è tornato sui propri passi, cancellando il comma 2 dell’art. 9 del d.l. 93/13 che aveva inserito nel novero dei reati–presupposto, capaci di fondare una responsabilità dell’ente ex d.lgs. 231/01, i delitti privacy. All’art 24 bis del d.lgs.231/01 erano stati infatti introdotti: il trattamento illecito di dati (art. 167 d.lgs.196/03), la falsità nelle dichiarazioni e notificazioni al Garante (art. 168 d.lgs.196/03) e l’inosservanza di provvedimenti del Garante (art. 170 d.lgs.196/03). In relazione alla commissione di questo tipo di reati, l’ente rischiava una sanzione pecuniaria che poteva oscillare tra le 100 e le 500 quote (l’importo di ciascuna quota  varia da un minimo di € 258 fino a un massimo di € 1.549), oltre all’applicazione di sanzioni interdittive: l’interdizione dall’esercizio dell’attività; la sospensione o revoca di autorizzazione, licenze o concessioni funzionali alla commissione dell’illecito; il divieto di pubblicizzare beni e servizi.

Era evidente, per dirla con le parole della Suprema Corte, la portata innovativa del provvedimento “soprattutto per la configurazione della responsabilità da reato per l’illecito trattamento dei dati personali. Si tratta, infatti, di una violazione potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del DLgs. 231/2001”.

L’inserimento nell’articolo 24 bis dei delitti privacy avrebbe peraltro completato l’originaria architettura normativa dell’articolo in esame, rubricato sin dalla sua introduzione nel 2008 “Delitti informatici e trattamento illecito dei dati”.

Se la normativa privacy è sempre stata dunque norma di riferimento, l’introduzione nel catalogo dei reati 231 dei delitti sopra richiamati, l’avrebbe definitivamente consacrata strumento di governance a tutti gli effetti, destinata ad integrarsi ed armonizzarsi con quelli già operativi.

Così non è stato, in sede di conversione si è fatta marcia indietro e la L.119/13 si è inserita nel solco di quella serie di provvedimenti tesi a ridimensionare la portata del Codice Privacy: si ricordi come con il D.L.5/12, convertito nella L.35/12, in nome di una presunta “semplificazione”, sia stato soppresso l’obbligo di predisporre e aggiornare il documento programmatico della sicurezza, (DPS). Documento che a tutt’oggi rimane l’unico riferimento completo da poter esibire in caso di controllo o che possa conferire oggettiva continuità alle attività privacy all’interno delle aziende, permanendo peraltro tutti gli obblighi normativi connessi agli adempimenti di base ed alle misure di sicurezza.

Ancora una volta il mondo imprenditoriale ha tentato di liberarsi dalle regole privacy, ritenute un costo e un inutile appesantimento. Ebbene il legislatore italiano si muove in assoluta controtendenza rispetto a quello europeo, e non si sa nemmeno sin dove con effettivo vantaggio dell’azienda. Il Regolamento Europeo sulla protezione dei dati personali, in corsa verso l’approvazione definitiva ottenuta la quale sarà immediatamente applicabile in tutti gli Stati membri, nel garantire una più penetrante protezione dei dati nonché un’armonizzazione della normativa UE in materia, approccia e concepisce la privacy come strumento di governance.

Il Regolamento Europeo infatti fa espresso riferimento:

  • alla “valutazione dei rischi”;
  • all’adozione di “misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato, in relazione ai rischi che il trattamento comporta e alla natura dei dati personali da proteggere”: ovverosia modelli organizzativi idonei a tutelare i dati (si veda l’art.6 del d.lgs.231/01);
  • all’onere, in capo a chi tratta i dati, di dimostrare “l’adozione di politiche e l’attuazione di misure adeguate a garantire che il trattamento dei dati personali venga effettuato conformemente al Regolamento”, gravando altresì sul responsabile del trattamento l’onere di “mettere in atto meccanismi per assicurare la verifica dell’efficacia delle suddette misure”: (“il modello deve essere adottato ed efficacemente attuato” art.6 del d.lgs.231/01);
  • alla designazione del data protection officer, DPO, (il responsabile della protezione dati), figura con competenze giuridiche e informatiche, che coadiuva i vertici aziendali nel progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, curando l’adozione di un complesso di misure di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge. Una figura dotata di autonomia, indipendenza, nonché di un proprio bugdet per l’esercizio delle proprie funzioni, affine a quella del membro dell’OdV nel modello 231;
  • ad un sistema sanzionatorio volto a garantire l’effettività e l’efficacia della risposta sanzionatoria;

Di tutta evidenza le analogie che privacy e modello 231 palesano, condividendo architettura e istituti fondanti.

Il legislatore europeo segna dunque la strada: la gestione dei dati personali da parte delle aziende deve necessariamente tradursi in un sistema di governance che andrà ad integrarsi con quelli già esistenti. Il ritardo del nostro legislatore amplierà ancora di più le difficoltà applicative per quelle grandi realtà che si ritroveranno a breve costrette ad applicare una normativa completamente basata sulla sostanza di tutela organizzativa ed informatica e poco sugli aspetti documentali sino ad oggi valorizzati dal nostro legislatore.

Don`t copy text!