Decreto Legislativo 231/01 e GDPR: due mondi apparentemente lontani
24 Luglio 2018
Come ormai sappiamo, il D.Lgs 231/01 ha introdotto il concetto di responsabilità amministrativa delle persone giuridiche, secondo cui i reati commessi dal singolo individuo nell’interesse oppure a vantaggio dell’azienda comportano un coinvolgimento penale dell’ente stesso.
L’obiettivo finale è certamente quello di evitare che venga commesso il reato e ciò può essere reso possibile grazie all’adozione di un modello organizzativo efficace che tra l’altro, se idoneo, è in grado di sollevare la persona giuridica da responsabilità in caso di reato.
Con questo articolo vogliamo mostrare come il D.Lgs 231/01 ed il GDPR siano due mondi solo apparentemente lontani, sia per quanto riguarda la struttura dell’impianto sia a livello contenutistico.
Che cosa si intende per GDPR?
Definiamo brevemente che cosa intendiamo con la sigla GDPR, di cui sicuramente tutti hanno sentito parlare, almeno negli ultimi mesi. Il General Data Protection Regulation è un regolamento europeo, il cui fine è quello di uniformare le leggi degli stati membri dell’UE in merito al trattamento dei dati personali.
Il regolamento appare complesso e articolato, si compone di ben 99 articoli e tratta numerosissime tematiche tra cui:
- La portabilità dei dati
- Il diritto all’oblio, secondo cui gli utenti possono chiedere di rimuovere informazioni che li riguardano
- L’obbligo di avvisare il soggetto coinvolto in caso si verifichi un data breach, ovvero una perdita da parte dell’azienda di informazioni sensibili
Tra D.Lgs 231/01 e GDPR
Com’è possibile che siano presenti dei punti di contatto tra il D.Lgs 231/01 e il GDPR?
Certamente per il fatto che alcune violazioni presupposte dalla responsabilità amministrativa delle imprese riguardano tipicamente aspetti connessi al trattamento dei dati, il più delle volte personali.
Sia con il Regolamento Ue 2016/679 che con il Decreto 231/01, viene posta particolare attenzione sul concetto di “responsabilizzazione”. Si tratta di un termine solo all’apparenza generico, ma in realtà importantissimo perché pone l’accento sul fatto che un ente e tutte le figure in esso coinvolte debbano necessariamente adottare comportamenti idonei alla prevenzione del reato. Sia in ambito privacy che in quello amministrativo quindi non ci sono scuse, le giuste precauzioni sono un ottimo punto di partenza.
La struttura del Decreto 231/01 prevede infatti che, qualora l’azienda abbia adottato e successivamente attuato un modello organizzativo idoneo a prevenire i reati, possa essere considerata innocente rispetto all’illecito commesso da una figura apicale.
Anche per quanto riguarda il Regolamento Ue 2016/679 risulta necessario adottare misure finalizzate ad assicurarne la corretta applicazione. Uno dei concetti più rilevanti introdotti con il GDPR è certamente il principio dell’accountability, che prevede -appunto- la responsabilizzazione del titolare di un trattamento dati nonché l’adozione da parte dello stesso di misure tecniche e operative per salvaguardarli.
La grandissima novità nel campo del trattamento dei dati personali introdotta con il nuovo regolamento consiste proprio nel fatto che sia il titolare a decidere le modalità, le garanzie ed i limiti del trattamento dei dati, nel rispetto della normativa.
In entrambi i casi, per poter ottenere il risultato finale -ovvero la prevenzione della commissione di un illecito (reato o trattamento inidoneo dei dati)- bisogna analizzare i possibili fattori di rischio. Individuarli, infatti, risulta essenziale per il passaggio dalla pura e semplice teoria alla pratica, grazie all’adozione di misure tecnico-amministrative utili (tra l’altro) a dimostrare l’effettiva responsabilizzazione da parte dell’ente.
Un obiettivo comune: la prevenzione del reato
Al fine di evitare la commissione di illeciti, è quindi necessario definire un organo di controllo interno:
1. DPO, la cui sigla identifica il ruolo del “Data Protection Officer”, per quanto riguarda il mondo della privacy. Si tratta di un professionista, dotato di competenze giuridiche, informatiche, di analisi e risk management. Il suo compito principale è quello di organizzare la gestione ed il trattamento dei dati personali, nel rispetto delle normative privacy nazionali ed europee.
2. OdV o meglio “Organismo di Vigilanza”. Come dice il nome stesso, è una figura molto importante nel contesto della normativa, ideata per consentire che il MOG venga effettivamente applicato e rispettato e che risulti funzionale alla prevenzione del reato.
I delitti informatici del D.Lgs 231/01 e la violazione dei dati
Sicuramente le strade delle due normative si incrociano nuovamente anche in questo frangente, considerando che il decreto legislativo 231/2001 prevede tra i reati alcuni delitti informatici strettamente connessi al trattamento illecito dei dati personali.
Proprio per questo motivo alcuni modelli organizzativi 231, elaborati da associazioni o enti, prevedono tra i soggetti da coinvolgere nella stesura e nell’applicazione del codice di comportamento un “responsabile privacy”.
Sintetizziamo ora i punti in comune tra D.Lgs 231/01 ed il Regolamento Ue 2016/679:
- Prevenzione e valutazione dei rischi attraverso un’attenta analisi di processi, attività e ruoli
- Individuazione, come secondo passo, delle misure di prevenzione o rimedio
- Formazione e istruzione, per consentire a tutto il personale una corretta applicazione delle misure preventive in senso pratico
- Organizzazioni di controllo, per verificare l’effettivo rispetto delle regole
.. Ed i punti di divergenza:
- Adeguarsi al GDPR è obbligatorio, fare un Modello 231 è fortemente consigliato per dimostrare l’innocenza dell’ente in seguito alla commissione di un reato
- I destinatari della formazione: in tema privacy risulta necessaria solo per coloro che sono direttamente sottoposti al trattamento di dati personali, in ambito 231/01, invece, chiunque può commettere un reato
- Svolgere la mansione del DPO può effettivamente risultare più rischioso rispetto a quella dell’OdV, considerando la frequenza degli interventi
Non vuoi incorrere in sanzioni?