GDPR e MOG: contatti e divergenze tra accountability e compliance 231

La mappatura dei rischi e la predisposizione di specifiche misure di controllo rappresentano, sotto il profilo pratico, l’essenza del risk approach alla base, da un lato, dell’innovativo Regolamento comunitario 2016/679 in materia di trattamento dei dati personali e, dall’altro, del sistema dettato dal D.lsg. 231/2001 in tema di responsabilità degli enti, che si appresta, nel nostro ordinamento, al giro di boa dell’applicazione ventennale. 

La due discipline si palesano prima facie come due piani normativi il cui adeguamento si interseca in alcuni punti e si differenzia, talvolta anche in maniera significativa, in altri. 

L’attenzione rivolta al profilo sanzionatorio e i paventati principi comuni di fondo giustificano il sorgere di svariate questioni interpretative, che vedono tutte il loro punto di arrivo nella predisposizione di meccanismi di c.d. compliance integrata, valido obiettivo perseguito delle aziende virtuose.  

1. Il GDPR e il perno dell’accountability. 

La disciplina della protezione dei dati è ormai un sistema europeo, articolato nel Regolamento UE 2016/679 e nel Codice italiano (D. lgs. n. 196/2003), rinnovato in buona misura dal D. lgs. n. 101/2018. 

Il citato regolamento, approvato al dichiarato scopo di omogeneizzare la normativa in materia di sicurezza dei dati personali, ha rimodellato la relativa disciplina attorno ai principi  dell’accountability e della privacy by design e by default che affidano al Titolare del trattamento la responsabilità di dotarsi di un’organizzazione privacy funzionalizzata alla ripartizione di compiti di presidio alla sicurezza dei dati personali. 

A partire dalla sua entrata in vigore il nuovo Regolamento (General Data Protection Regulation, d’ora in poi “GDPR”), ha quindi posto l’accento sulla necessità di ciascun operatore di costruire il proprio modello di conformità con una maggiore responsabilizzazione.  

L’art. 5, infatti, ricalcando, sebbene in maniera non pedissequa, l’art. 11 del Codice della privacy, indica il principio dell’accountability, già enunciato al paragrafo 2, quale tassello fondamentale ai fini dell’orientamento della condotta del Titolare del trattamento dei dati. 

Questi sarà lasciato libero, data l’assenza di norme cogenti, di determinarsi in ordine all’individuazione degli adempimenti di dettaglio, al fine di costruire la traccia documentale delle attività di prevenzione dei pericoli per la tutela dei dati personali trattati in ogni processo aziendale. 

Non v’è dubbio che in questi termini si appalesi il tratto di assoluta novità di cui il Regolamento è intriso: il titolare del trattamento non solo deve essere capace di rispettare i principi, ma su di lui cade anche l’iniziativa circa la doverosità di mettersi in regola, divenendo il centro di imputazione giuridica delle eventuali inosservanze oltre che dell’onere della prova.   

Ai fini dell’adeguamento alle nuove prescrizioni imprescindibile è la valutazione dello stato dell’arte in ciascuna azienda che passa, proprio come è per la predisposizione di un Modello 231, per una mappatura dei processi e dei rischi di violazioni ad essi connessi. 

Comune denominatore è quindi la logica prevenzionistica che muove anche le fila dell’adozione di un Modello di Organizzazione e Gestione di cui al D.lgs. 231/2001. 

 

 2. Il MOG e l’approccio fondato sul rischio.

La responsabilità delle persone giuridiche prevista dal Decreto Legislativo 231/2001 (d’ora in poi Decreto), sorto dal recepimento delle istanze tese a limitare il sempre più evidente indirizzarsi della criminalità verso la logica del profitto, si fonda sull’approccio preventivo della mappatura dei processi aziendali al fine di predisporre, una volta individuati i punti di maggiore rischio di compimento dei reati, le più opportune misure di sicurezza.  

Nelle logiche della responsabilità di impresa, infatti, la mancata predisposizione delle cautele necessarie ad evitare la realizzazione dell’evento definisce la c.d. “colpa di organizzazione”, alla cui stregua all’ente si rimprovera la mancata attuazione di un sistema di controlli interni efficace ad evitare il compimento di un reato previsto dal catalogo del Decreto. 

In altri termini, si richiede all’ente di adottare un Modello organizzativo volto a impedire, attraverso la predisposizione di apposite regole di condotta, la commissione dei reati contemplati nel novero dei c.d. reati presupposto.  

Il Modello, allora, assume un ruolo di primaria importanza per i soggetti coinvolti nel “Sistema 231” ai fini della verifica della sua efficacia. 

Secondo il disposto dell’art. 6 del Decreto, l’ente può vedere esclusa la sua responsabilità quando il modello risponda a certe caratteristiche che esplicitano i cc.dd. compliance programs: la primissima attività consiste nella individuazione delle attività nel cui ambito possono essere commessi i reati.  

L’adeguatezza e l’efficacia del Modello di Organizzazione, Gestione e Controllo idoneo, nelle logiche del d.lgs. 231/2001, a escludere la responsabilità dell’ente è affidata anche alla costituzione di un organo di controllo (l’OdV), dotato di autonomia e indipendenza, i cui compiti si risolvono nella verifica sul corretto funzionamento e aggiornamento del modello.   

 

3. I due sistemi normativi a confronto.

Sebbene tra l’impianto normativo di tutela dei dati personali di recente recepimento e il Decreto 231/2001 siano rinvenibili evidenti confluenze e similitudini, la responsabilizzazione, da un lato, e l’approccio prevenzionistico, dall’altro, non permettono di appiattire del tutto i numerosi fattori distintivi, asimmetrici e, in qualche caso, conflittuali tra le due discipline 

La principale differenza risiede nella matrice normativa: il GDPR impone l’adeguamento normativo delle misure tecniche e organizzative idonee; l’adozione del Modello 231 resta una scelta facoltativa, di cui un’impresa virtuosa può decidere di dotarsi ritenendo che la compliance rappresenti senza dubbio la prima frontiera di garanzia del rispetto di normative esterne e di protocolli interni.  

Nondimeno un peso congruo deve essere attribuito altresì al sistema degli illeciti: il Decreto fonda la responsabilità penale solo nel caso in cui le condotte poste in essere dai soggetti aziendali siano quelle già ricomprese nel catalogo dei c.d reati presupposto laddove il GDPR sanziona qualsiasi trattamento di dati personali che violi le prescrizioni di legge e privo di sicurezza per i soggetti interessati.  

A partire da questi elementi, che non esauriscono le divergenze complessivamente rinvenibili nei due sistemi, non può sostenersi un’assimilabilità completa tra i due impianti normativi, dovendosi, al contrario, sostenere un coordinamento che, seppur funzionale, tra i due sistemi, si interseca limitatamente ad alcuni punti.  

Questi risiedono principalmente proprio nella dimensione del principio dell’accountability del Titolare del trattamento dei dati.  

L’onere di dotarsi di una struttura organizzativa a prova di Privacy – tale da indurre qualcuno a parlare di Modello Organizzativo Privacy – ricalca l’impegno dell’ente di dotarsi di un’idonea compagine organizzativa valida a escludere la colpa di organizzazione per l’eventuale compimento di illeciti da reato.  

Differente ne è però la forza: cogente nel caso del GDPR, con onere probatorio in capo al Titolare, appunto; facoltativo nel sistema del Decreto. 

Altro fortissimo punto di confluenza è da rinvenirsi nella previsione, tra le condotte suscettibili di dare luogo ad una responsabilità ex 231/2001, dei Reati informatici all’art. 24bis: in questi casi, anche se ad oggi la violazione della disciplina sui dati personali non ha trovato accoglimento nel testo del Decreto, la principale attività di compliance non può non intersecarsi con la disciplina del GDPR, confluenza ancor di più rafforzata anche dall’implementazione dei canali di segnalazione degli illeciti previsti dalla recente disciplina sul Whistleblowing.  

Così descritta la situazione, sebbene in maniera certamente parziale e per quanto qui interessa, va rimarcato come, sebbene il principio dell’accountability rappresenti il minimo comune denominatore dei due sistemi normativi, è chiaro come tra i due contesti di operatività resti un’innegabile differenza: quella che passa tra la prevenzione dei reati, di matrice facoltativa e rimessa alla sensibilità del contesto aziendale, e la liceità del trattamento dei dati personali, il cui approccio richiede competenze di settore che è opportuno non vengano trattate in maniera asimmetrica. 

Valutazione, questa, che assume ancora maggior pregio laddove si tratti di verificare ex post, l’idoneità del Modello ai fini della sua efficacia esimente.  

Leave a comment