Regolamento Europeo Privacy e Legge 231

La compliance integrata alla luce delle possibili confluenze tra GDPR e Legge 231: prospettive di breve, medio e lungo periodo.

Sempre più marcata è l’esigenza delle aziende orientate alla cultura della legalità di tendere a una compliance integrata.

La compliance, quale processo di garanzia del rispetto delle normative esterne e delle policies interne, richiede la predisposizione di meccanismi e protocolli di conformità a regolamenti, leggi e discipline attraverso la mappatura di processi operativi finalizzati ad assicurare l’individuazione e la gestione del rischio, da una parte, e il mantenimento delle performances produttive, dall’altra.

La legge sulla privacy e la normativa 231 rappresentano, insieme a molte altre branche (sicurezza sul lavoro, anticorruzione, antiriciclaggio, adempimenti fiscali), due esempi di piani normativi il cui adeguamento si interseca su alcuni punti e si differenzia in altri.

In ogni caso, in questo contesto è che l’interesse delle aziende virtuose è quello di ottimizzare i processi di individuazione, analisi e approccio al rischio per via dell’aggravio dei costi di compliance e per assicurare la continuità dell’attività produttiva.

Le confluenze tra il GDPR e il Decreto 231

Con l’adozione, da parte del Parlamento Europeo e del Consiglio, del Regolamento Europeo Privacy (UE 2016/679), si è andata uniformando la legge privacy sulla tutela e sicurezza dei dati personali a livello comunitario attraverso il rafforzamento, per certi versi, e l’innovazione, per altri, delle prescrizioni relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione degli stessi.

In particolare, l’impianto del nuovo Regolamento Privacy (General Data Protection Regulation, ossia “GDPR”) si fonda su alcuni principi ispiratori della materia: il riferimento è, in particolare, all’accountability, che responsabilizza il Titolare del trattamento nella scelta sull’adozione di idonee misure connesse al rischio di lesioni di diritti e libertà degli interessati, e alla privacy by design e by default, quali necessari steps di progettazione, detenzione e utilizzo dei dati per tempi, periodi e scopi strettamente necessari.

Tra l’altro, tali innovazioni di principio sono presidiate, nell’economia del GDPR, da un compendio sanzionatorio articolato ed estremamente rigoroso (con sanzioni che arrivano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Quel che è certo è che le aziende sensibili alla cultura dell’approccio preventivo al rischio non possono trascurare l’adeguamento anche alle nuove prescrizioni in tema di trattamento dei dati personali.

Proprio l’approccio al rischio è ciò che lega, nella metodologia e negli scopi, la compliance al GDPR alla compliance al decreto legislativo 231 del 2001.

Come noto, il decreto 231 dell’8 giugno del 2001 (d’ora in poi, semplicemente Decreto) ha introdotto nell’ordinamento italiano la responsabilità amministrativa dipendente da reato degli enti, che si affianca alle altre forme di responsabilità tradizionalmente addebitabili alle persone fisiche e giuridiche e può venire in rilievo a seguito della commissione di uno dei reati espressamente previsti nella c.d. “parte speciale del Decreto”.

Si tratta di una peculiare forma di responsabilità che deriva dalla perpetrazione di un reato commesso da determinati soggetti dell’organigramma societario, indicati all’art. 5 del Decreto 231 stesso, rivestiti di funzioni di vertice o subordinati all’altrui potere di vigilanza, nell’interesse o a vantaggio dell’ente.

L’istituzione della responsabilità da reato delle società mira a colpire le condotte illecite commesse all’interno dell’impresa che possono ricondursi ad una diffusa politica aziendale. S’intende, in buona sostanza, contrastare quel fenomeno definito dei  “corporate crimes”, crimini riferibili oltre che alla persona fisica che li ha materialmente posti in essere, anche alla società di appartenenza, in capo alla quale sorge una responsabilità diretta e non semplicemente per “fatto altrui”.

Il novero dei c.d. “reati presupposto” – quelli in presenza dei quali potrebbe configurarsi una responsabilità ex crimine della persona giuridica – ha subito nel tempo un progressivo ampliamento rispetto ad una fase iniziale, che lo vedeva sostanzialmente circoscritto ai reati contro la Pubblica Amministrazione.

Quel che più importa sotto il profilo delle conseguenze è che l’apparato sanzionatorio delineato dal Decreto 231 si applica solo nel caso in cui l’ente non abbia provveduto alla predisposizione ed adozione di un Modello 231 idoneo alla prevenzione dei reati al cui rischio di commissione l’ente stesso risulti maggiormente esposto.

Tale Modello si sostanzia, innanzitutto, nella definizione di regole procedimentali interne volte alla riduzione dei rischi di comportamenti illeciti nello svolgimento delle attività aziendali.

Ecco come allora diviene centrale il risk based approach di entrambi i contesti normativi che principiano dall’individuazione del rischio di possibili violazioni – del trattamento dei dati personali, in un caso, e delle condotte riconducibili ad una delle fattispecie elencate nella legge 231, nell’altro – nell’ambito dei processi produttivi delle aziende fino a giungere alle prospettive di risk mitigation e alla predisposizione di misure di sicurezza, controllo e principi di comportamento.

Allo stato dell’arte l’adempimento degli obblighi imposti per legge in questi differenti settori normativi può comportare una duplicazione di attività, gravose per l’azienda sia sotto il profilo dei costi che sotto il profilo della produzione, che esita spesso nella sovrapposizione al modello di organizzazione aziendale di attività supplementari con un appesantimento delle condizioni di efficienza aziendale.

Eppure, le confluenze tra l’approccio metodologico al Regolamento Europeo Privacy e alla legge 231, possono invece procurare, in una prospettiva di breve, media e lunga durata dei vantaggi indiretti, capaci di riverberarsi anche sulla produttività aziendale.

Previsioni per la legge privacy e la legge 231

Gli adempimenti richiesti per l’adeguamento normativo spesso implicano costi per il management aziendale che si riverberano anche sulla produzione.

Pertanto, preliminare per ogni azienda virtuosa nell’approccio preventivo al rischio, appare l’individuazione delle normative e gli standard applicabili al fine di comprendere, al metro del contesto aziendale e dei processi più esposti al verificarsi di eventi pregiudizievoli per gli obiettivi della normativa 231 e della Legge Privacy, la strategia di adeguamento più idonea.

Quel che nell’immediato può farsi è la progettazione di un sistema di controllo integrato  attraverso l’analisi documentale delle misure già adottate in termini di capacità di riduzione del rischio ad un livello tollerabile.

In questo modo non si finirebbe per disperdere, per quelle aziende già dotate di policies interne e procedure, lo sforzo profuso nell’adozione e nelle responsabilizzazione delle figure di staff e line coinvolte.

Venendo al medio periodo, può certamente porsi l’obiettivo della semplificazione, pur se con delle precisazioni d’obbligo.

Non possono, infatti, confondersi i piani normativi sostanziali del GDPR e del Decreto 231, che restano differenti nei contenuti e nelle sanzioni.

Ne consegue che il Modello Organizzativo resta un documento insostituibile e immodificabile nella sua struttura funzionale all’eventuale valutazione di adeguatezza ex post ai fini della validità dell’esimente per la responsabilità dell’ente.

Allo stesso modo, sebbene non formalizzato dalla disciplina del GDPR, un documento, come può essere quello della GAP analysis non può essere sostituito da un altro aspecifico.

Pertanto, i due ambiti non possono fondersi, ma quel che può farsi congiuntamente, per evitare duplicazioni in fase di analisi del rischio, e conseguenti appesantimenti in termini di oneri in capo agli owner di ciascun processo è l’attività di Risk Assessment, finalizzato all’individuazione dei processi di rischio ma anche all’identificazione e stratificazione di compiti e responsabilità.

In questo modo si riuscirebbe a ridurre al minimo il rischio di violazioni e si interromperebbe la catena della responsabilità al livello giusto, offrendo una maggiore tutela alle diverse componenti aziendali.

Infine, per ciò che attiene al lungo periodo, l’implementazione dell’adeguatezza alle normative e standard individuati permetterebbe di valorizzare le sinergie di queste attività stimolando l’adozione di un metodo replicabile e facilmente utilizzabile sia nelle attività di monitoraggio periodiche (cui entrambe le normative più o meno esplicitamente fanno riferimento) sia nell’adeguamento eventualmente necessario a seguito di novelle normative.

Attraverso una compliance integrata, che condivide il metodo di approccio al rischio e la timeline di adeguamento agli standard prescelti, si arriverà all’adozione di modelli 231 e privacy che parlano tra di loro e che si porranno all’esito di un’attività di mappatura dei processi cruciali con il possibile risultato di evidenziarne indirettamente le inefficienze e le dovute opportunità di miglioramento.

Si rinsalda in questo modo sempre più la convinzione, già radicata, dell’efficacia della redazione di un documento aziendale come può essere il Modello 231 o la GAP Analysis a prescindere dalle specifiche previsioni e adempimenti “imposti” dalla normativa.