L’entrata in vigore del GDPR ha avuto ripercussioni sui controlli degli organi di vigilanza riguardanti il modello 231, il modello di gestione delle persone giuridiche volto alla prevenzione della responsabilità penale. Utile approfondire le connessioni tra il modello e il Regolamento europeo.
Indice degli argomenti
GDPR e modello organizzativo 231: il contesto
Nell’ambito del decreto legislativo 231/2001 riguardante la Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, che ha introdotto nel nostro ordinamento il principio della responsabilità penale della persona giuridica conseguente alla commissione di un reato, un tertium genus di responsabilità che coniuga i tratti essenziali del sistema penale e di quello amministrativo, una responsabilità di fatto penale, anche se formalmente definita come amministrativa – sono ravvisabili diversi punti di connessione con il nuovo regolamento sulla privacy al quale, ad oggi, si spera tutte le imprese si siano diligentemente adeguate.
In primis, occorre fare riferimento al fatto che le imprese per potersi adeguare alla nuova normativa in materia di tutela dei dati personali hanno dovuto rivedere la compliance interna finalizzata a garantire la protezione dei dati e delle informazioni personali che trattano e conservano.
Precisamente, è il titolare del trattamento che ha il compito di attuare gli adempimenti previsti dalla normativa ed è sempre quest’ultimo a dover provare di aver posto in essere le iniziative necessarie per assicurare l’adeguamento delle policy interne alla nuova disciplina.
La necessità di provare l’avvenuto adeguamento della compliance aziendale alle nuove prescrizioni privacy ha portato le imprese a introdurre una sorta di dossier privacy, detto anche modello organizzativo privacy, che, appunto, racchiude tutti gli adempimenti necessari ad assicurare la riservatezza ed il più elevato grado di tutela per i dati personali trattati nelle società.
Un modello che è simile a quello che va predisposto ed aggiornato per rispettare il D.lgs. 231/2001.
Il criterio della Segregation of Duties
La prima fase è la revisione dell’organigramma aziendale, prestando cioè attenzione alla presenza delle nomine esistenti e alla descrizione dei nuovi compiti assegnati al titolare, al responsabile del trattamento, agli incaricati al trattamento.
A ciò si accompagna la verifica circa l’obbligatorietà, per i casi espressamente indicati dalla normativa (ossia quando il trattamento è svolto da un’autorità pubblica o da un organismo pubblico ad eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali oppure se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati), o la mera opportunità, negli altri casi, di nominare un Data Protection Officer (DPO)[1].
Quanto sopra detto sembra rispondere pienamente al criterio della Segregation of Duties (Sod) che già governa il sistema 231, in base al quale occorre individuare distinte responsabilità in capo a ciascuna funzione descrivendone nel dettaglio i compiti affidati.
In questa ottica vi è l’obbligo di provvedere alla valutazione dei rischi privacy (una sorta di risk assessment privacy, definita DPIA: Data Protection Impact Assessment), destinato inevitabilmente a confluire in un documento riepilogativo delle analisi effettuate, in cui sono individuati i possibili rischi associati alle distinte attività svolte, passaggio che presuppone la previa disamina dei rispettivi processi aziendali nell’ambito dei quali sono trattati i dati (operazione di adeguatezza prognostica del trattamento).
In questa valutazione si deve tener conto dell’identità dei soggetti interessati al trattamento (ad esempio, dipendenti o fornitori), delle finalità del trattamento nonché delle tipologie (e.g. dati sanitari, anagrafici o altri) e delle categorie di trattamento entro le quali sono compresi i dati gestiti dall’azienda.
Sarà, ovviamente, necessario garantire a questo documento un costante aggiornamento in base agli eventuali mutamenti sia organizzativi che normativi in grado di incidere sul trattamento dei dati messi a disposizione delle imprese.
Il ruolo degli organi di vigilanza
Un ruolo fondamentale in questo contesto è stato ed è svolto dall’organismo di vigilanza. Infatti, nel lungo processo di adeguamento al Regolamento UE 679/2016, gli organismi di vigilanza hanno monitorato il processo di adattamento alle nuove disposizioni ed hanno vigilato all’adeguamento del modello 231 eventualmente già adottato.
L’OdV nell’esercizio delle sue funzioni entra in contatto con una pluralità di dati personali, difatti la gestione di flussi informativi, le attività di controllo e vigilanza nonché le eventuali segnalazioni di condotte illecite portano inevitabilmente allo svolgimento di trattamenti di dati riferiti o riferibili a persone fisiche facenti parte del management aziendale (art. 6 D.lgs. 231/2001).
Nello svolgimento delle proprie funzioni l’OdV tratta dati personali, in ipotesi anche sensibili, in particolare, ma non solo, nella gestione delle importanti funzioni che l’art. 6 del decreto gli ha attribuito in merito alla nuova disciplina del whistleblowing.
Infatti, la recente normativa sul whistleblowing che ha introdotto la possibilità di segnalare reati, irregolarità e difformità garantendo l’anonimato del segnalante ha posto in capo all’OdV un ruolo fondamentale all’interno della disciplina della privacy.
Sono state introdotte specifiche modalità di presentazione delle comunicazioni circa eventuali violazioni riscontrate sui dati personali (data breach): sono previsti moduli distinti a seconda della tipologia di violazione riscontrata, l’individuazione di un ufficio responsabile per ricevere le segnalazioni oltre che l’individuazione di eventuali iniziative da intraprendere, a livello organizzativo e tecnico, capaci di porre rimedio alle irregolarità che si sono verificate.
Tale disciplina si applicherà esclusivamente in presenza di un valido modello di organizzazione, gestione e controllo ai sensi del D.lgs. 231/2001 e pone delle limitazioni riguardo “l’anonimato” del segnalante, qualora le informazioni risultino false (Direttiva 95/46/CE che sul punto non è molto difforme dal GDPR).
In tale ottica sembra evidente che la che la disciplina del whislteblowing[2] che ha apportato modifiche significative al Mog 231 – prevedendo tra l’altro almeno un canale alternativo di segnalazione di illeciti, idoneo a garantire con modalità informatiche la riservatezza dell’identità del segnalante e misure idonee a tutelare l’identità del segnalante e a mantenere la riservatezza dell’informazione in ogni contesto successivo alla segnalazione – attribuendo un ruolo di primaria importanza all’OdV debba necessariamente integrarsi con il Regolamento UE 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
L’OdV come titolare del trattamento
Proprio la peculiarità del ruolo svolto dall’organismo di vigilanza (in composizione mono soggettiva o plurisoggettiva) nell’ambito del trattamento dei dati personali, potrebbe erroneamente portarci ad associare tale figura a quella del titolare o del responsabile del trattamento previste dalla nuova normativa privacy.
Con riferimento alla prima ipotesi, certamente, si dubita sul fatto che tale organo possa ricoprire il ruolo di titolare autonomo del trattamento, ossia di soggetto in grado di determinare finalità, mezzi e misure di sicurezza, in quanto i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dall’organo dirigente nel modello di organizzazione, gestione e controllo.
In altre parole, gli aspetti relativi al funzionamento dell’OdV non sono determinati dall’OdV stesso, ma sono demandati alla dirigenza aziendale.
L’OdV come responsabile del trattamento
Con riferimento, invece, alla seconda ipotesi che individua l’organismo di vigilanza come responsabile del trattamento si ravvisano ulteriori perplessità.
In primis, la natura necessariamente interna all’ente dell’organismo di vigilanza come espressamente sancito dalla legge si contrappone con l’intrinseca esternalità del responsabile del trattamento, per il quale la nuova normativa prevede che possa essere anche un soggetto esterno all’organizzazione aziendale senza ripercussioni sulle modalità di trattamento dei dati personali.
Infatti, mentre l’organismo deve essere interno all’ente, soprattutto per garantire una vigilanza continua sul modello, un costante aggiornamento, una verifica della coerenza con la struttura organizzativa e il processo operativo, il responsabile del trattamento può benissimo garantire l’adempimento delle sue funzioni ricoprendo un ruolo esterno all’ente.
Conclusioni
In base a quanto sopra analizzato, possiamo concludere sostenendo che, alla luce della recente normativa sulla privacy, il titolare del trattamento, il responsabile ed il Data Protection Officer (quando designato) risultano essere interlocutori importanti dell’OdV, alla stregua del RSPP e dei Responsabili dei sistemi di gestione aziendale che, quindi, dovrebbero monitorare anche il trattamento dei dati effettuato dall’OdV nella sua funzione di organo di controllo e vigilanza del modello organizzativo adottato dall’ente (articoli 6 e 7 del D.lgs. 231/2001).
Altro aspetto di collegamento tra la 231 e il Regolamento UE 679/2017 è riscontrabile con riguardo all’articolo 24-bis del D.lgs. 231/2001 rubricato Delitti informativi e trattamento illecito dei dati e cioè, nella previsione nei c.d. reati-presupposto di alcuni delitti informatici e fattispecie connesse di trattamento illecito di dati.
Tali fattispecie prevedono e puniscono ipotesi strettamente legate ad aspetti rientranti nella disciplina della privacy, intesa non solo quale tutela dei dati personali bensì tutti i dati quali per esempio, l’accesso abusivo a sistemi informatici (articolo 615-ter c.p.), l’approvazione e diffusione abusiva di codici di accesso (art. 615-quater c.p.), il danneggiamento di informazioni, dati, programmi informatici (art. 640-bis c.p.) nonché di sistemi informatici (art. 640-quater c.p.).
Appare evidente che si tratta di ipotesi delittuose che possono essere poste in essere laddove sia carente ovvero non dimostrabile una corretta ed adeguata tutela dei dati personali trattati in ambito aziendale mentre al contrario, una documentata osservanza della relativa normativa, tanto in materia 231 quanto soprattutto di privacy, costituirebbe valida esimente a riguardo.
NOTE
- Si tenga presente che la designazione obbligatoria di un DPO può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto comunitario ed anche ove il regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale designazione su base volontaria, in via cautelativa. ↑
- Istituto di origine anglosassone, finalizzato a regolamentare e facilitare il processo di segnalazione di illeciti o di altre irregolarità di cui il soggetto segnalante (c.d. “whistleblower”) sia venuto a conoscenza e che prevede, per quest’ultimo, significative forme di tutela. Nel panorama legislativo internazionale, la tutela del “whistleblower” fonda le proprie radici in molteplici norme e atti, fra cui la “Convenzione civile sulla corruzione” del Consiglio d’Europa del 1999 e la “Convenzione delle Nazioni Unite contro la corruzione” del 2003 (entrambe ratificate dal nostro Paese), oltre che in raccomandazioni dell’Assemblea parlamentare del Consiglio d’Europa. In Italia, la L.179/2017 consolida la disciplina esistente nel settore pubblico e in quello privato, rafforzando gli strumenti a tutela dei segnalanti. ↑
