Fonte: Paperless
L’adeguamento delle tutele e delle garanzie in tema di protezione dei dati personali non può più essere considerato, dal privato quanto dal soggetto pubblico, una mera imposizione normativa ma, piuttosto, va apprezzato nell’ottica di una fondamentale programmazione aziendale.
Riguardo alla sicurezza del trattamento, l’art. 32 del Regolamento Europeo impone al titolare ed al responsabile l’attuazione di misure concretamente idonee a garantire adeguate misure di sicurezza, ovvero un livello di sicurezza adeguato al rischio.
Idoneità ed adeguatezza, in relazione alla prevenzione e gestione del rischio, sono parametri comuni all’applicazione del D.lgs. 231/01 nell’ambito della responsabilità amministrativa degli enti e delle società seppur, a una superficiale indagine, sembrerebbero evidenziarsi differenze riguardo l’oggetto e le finalità.
La valutazione del rischio ai sensi del D.lgs. 231/01 permette l’analisi delle potenziali condotte penalmente rilevanti, fisiologiche nella gestione dei processi aziendali, nonché l’azione di misure di controllo volte a prevenire la commissione di un reato a vantaggio o nell’interesse dell’ente. L’aver adottato tutte le precauzioni necessarie ed idonee a evitare l’evento dannoso circoscrive la responsabilità in capo alla persona fisica che ha agito, così liberando l’ente dalla mannaia della sanzione.
L’entrata in vigore del Regolamento Europeo sulla privacy ha posto a carico delle imprese un obbligo di responsabilizzazione nel trattamento dei dati, rendendo necessaria l’adozione di un modello organizzativo capace di individuare misure concretamente idonee a evitare, ovvero ad affrontare, la violazione di sicurezza, definita all’art. 4 quale distruzione, perdita, modifica e divulgazione o accesso non autorizzato, accidentale o illegale del dato. Valutazione e gestione del rischio in ossequio al GDPR mirano, quindi, ad evitare tali eventi, e per consecutio a salvaguardare l’interessato al trattamento da una lesione dei propri diritti.
Alla luce di quanto precede, un primo punto di contatto tra le due normative va ricercato nella lettera dell’art. 24 bis D.lgs. 231/01, rubricato “Delitti informatici e trattamento illecito dei dati”, disposizione che sanziona i reati di accesso abusivo a un sistema informatico o telematico (art. 615 ter c.p.), detenzione e diffusione abusiva di codici di accesso a sistemi informatici (art. 615 quater c.p.), interruzione illecita di comunicazioni informatiche o telematiche (art. 617 quater c.p.), danneggiamento di informazioni, dati e programmi informatici (art. 635 bis c.p.) e danneggiamento di sistemi informatici o telematici (art. 635 quater c.p.). Le fattispecie di reato indicate attengono alla sfera della protezione dei dati in ambito aziendale e possono determinare a carico della società elevate sanzioni pecuniarie e, nelle ipotesi delittuose più gravi, anche interdittive dell’attività con confisca.
Invero, la violazione di sicurezza ai sensi del GDPR non comporta una pedissequa violazione delle disposizioni sulla responsabilità degli enti, richiedendo, queste ultime, un quid pluris rappresentato dalla commissione nell’interesse o a vantaggio dell’azienda. E anzi, prime facie, le due tutele appaiono incompatibili, considerato che le violazioni di sicurezza arrecherebbero un danno all’azienda.
La questione richiede un diverso punto di osservazione per porre in evidenza la tangenza dei due paradigmi normativi sul piano dell’efficienza organizzativa.
Prevenire il rischio di trattamento illecito rilevante ai sensi del D.lgs. 231/01 potrebbe non essere sufficiente a vestire di adeguatezza un sistema di protezione dei dati personali trattati, in quanto prevenire secondo le norme della responsabilità degli enti significa eliminare il rischio di trattamento illecito commesso a favore dell’azienda, ma non anche quello in danno all’azienda, rilevante ex GDPR. Ma la prevenzione dalle condotte di reato informatico, anche allorquando devono essere intercettate ai fini della prevenzione dell’illecito penale, rafforzerebbe, comunque, la prevenzione del rischio anche in ottica della normativa sulla privacy.
Ciò che deve essere osservato, inoltre, è che la violazione di sicurezza non esclude ex sé profili di rilevanza dell’illecito secondo le norme sulla responsabilità degli enti, con la spiacevole conseguenza della duplice sanzione!
Occorre, altresì, porre attenzione sull’entrata in vigore del D.lgs. 65/2018, in attuazione della Direttiva UE cd. NIS – Network and Information Security -, a mezzo del quale si stabilisce un livello comune di sicurezza di reti e sistemi nell’UE, al fine di garantire la continuità dei servizi essenziali e digitali, rendendo opportuno coordinare il modello privacy con il modello 231, adottando o integrando quest’ultimo.
L’implementazione del modello di prevenzione, oltre i limiti del normativamente imposto, garantirebbe un’idonea protezione dal rischio di commissione di reati connessi al trattamento dei dati personali, compresi quelli informatici, realizzando un sistema di controllo pregnante ed efficiente, capace di operare una protezione a 360 gradi, innanzitutto, a tutela dell’azienda.
Raffaele Vitolo
Avvocato penalista del foro di Salerno