***
Reati informatici e D.lgs. 231/2001: uno sguardo normativo
L’art 6 comma 2 lett.b) del D.lgs. 231/2001, individua la definizione di MOG dell’ente, e stabilisce che questi debbano “prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire”.
Infatti, è opportuno precisare che la normativa in materia di responsabilità amministrativa da reato degli enti ha finalità preventiva solo nella misura in cui sanziona l’impresa per la commissione di fatti di reato commessi da propri soggetti apicali o dipendenti per interesse o vantaggio dell’impresa stessa. È, quindi, una normativa sostanzialmente sanzionatoria, poiché le regolamentazioni specifiche sono previste in altre normative di riferimento.
Il GDPR, al contrario, imposta un sistema autosufficiente finalizzato alla creazione di un ecosistema equilibrato di trattamento dei dati in ambito UE, dove il focus non è sulla sanzione ma – diversamente – sulla consapevolezza dell’attività aziendale in materia di dati personali.
In quest’ottica, il Reg. UE 2016/679 appare portatore di un approccio effettivamente innovativo, quantomeno nell’ordinamento italiano.
Analisi dei principi dell’accountability tra GDPR e MOG
Il Reg. UE 2016/679, ha eliminato la compliance standard minima prevista in Italia dal D.lgs. 196/2003, lasciando in capo ad ogni titolare del trattamento l’onere di impostare una compliance efficace per la propria realtà aziendale. Diversamente il D.lgs. 231/2001, di fatto, ha sempre risposto a questa logica, guidando le aziende che decidono di dotarsi di MOG, l’applicazione di protocolli per il pieno rispetto delle normative cogenti e per l’implementazione di standard sempre più elevati, in particolare nel delicato ambito della sicurezza sul lavoro. Pertanto si possono definire i due sistemi di riferimento come rispondenti a logiche tra loro armoniche.
I punti di contatto tra MOG 231/01 e GDPR
L’art. 24 bis del D.lgs. 231/2001, rubricato “Delitti informatici e trattamento illecito di dati” pone in evidenza che i reati informatici commessi nell’interesse o vantaggio dell’ente da parte di soggetti apicali o preposti ne determinano la responsabilità amministrativa dell’ente stesso.
In questa prospettiva, colpisce che il legislatore nazionale non abbia inteso inserire nell’elenco dei c.d. reati-presupposto i delitti previsti dal “Codice della privacy”, ossia dal D.lgs. 196/2003, anche inseguito alla rivisitazione delle fattispecie effettuata nel 2018, con l’adozione del D.lgs. 101/2018.
Va rilevato, peraltro, che i reati previsti dall’art. 24 bis D.lgs. 231/2001 sono, sostanzialmente, tutte ipotesi di data breach dolosi o di violazioni informatiche con implicazioni anche in tema di trattamento dei dati.
In sostanza, chi imposta una privacy compliance deve certamente valutare i rischi di violazioni dolose rientranti nelle fattispecie di cui all’art. 24 bis D.lgs. 231/2001, ma anche di quelle previste dal D.lgs. 196/2003, come modificato dal D.lgs. 101/2018. L’ altro elemento rilevante è la previsione della procedura di whistelblower, prevista dalla L. 179/2017: è un elemento del MOG ed è un ambito di intervento in tema di trattamento dei dati, in relazione a minimizzazione e bilanciamento tra diritto del whistelblower a non subire ritorsioni e del soggetto chiamato in causa a conoscere anche la fonte degli addebiti mossigli.
Punti di contatto tra i delitti informatici del D.Lgs 231/01 e la violazione dei dati
L’art. 24 bis del D.Lgs. in esame. Infatti, in un primo momento, il D.L. n. 93/2013 inglobava nel novero dei “reati presupposto”, dai quali potrebbe derivare una responsabilità amministrativa da reato per l’ente, i reati di trattamento illecito di dati personali (art. 167 Codice Privacy), di falsità nelle dichiarazioni e notificazioni al Garante (art. 168 Codice Privacy) nonché di inosservanza ai provvedimenti del Garante (ex art. 169 Codice Privacy). Tuttavia, tale modifica non è stata confermata in sede di conversione.
Nell’approfondire l’argomento, sono ravvisabili molti punti di connessione nell’ambito del D.lgs 231/01 con il nuovo Regolamento sulla privacy. Tra questi, sinteticamente:
- La revisione dell’organigramma aziendale: prestando attenzione alle nomine esistenti e alla descrizione dei nuovi compiti assegnati al titolare, al responsabile del trattamento ed agli incaricati al trattamento, quanto detto risponde al criterio segregation of duties (sod) che già governa il sistema 231, in base al quale occorre individuare destinate responsabilità in capo a ciascuna funzione descrivendone nel dettaglio i compiti affidati. In questa ottica vi è l’obbligo di provvedere alla valutazione dei rischi Privacy (una sorta di risk assessment privacy. Definita DPIA: data protection impact assessment), destinato inevitabilmente a confluire in un documento riepilogativo delle analisi effettuate, in cui sono individuati i possibili rischi associati alle distinte attività svolte, passaggio che presuppone la previa disamina dei rispettivi processi aziendali nell’ambito dei quali sono trattati i dati (operazioni di adeguatezza prognostica del trattamento);
- La responsabilizzazione: entrambe le normative puntano sull’adozione di misure finalizzate alla corretta applicazione del regolamento. Nel caso del GDPR, si parla appunto di accountability;
- I criteri di imputazioni di attività: entrambe le normative prevedono l’istituzione di organismi che accentrino lo svolgimento di diverse attività; tra queste si individua un’unità interna di vigilanza preposta alla verifica dal rispetto delle regole e della formazione del personale;
- La formazione del personale: finalizzata alla diffusione della cultura 231 o una cultura privacy al fine di rendere fattiva l’adozione delle regole e dei controlli preposti.
Oltre a ciò, come si è detto, alcuni dei reati ai danni dei dati personali sono già presenti nel catalogo dei reati 231; tra questi si rilevano:
- Reato di associazione per delinquere (art 24 ter dlgs 231);
- Autoriciclaggio (art 25 octies dlgs 231);
- Prevenzione reati informatici (art 24 bis dlgs 231).
Pertanto alla luce della recente normativa sulla privacy, il titolare del trattamento e il DPO risultano essere protagonisti importanti per l’OdV alla stregua del rappresentante e dei responsabili dei sistemi di gestione aziendale; quindi, si è in presenza degli stessi soggetti che dovrebbero monitorare anche il trattamento dei dati effettuato dall’OdV nella sua funzione in relazione al modello organizzativo 231.
In conclusione
La disciplina della tutela dei dati personali non è avulsa dalla responsabilità amministrativa delle società e degli enti, ovvero dal Modello 231/2001, ma ad essa è fortemente ancorata.
Il Regolamento Europeo 679/2016 (GDPR), disciplinante la tutela della privacy, si fonda sul principio dell’accountability, il quale prevede la realizzazione di una valutazione d'impatto sulla protezione dei dati personali. Sull’altro versante, il D.lgs. 231/2001 si fonda sull'analisi dei rischi riferita ai reati presupposti: per cui le società o gli enti sono obbligati alla predisposizione di modelli di organizzazione e gestione aziendale adeguati ed idonei a provare il rispetto del criterio del c.d. approccio basato sul rischio, così come ampiamente trattato precedentemente. A ben vedere, in realtà, sia il modello GDPR 679/2016 sia il modello 231/2001 hanno un approccio simile rispetto al dovere di osservanza degli obblighi normativi. Infatti, i delitti in materia di privacy sono entrati a far parte di quei reati da cui scaturisce la responsabilità amministrativa/penale di una società o di un ente, con particolare riferimento proprio ai delitti informatici o al trattamento illecito dei dati di cui all'art. 24 – bis del D.lgs. 231/2001. Per cui una società o un ente, per tutelarsi ed evitare di incorrere in una delle forme di responsabilità previste dal D.lgs. 231/2001, con particolare riferimento ai delitti informatici di cui all'art. 24 -bis del D.lgs. n. 231/2001 dovrà fare affidamento ad un team di esperti/consulenti affinché effettuino l'analisi dei rischi volta a prevenire la commissione dei reati idonei a fondare la responsabilità del soggetto collettivo. Tali accorgimenti saranno poi formalizzati in uno specifico documento.
