La convergenza delle responsabilità del DPO e dell’OdV nella prevenzione dei reati informatici “231” e dei potenziali data breach potrebbe/dovrebbe opportunamente indurre a pianificare e a eseguire una sorveglianza/vigilanza congiunta.
Il presente articolo si propone l’obiettivo di esplorare la complessa e poco sviscerata questione della comunicazione dei data breach da parte del DPO all’OdV.
Attraverso l’analisi di esempi concreti, casi emblematici e riflessioni approfondite, si cercherà di gettare luce su questo intricato aspetto della protezione dei dati, esaminando le responsabilità, le sfide e le migliori pratiche in materia di flussi di informazioni all’interno della realtà aziendale.
Insieme per la compliance integrata: i controlli congiunti di DPO e OdV
Indice degli argomenti
Prima regola guida: non estendere gli effetti del data breach
Quando si verifica un data breach, il DPO nel corso della propria attività di sorveglianza può ravvisare una criticità che postuli la necessità di informare l’OdV e viceversa.
In particolare, occorre comprendere se il DPO, in caso di data breach, sia tenuto a comunicare automaticamente all’OdV ogni violazione dei dati o se vadano, invece, individuati criteri specifici che devono guidare questa decisione.
Una prima considerazione che deve guidare l’analisi riguarda la necessità di contenere gli effetti del data breach e non estenderli.
Quindi, è agevole indurre che certamente non è ragionevole prevedere un automatismo secondo il quale ogni data breach debba essere comunicato dal DPO all’OdV; tanto meno devono essere comunicati i dati degli interessati coinvolti nell’evento critico. Vanno quindi individuati criteri ponderati che possano guidare la decisione.
Nel dubbio è bene applicare un criterio conservativo e non eseguire la comunicazione.
Data Breach nel perimetro del D.lgs. 231/2001
Si consideri che non tutti i data breach sono anche, contestualmente, reati informatici mentre tutti i reati informatici previsti dalla tassonomia “231” costituiscono anche data breach.
Quindi appare intuitivo che il DPO debba dare comunicazione all’OdV di un data breach che costituisce anche un reato informatico “231”.
Un caso emblematico è quello di un dipendente aziendale malintenzionato che effettua un accesso abusivo al sistema informatico o telematico della propria azienda (art. 615 ter c.p.) e comunica dati personali di clienti aziendali alla concorrenza. A seguito di alcune segnalazioni il DPO indaga e rileva l’origine del problema che si configura come un data breach.
Nell’esempio considerato la comunicazione dal DPO verso l’OdV potrebbe essere innescata, oltre che da un data breach, anche a seguito di un audit condotto dallo stesso DPO che ha rilevato una casistica come quella considerata.
Lesson learned
I flussi di informazione dal DPO verso l’OdV dovrebbero quindi essere previsti per un evento riconducibile ad un data breach, fermo restando che ogni commissione di reato all’interno del perimetro D.lgs. 231/2001 deve essere comunicata a tale organismo.
Ciò comporta che anche il DPO, come tutte le altre funzioni aziendali deve conoscere i flussi verso l’OdV.
Data Breach esterno al perimetro del D.lgs. 231/2001
Più complessa è l’analisi da condurre nel caso in cui l’evento che ha minato la sicurezza dei dati risulta essere esterno al D.lgs. 231/2001.
Fermo restando che, laddove di verificasse un data breach, il DPO è assorbito prioritariamente dalla gestione dell’evento, a valle della stessa è opportuno che, nell’ambito dei flussi verso l’OdV, il DPO o il Referente privacy effettui la comunicazione di quanto accaduto a tale organo.
Ad esempio – a seguito di un trasloco di parte degli uffici amministrativi, tra due sedi dell’organizzazione – sono stati smarriti, per negligenza da parte del traslocatore, otto scatoloni contenenti documenti cartacei di circa 80 ex-dipendenti.
L’evento riveste una criticità tale che è stata effettuata la notifica al Garante e la comunicazione agli interessati, nei limiti dei dati di contatto che sono stati recuperati. Conclusa l’indagine, definite le misure per contenere le conseguenze dell’evento e messe in atto quelle per evitare il ripetersi dell’incidente, viene effettuata la comunicazione all’OdV (si tratta di un “flusso ad evento” relativo sia all’incidente occorso sia alle comunicazioni al Garante ed agli interessati).
Nulla vieta che successivamente l’OdV possa richiedere ulteriori informazioni, seppure tale evento non ricada all’interno del perimetro dei reati D.lgs. 231/2001.
Lesson learned
I flussi verso l’OdV devono prevedere le informazioni relative a tali eventi, fermo restando che le priorità del DPO e del suo team di supporto sono orientate verso la risoluzione del problema e che le comunicazioni, laddove previste, sono obbligatorie, e vincolate nei tempi.
A tal fine, l’informazione all’OdV potrebbe essere inserita nella procedura per la gestione del data breach e una misura gemella potrebbe essere inserita nel modello organizzativo di gestione e controllo “231”, caratterizzando entrambe come flusso di informazioni.
I cardini dei flussi di comunicazione tra DPO e OdV
Una altra casistica può comprendere incidenti di sicurezza connessi ad eventi che riflettono il mancato rispetto del modello D.lgs. 231, seppure non costituiscano reati compresi nel perimetro del Decreto.
Ad esempio – il Fornitore XY, contrattualizzato per un triennio, per un importo di € 50.000/anno, ha causato un data breach. Il DPO chiede di analizzare, tra gli altri, i criteri di scelta di tale fornitore per valutare (come richiede l’art. 28 del GDPR) che lo stesso sia stato scelto in base anche alla sua capacità di “fornire garanzie sufficienti”.
Svolgendo l’indagine scopre che non è stata rispettata la procedura P23 “Scelta e valutazione dei fornitori” che contempla anche misure per la prevenzione dei reati presupposto.
Secondo tale procedura, infatti, per servizi di importo superiore a € 20.000 andavano acquisite almeno tre offerte ad altrettanti fornitori. Tale adempimento non è stato realizzato.
Si consideri che anche tale criticità sarebbe potuta emergere anche nel corso di un controllo di routine del DPO e non necessariamente a seguito di un data breach.
Lesson learned
Le segnalazioni ad un OdV da parte di un DPO possono generarsi non solo a seguito di un data breach ma anche a seguito di audit, interviste e altre indagini.
In ogni caso, il DPO dovrebbe valutare l’eventuale comunicazione all’Organismo mantenendo sempre al centro il principio di minimizzazione.
Sintesi dei rapporti tra DPO e OdV
DPO e OdV sono attori di un sistema integrato di controlli con competenze e attribuzioni specifiche, dotati di poteri di iniziativa e controllo su tutti i processi aziendali. Nella diversità di funzioni, che la legislazione nazionale e comunitaria gli attribuisce a chiusura dei rispettivi sistemi, si caratterizzano entrambi per i requisiti di autonomia e indipendenza rispetto alla struttura ed allo svolgimento dei compiti attribuiti.
Li accomuna, inoltre, il requisito indispensabile dell’effettività della rispettiva attività di sorveglianza e vigilanza, misurabile già ex ante nella disponibilità di risorse (economiche ed umane) dedicate e nel costante adeguamento e aggiornamento dei rispettivi modelli (MOP/MOG) idonei a rispondere ai mutamenti del contesto aziendale e dell’evoluzione del quadro normativo.
DPO e OdV condividono, nel medesimo contesto compliance, sia sotto il profilo dei principi che dei rispettivi modelli, l’approccio basato sulla valutazione del rischio con finalità preventiva, nel quale assume un ruolo fondamentale l’attività di mappatura, di analisi, di verifica dei processi aziendali e della gestione dei flussi di informazioni, quindi di valutazione delle evidenze secondo i canoni di prudenza e tempestività.
Tale sovrapposizione emerge anche in tema di responsabilità dell’ente, rispetto alla quale il principio di prevenzione, oggetto di costante monitoraggio da parte del DPO e dell’OdV, si inserisce nel più ampio obiettivo di organizzare un sistema in grado di evitare situazioni di non conformità e/o di ipotesi di reato ex D.lgs. 231/2001, sin dalla sua progettazione/regolamentazione (“by design”).
Responsabilità che, per quanto riguarda il contesto GDPR si declina nel principio di “accountability”, con riferimento agli obblighi gravanti su titolare e responsabile del trattamento (artt. 24-32), mentre per quanto concerne il perimetro del Decreto 231 nell’ipotesi della “colpa organizzata” (v. Cass. Penale, Sezione VI, 15 giugno 2022, n. 23401), con specifico riferimento agli oneri previsti per l’ente (art. 6, comma 1 e 2).
Le affinità tra DPO e OdV in termini di autonomia e indipendenza rispetto all’organizzazione imprenditoriale, rendono la rispettiva funzione di controllo convergente, proattiva, ispirata dal medesimo principio di prevenzione, ma non sovrapponibile in termini assoluti, quindi meritevole di una diversificazione nei modelli di compliance, che valorizzino le competenze dei soggetti nominati e siano rispettosi della maggiore specificità delle previsioni del GDPR (destinatari e strutture interessate), da un lato, e della maggiore elasticità del Decreto 231 (mappatura delle aree di rischio, gestione dei flussi e degli obblighi informativi, disponibilità di risorse umane ed economiche), dall’altro. Peraltro, si evidenziano degli ambiti in cui le attività a carico del DPO e dell’OdV possono essere sfruttate per realizzare una cooperazione tra i 2 organi per garantire la compliance integrata.
Conclusioni
DPO e OdV a fronte del costante progresso tecnologico e delle mutate esigenze di tutela dei diritti della persona e del know-how aziendale, sono destinati ad essere sempre più interdipendenti, uniti dal medesimo principio di prevenzione mediante organizzazione e per il quale MOG e MOP non si esauriscono l’uno nell’altro.
Assume, pertanto, rilevanza strategica per le aziende operare un bilanciamento tra costi di adeguamento e implementazione dei rispettivi modelli, con particolare attenzione ai sistemi di gestione integrati certificati, quali ad esempio la ISO 27001 e s.m.i..
In questa prospettiva, è di particolare interesse osservare l’evoluzione dell’approccio dei modelli organizzativi da “famiglie di reato” a “processi a rischio reato”, al fine di perseguire obiettivi di idoneità ed adeguatezza sempre più fedeli al contesto aziendale di riferimento, tracciabili e verificabili ex post.
