Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA NORMATIVA

Valutazione e prevenzione del rischio privacy: adempimenti tra GDPR e D.lgs. 231

Per la valutazione e prevenzione del rischio privacy può essere utile, per quelle organizzazioni che già adottano un modello organizzativo 231, recuperarne il contenuto e verificare quanto può essere trascinabile nel “modello privacy”: si ottimizzeranno gli adempimenti e si darà una solida base alla propria responsabilità imprenditoriale

07 Feb 2020
Z
Paola Zanellati

Consulente Privacy


È importante approfondire e chiarire il concetto di valutazione del rischio privacy e prevenzione dello stesso al fine di capire la relazione tra il GDPR e il D.lgs. 231/2001.

Il quadro normativo

Per l’applicazione del GDPR le autorità di controllo fanno riferimento ad un approccio “basato sul rischio”.

Si tratta di un’ottica peculiare, che rappresenta una modalità realistica nell’illustrazione e nella programmazione delle attività e degli adempimenti.

Individuare le fonti di rischio per le persone fisiche a riguardo del trattamento dei dati personali è un ottimo metodo per calibrare le relative misure tecniche e organizzative, che il titolare del trattamento deve predisporre per dimostrare la sua avvenuta responsabilizzazione (privacy by design e by default).

Questo approccio basato sul rischio ricorda in maniera diretta l’approccio analogo all’applicazione della normativa sulla responsabilità amministrativa delle persone giuridiche trattata dal D.lgs. 231/2001.

Quest’ultimo comparto normativo delinea un sistema di responsabilità per le organizzazioni imprenditoriali, e nel contempo configura le strade per attenuare, ma anche per eliminare il rischio delle pesanti sanzioni amministrative correlate alla commissione da parte dei manager aziendali oppure dei dipendenti di un serie di reati.

Peraltro, l’obiettivo della responsabilizzazione si può e si deve realizzare attraverso un modello organizzativo, che potremmo definire “modello organizzativo privacy”, che ha molti punti in contatto, sia come filosofia dell’impianto sia come contenuti, con il “modello organizzativo 231”.

Decreto legislativo 231/01: i dettagli

Entrato in vigore nel 2001, il D.lgs. 231/01 è un decreto che introduce la responsabilità amministrativa delle società per reati commessi dai loro membri nell’esercizio delle funzioni aziendali.

Secondo il Decreto Legislativo 231/2001, le aziende risultano punibili per illeciti commessi da:

  1. persone che rivestono ruoli di rappresentanza, gestione e amministrazione;
  2. entità organizzative autonome;
  3. persone soggette alla direzione e vigilanza, come i dipendenti.

Le organizzazioni coinvolte in illeciti potranno incorrere in sanzioni amministrative e penali. Tra i reati più significativi compresi nel Decreto vi sono quelli ai danni:

  1. dell’ambiente;
  2. dei lavoratori;
  3. della pubblica amministrazione;
  4. reati societari.

Oltre agli inevitabili danni alla reputazione, le sanzioni a cui le aziende possono andare incontro sono molto pesanti e applicabili anche in via cautelare.

Le ammende partono da €25.000 e possono arrivare fino a 1,5 milioni di euro, e prevedono l’interdizione dall’esercizio delle attività con confisca del profitto.

Per diminuire il rischio di illeciti, la strada migliore che le aziende possono intraprendere è l’adozione del Modello Organizzativo 231. Si tratta di un sistema preventivo, stabilito dall’azienda al fine di indirizzare i comportamenti dei suoi membri al rispetto delle norme attinenti alla responsabilità d’impresa.

Valutazione e prevenzione del rischio privacy: il risk management

Il D.lgs. 231/01 relativo alla responsabilità amministrativa delle persone giuridiche è fortemente impostato sulla metodologia del risk management; prevede, infatti, la definizione di un modello in cui sono analizzati i rischi di commissione di reati e sono stabilite le corrispondenti misure di prevenzione oltre alla creazione di un organismo che vigili sull’applicazione e sull’adeguatezza del modello.

Un concetto simile, anche se non analogo, lo ritroviamo nel GDPR: una delle novità introdotte dal Regolamento europeo è che in caso di violazione dei dati personali (data breach) che comporti un rischio per i diritti degli interessati, l’azienda ha l’obbligo di notificare l’accaduto al Garante e, se il rischio per gli interessati è elevato, ha l’obbligo di notifica anche agli interessati, con danno di immagine incalcolabile.

Per tutte queste ragioni il GDPR prescrive (art. 35, Valutazione d’impatto sulla protezione dei dati o DPIA) che l’analisi dei rischi sia condotta in termini di valutazione dell’impatto che un incidente sui dati ha sull’interessato.

L’articolo 32 del Regolamento europeo si riferisce alla sicurezza del trattamento che, pur se articolata su più piani, non può che prevedere adempimenti diversi nel rispetto di un criterio-guida che è quello dell’adeguatezza. Se è vero che le misure di sicurezza devono essere adeguate al livello di sicurezza cui aspirare e, a sua volta, quest’ultimo deve essere adeguato al rischio, è chiaro che la sicurezza di ciascun tipo di trattamento del dato personale parte dall’analisi di rischio.

Analizzato e individuato il rischio di distruzione, perdita, modifica, divulgazione non autorizzata ovvero accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati, il livello di sicurezza è adeguato quando è in grado di prevenire il rischio attraverso misure di sicurezza idonee a mantenerlo entro una soglia di accettabilità.

Misure di sicurezza che possono essere sia da natura tecnica sia di natura organizzativa, con la differenza che le prime sono affidate ad uno strumento, a una macchina, a un elaboratore e sono tanto più efficaci quanto più corretta è la programmazione e la funzionalità della macchina; le seconde, invece, sono affidate ai comportamenti delle persone, ad uno standard codificato in regole aziendali, ordini di servizio e protocolli operativi, e sono tanto più efficaci quanto più adeguata è la formazione erogata agli addetti al trattamento e la loro sensibilizzazione.

Se si parla di rischio, idoneità e adeguatezza sono concetti che immediatamente evidenziano un’assonanza con quanto attiene all’applicazione del D.lgs. 231/2001: anche nell’ambito della responsabilità amministrativa si ravvisa la necessità di condurre un’analisi di rischio, la necessità di prevedere un sistema di controlli interni che siano idonei e adeguati alla prevenzione degli anzidetti rischi ovvero alla riconducibilità degli stessi entro una soglia di accettabilità.

L’approccio “risk based” è sicuramente il medesimo, tuttavia sembrano potersi ravvisare delle differenze rispetto all’oggetto e alla finalità.

La valutazione del rischio nel D.lgs. 231/2001 da un lato mira a rintracciare, analizzare e valutare i rischi di commissione del reato che possono fisiologicamente annidarsi nella gestione dei processi aziendali; dall’altro lato risulta funzionale a garantire l’integrazione e l’attuazione di misure di controllo che sorreggano un’organizzazione aziendale capace di pevenire la commissione di un reato a vantaggio o nell’interesse dell’ente stesso.

Per converso la valutazione del rischio ex GDPR mira a rintracciare, analizzare e valutare il rischio di distruzione, perdita, modifica e divulgazione o accesso non autorizzato, accidentale o illegale e, dunque, il rischio di lesione dei diritti dell’interessato al trattamento e lo fa al fine, principale, di conformarsi ad un obbligo legislativo e, contestualmente, di proteggere e tutelare l’interessato al trattamento.

Se il riferimento al trattamento illecito dei dati pone evidentemente in relazione il D.lgs. 231/01 e la Parte III del D.lgs. 196/2003 come modificata, peraltro, dal Decreto attuativo pubblicato lo scorso 4 settembre (D.lgs. 101/2018), la considerazione non è così immediata rispetto alla relazione tra il D.lgs. 231/01 e i reati informatici per quanto l’afferenza all’area IT faccia pensare, comunque, ad un nesso tra la valutazione dei rischi funzionale alla protezione dei dati personali e quella funzionale alla prevenzione del rischio di commissione dei reati stessi.

Normativa privacy e D.lgs. 231/01: punti di contatto

I punti di contatto sono ravvisabili nel fatto che si individuano centri di attività comuni, alcune delle quali di sorveglianza, altre di formazione.

Sono ravvisabili nella mappatura dei rischi e nella individuazione delle modalità per mitigare l’insorgenza del rischio oltre che le conseguenze del danno, nel caso in cui l’evento non sia stato scongiurato. Simile è l’impianto del GDPR: anche qui si impone una mappatura, stavolta dei trattamenti nonché un’analisi dei rischi, distinti a seconda del loro grado, e anche delle possibili conseguenze per l’interessato.

A questa analisi segue l’individuazione delle misure di rimedio. Constatiamo la necessità di pianificare la formazione e l’istruzione in ordine al rispetto degli standard relativi al trattamento e alle misure di sicurezza. Si evidenzia l’individuazione di un centro di sorveglianza molto importante, che è rappresentato dalla funzione del responsabile della protezione dei dati (DPO).

I punti di contatto sono ancora evidenziati dal fatto che alcuni reati presupposto della sanzione della responsabilità amministrativa delle imprese riguardano tipicamente aspetti connessi a flussi informativi.

In effetti, il decreto legislativo 231/2001 prevede tra i reati presupposto alcuni reati informatici e connesse fattispecie di trattamento illecito dei dati. Non a caso, proprio per tale ragione, alcuni modelli organizzativi 231, elaborati da associazioni o enti esponenziali di categorie economiche, prevedono tra i soggetti da coinvolgere nella stesura e nell’applicazione dei modelli organizzativi del codice di comportamento proprio il consulente privacy o DPO.

Ciò a comprova del fatto che si tratta di un settore dal quale possono derivare falle e comunque pericoli per la commissione di reati riconducibili ad una politica d’impresa e, pertanto, tali da provocare una reazione sanzionatoria a carico dell’impresa stessa.

Normativa privacy e D.lgs. 231/01: le differenze

Oltre ad elementi di connessione ci sono anche elementi di differenza con il D.lgs. 231/2001. La principale differenza è rappresentata dall’individuazione netta e precisa, da parte del decreto legislativo 231/2001, di piena non responsabilità in relazione all’esatta costruzione ed esecuzione ed applicazione del modello organizzativo.

Per quanto lo stesso modello organizzativo sia suscettibile di essere valutato dal giudice nella sua congruità e idoneità, è comunque rinvenibile nell’apparato normativo una declaratoria di non responsabilità connessa alla predisposizione di cautele preventive.

Ci riferiamo in particolar modo all’articolo 6 del decreto legislativo 231/2001, che contiene la dichiarazione di non responsabilità per il reato commesso da chi occupa una posizione apicale, così come all’articolo 7, con riferimento ai reati commessi da soggetti in posizione subordinata.

Ebbene, una declaratoria di questo tipo, così netta, non è rintracciabile nel regolamento europeo 2016/679, benché i modelli organizzativi e l’apparato documentale, in cui viene incorporata la responsabilizzazione, così come l’adesione a codici di condotta sono tutti elementi che dovranno essere presi in considerazione dalla autorità di controllo nell’ambito della valutazione della responsabilità del titolare del trattamento.

Analizzando le condotte di reato che devono essere intercettate e prevenute dal sistema dei controlli D.lgs. 231/2001 pare che non vi sia una così stretta relazione tra 231 (reati informatici) e GDPR e/o D.lgs. 196/2003: se è vero che il rischio che l’Azienda è chiamata a prevenire ex D.lgs. 231/01 è quello del reato commesso nell’interesse o a vantaggio dell’Azienda stessa, le misure di sicurezza tecniche ed organizzative messe a protezione (ex GDPR) di quei dati personali che l’Azienda, al suo interno, tratta con i sistemi informatici, talvolta potrebbero risultare ininfluenti nell’ottica del D.lgs. 231/01 visto che, per questo, soltanto la proiezione verso l’esterno delle stesse condotte parrebbe compatibile con la necessaria sussistenza dell’interesse o vantaggio dell’azienda ai fini 231.

Si pensi al noto Allegato B del D.lgs. 196/2003: tutte le misure di sicurezza ivi elencate possono ritenersi idonee e adeguate a prevenire il rischio da reato?

È chiaro che condotte di reato (informatico) che muovano dall’interno per un vantaggio personale dell’autore del reato e/o per un interesse incompatibile con l’azienda ovvero condotte che muovano dall’esterno, incompatibili con la responsabilità amministrativa 231 perché addirittura arrecanti – potenzialmente – un danno all’azienda, non devono essere intercettate ai fini della prevenzione del rischio da reato, tuttavia denotano la fragilità del sistema di protezione dei dati e rafforzano la necessità di una valutazione del rischio GDPR.

La riflessione ha una sua valenza anche invertendo i termini, poiché l’aver implementato ed attuato un idoneo e adeguato sistema dei controlli 231 può non esser sufficiente per poter vantare un idoneo e adeguato sistema di protezione dei dati personali trattati.

Prevenire il rischio di trattamento illecito dei dati ex D.lgs. 231/01, a stretto rigore, significa prevenire il trattamento illecito commesso nell’interesse o a vantaggio dell’azienda, non anche il trattamento illecito a danno dell’azienda o, comunque, a vantaggio o nell’interesse di altri, parimenti rilevante ex GDPR e D.lgs. 196/2003.

L’obiettivo verso cui tendere è l’implementazione di un sistema di controlli idoneo e adeguato a prevenire il rischio di commissione di reati “connessi” al trattamento di dati personali, ivi inclusi i reati informatici, e, al contempo, idoneo a proteggere gli stessi dati personali dagli specifici rischi contemplati dal GDPR che pone tutta una serie di adempimenti.

Talvolta le misure di sicurezza 231 e GDPR potrebbero non coincidere perfettamente ma ciò non fa che confermare l’esistenza di quelle differenze sostanziali connesse all’oggetto della valutazione del rischio ed alla finalità.

Ciò che sicuramente ha preminente importanza è non creare un sistema di controlli interno ridondante e/o, addirittura, incoerente: reciprocità e relazione, ove possibili, non potranno che accrescere l’efficacia del sistema dei controlli interni aziendali.

Considerazioni finali

A livello pratico, quindi, può essere utile, per quelle organizzazioni che hanno definito e incrementato nel corso degli anni un modello organizzativo 231, recuperare il contenuto dello stesso e verificare quanto di tali contenuti siano trascinabili nel “modello privacy”.

Ciò anche per garantire un necessario coordinamento e un necessario collegamento tra i due modelli. Non bisogna cadere nell’errore di ritenere che il “modello organizzativo 231” esaurisca in maniera completa tutti gli aspetti di programmazione e di formazione imposti dal Regolamento europeo sulla privacy.

Bene fa, quindi, l’impresa a mappare i trattamenti e a mappare i rischi riprendendo anche i rischi individuati nel modello organizzativo 231, soprattutto con riferimento ai delitti informatici e relativi al trattamento illecito di dati, per poi combinare i piani dei possibili rimedi e quelli di formazione.

Si ottimizzeranno gli adempimenti e si darà una solida base alla propria responsabilità imprenditoriale.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5