Siete qui: Oggi sulla stampa
Oggi sulla stampa

Modello 231 da allineare alle regole sulla privacy

I delitti privacy entrano nel perimetro del decreto legislativo 231/2001, in base al quale l’ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio da persone che rivestono una posizione apicale o loro sottoposti.
Lo prevede il Dl 93/2013 (il cosiddetto decreto sul femminicidio, che in realtà contiene anche altre norme rilevanti), in vigore dal 17 agosto scorso. Il Dl deve essere convertito in legge entro il 15 ottobre e attualmente, il disegno di legge per il suo recepimento è stato presentato alla Camera con atto n. 1540.
Onere probatorio e sanzioni
L’ente non risponde se prova che l’azienda ha adottato ed efficacemente attuato – prima della commissione del fatto – modelli di organizzazione e di gestione idonei a prevenire il reato. Il meccanismo adottato nella norma è un «inversione dell’onere della prova». Il nostro ordinamento, normalmente, considera ciascuno innocente fin tanto che non sia provata la sua colpevolezza. Nell’ottica del decreto 231, invece, per essere ritenuta incolpevole ed evitare la responsabilità amministrativa, l’azienda titolare del trattamento di dati dovrà dimostrare di avere messo in campo tutte le misure di prevenzione idonee a evitare la commissione dei tre delitti privacy indicati nel Dl 93.
La differenza tra le due impostazioni è di sostanza, aggravata dal fatto che, in mancanza di un adeguato modello, il Pm potrà – anche in via cautelare e dunque prima che l’impresa riesca a difendersi e sostenere le proprie ragioni – emettere le sanzioni previste dal decreto 231. Queste spaziano da quelle pecuniarie a quelle di interdizione come la sospensione o revoca di autorizzazioni o licenze, il divieto di pubblicizzare beni o servizi, sino all’interdizione temporanea dall’esercizio dell’attività.
Le sanzioni pecuniarie, poi, vengono quantificate in modo proporzionale alle capacità economiche e patrimoniali dell’azienda tenendo conto della gravità del fatto, del grado di responsabilità e dell’eventuale ravvedimento posto in essere. Queste sanzioni si aggiungeranno al quadro sanzionatorio previsto dal Codice privacy.
Come adeguare il modello
L’azienda deve dimostrare di avere adottato un modello di organizzazione e gestione «idoneo»; la proposta di regolamento Ue sulla privacy introduce qualcosa di analogo. Questa prova consiste nell’aver effettivamente promosso, in modo dinamico, una buona organizzazione per la tutela dei dati all’interno della propria struttura.
Per fare questo, l’impresa dovrà:
eanalizzare i rischi cioè le attività nel cui ambito possono essere commessi i tre delitti privacy (il Dps già prevedeva qualcosa di simile);
rporre in essere misure «idonee» a prevenirli.
Ciò avverrà attraverso un’accurata analisi di processi e procedure che aiuteranno a individuare competenze e ruoli in modo da poter correttamente delegare e responsabilizzare i singoli operatori (responsabili o incaricati che siano). Queste attività vanno riportate nelle cosiddette parti speciali del modello organizzativo, confezionate a misura per ogni impresa.
Affinché le prescrizioni contenute nel modello abbiano forza vincolante occorre prevedere un sistema che disciplini e punisca chi non rispetta le regole privacy e, soprattutto, che l’organismo di vigilanza (Odv) – dotato di autonomi poteri di vigilanza e controllo – vigili sul funzionamento e l’osservanza anche delle parti speciali di «stampo privacy».
L’adozione di un modello organizzativo inclusivo dell’ambito privacy è tecnicamente facoltativo anche se, come detto, l’idoneità del modello esistente esime l’azienda da responsabilità 231. Nella prassi, tale conformità spesso costituisce un presupposto per partecipare a gare pubbliche o selezioni private, vista la crescente sensibilità dei committenti al rispetto di atteggiamenti aziendali anticrimine, da parte dell’intera filiera di cui essi sono parte. La dotazione di un sistema di buona organizzazione data protection assurge a requisito che il mondo industriale invoca oramai a livello internazionale, anche per il rispetto di un generale principio di sana concorrenza.
L’ente, infatti, attraverso la ricognizione delle attività a rischio e della individuazione delle responsabilità interne, è in grado di monitorare e meglio utilizzare le risorse umane e strategiche, apprezzandone le inevitabili economie di scala che ne incrementano la competitività.
Codice privacy e Garante
Se, a una prima lettura, potrebbe sembrare che solo gli illeciti privacy più gravi siano stati presi in considerazione dal Dl 93 (vedi articolo a lato), a una più attenta analisi risulta evidente come – di fatto – sia la non conformità all’intero «sistema privacy», il vero presupposto della responsabilità 231 dell’azienda. In quanto l’adozione di un adeguato modello organizzativo di prevenzione dei «delitti privacy» non può che essere strutturato sul rispetto dei principi e regole del Codice privacy (Dlgs 196/2003), nonché delle prescrizioni del Garante.
Un buon sistema aziendale per la corretta gestione dei dati personali (e delle informazioni tout court) consiste in un percorso che offra un adeguato sistema di garanzie sin dalla fase di ingresso delle informazioni assicurando che esse circolino sempre in sicurezza.

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

La pandemia, come tutte le rivoluzioni, ha accelerato il cambiamento anche nel mondo del lusso. Ha ...

Oggi sulla stampa

Oggi sulla stampa

Il varo del decreto Sostegni bis ripristina gli aiuti fiscali miliardari per le banche che si fonde...

Oggi sulla stampa

Oggi sulla stampa

Il team Draghi-Cartabia scandisce le mosse sulla giustizia per portare a casa la riforma del proces...

Oggi sulla stampa