I modelli di organizzazione, gestione e controllo 231 e la compliance in materia di privacy imposta dal GDPR: punti a contatto e divergenze insanabili.

Il Decreto Legislativo 231/01 ha per la prima volta introdotto nell’ordinamento giuridico italiano il concetto di responsabilità amministrativa degli enti per i reati commessi nel loro interesse o vantaggio da soggetti che rivestono una posizione apicale nella struttura dell’ente o da soggetti sottoposti all’altrui direzione e vigilanza. La norma prevede espressamente che l’ente possa limitare o evitare l’addebito della responsabilità penale mediante l’adozione di un modello organizzativo idoneo a prevenire i reati della specie di quello che è stato commesso.

Il D.Lgs. 231/2001 disciplina il contenuto dei modelli di organizzazione e di gestione il quale dovrà prevedere, tenuto conto dell’analisi delle fattispecie di reato ipotizzabili in relazione al contesto aziendale in esame:

• le attività nel cui ambito possono essere commessi reati;
• le modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;
• specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni della società in relazione ai reati da prevenire.

Il modello organizzativo di gestione e controllo, oltre ad essere idoneo, deve essere anche attuato in maniera efficace e cioè:

• deve essere prevista la verifica periodica e l’eventuale modifica del modello quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell’organizzazione e nell’attività dell’ente;
• il modello deve contenere un sistema disciplinare idoneo a vigilare sull’applicazione del modello e a sanzionare il mancato rispetto delle misure indicate nello stesso.

Il GDPR e Decreto Legislativo 231/2001

Il Regolamento generale sulla protezione dei dati (GDPR), come noto, ha imposto alle organizzazioni imprenditoriali la determinazione di un sistema di adempimenti diretti ad assicurare che il trattamento dei dati personali delle persone fisiche sia conforme ai principi stabiliti dalla norma.

In particolare, a mente del principio di responsabilizzazione (accountability) delineato dal GDPR, gli enti – nella persona del titolare del trattamento (data controller) – sono tenuti a predisporre e implementare modelli di gestione aziendale ispirati ai criteri di risk-based approach, i cosiddetti modelli organizzativi privacy.

Questi modelli devono tenere conto dei rischi potenziali riconducibili all’attività svolta dall’ente con riferimento alle operazioni che coinvolgono dati personali riconducibili alla definizione di “trattamento” stabilita dal Regolamento.

Il Risk based approach

Entrambi i modelli organizzativi (231 e privacy) sono improntati al principio del risk based approach (approccio basato sul rischio) che si fonda sulla necessità di individuare le attività proprie dell’ente potenzialmente a rischio di commissione reato 231 oppure rischio derivante dal trattamento di categorie di dati personali, adottando le misure di mitigazione appropriate in base al livello di rischio riscontrato.

Il risk based assessment è l’elemento che accumuna le due normative sopra indicate. Tale assunto trova conferma nella corrispondenza tra alcuni degli adempimenti previsti dal GDPR con quelli che costituiscono il contenuto dei modelli di organizzazione e gestione disciplinati dagli articoli 6 e 7 del Decreto 231.

In primo luogo, vi è un rapporto di coincidenza tra:

• l’obbligo in capo al titolare del trattamento, previsto dall’articolo 24 del GDPR, di mettere in atto le misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato in modo conforme al regolamento;
• l’onere in capo all’ente di adottare ed efficacemente attuare, ad opera del proprio organo dirigente, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi (articolo 6 comma 1 lett. a del Decreto 231).

Inoltre, tra i comportamenti riconducibili all’approccio basato sul rischio che l’ente deve attuare per conformarsi tanto alla normativa privacy quanto al Decreto 231, rientrano inoltre il riesame e l’eventuale aggiornamento dei modelli attraverso procedure di revisione delle misure tecniche e organizzative e delle garanzie necessarie per soddisfare i requisiti del regolamento nel corso del trattamento (articoli 24 e 35 GDPR: “DPIA” nel caso in cui sia necessaria per trattamenti che presentino un rischio elevato per i diritti e le libertà delle persone fisiche), ovvero per assicurare l’efficace attuazione del modello a seguito di violazioni o di mutamenti nell’organizzazione (articolo 7 comma 4 Decreto 231).

Protocolli per la formazione delle decisioni dell’ente

Un altro punto di contatto tra i due modelli consiste nel fatto che entrambe le legislazioni (GDPR e Decreto 231) indicano l’opportunità di adottare protocolli specifici, adottati sulla base del risk based approach, per la formazione e l’esecuzione delle decisioni dell’ente e/o del trattamento in grado di garantire la conformità alla normativa, penale e in materia di data protection, che sussista già a monte dell’intero procedimento decisionale.

Il Decreto 231 si limita a suggerire all’ente di “prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire” (art. 6 c. 2 lett. b), rimettendo agli organi sociali la determinazione del contenuto di tali protocolli.

Il GDPR stabilisce che il Titolare del Trattamento deve individuare, in modo specifico per tutti i trattamenti, le misure tecnico – organizzative che devono essere adottate per assicurare adeguata tutela ai dati dell’interessato.

L’articolo 25 del GDPR dispone, infatti, che il Titolare, prima di effettuare il trattamento e anche all’atto del trattamento stesso, tenuto conto delle risorse a disposizione, della tipologia dei trattamenti e del contesto aziendale, debba mettere in atto misure tecniche e organizzative adeguate. L’articolo 25del GDPR prosegue indicando ad esempio la pseudonimizzazione come misura adeguata per conseguire i principi di protezione dei dati personali, tra cui il principio di minimizzazione, in base al quale i dati raccolti dal Titolare devono essere sempre adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per i quali sono trattati.

Gli organismi di vigilanza

Entrambi i modelli organizzativi, per poter essere definiti adeguati, devono essere affiancati da organismi dotati di compiti di sorveglianza affinché gli strumenti di compliance siano adottati ed efficacemente implementati.

Questi organismi sono l’Organismo di Vigilanza, nel caso dei modelli organizzativi 231, ed il Responsabile della Protezione Dati (detto anche Data Protection Officer o DPO), nel caso dei modelli privacy. Gli organismi sono comparabili non solo per la posizione di terzietà che devono assumere rispetto all’organizzazione aziendale, ma anche in relazione all’autonomia e ai poteri di controllo a loro assegnati nonché ai flussi di informazione che l’ente o i protagonisti del trattamento dati devono assicurare con i medesimi organismi, aventi ad oggetto, in particolare, le comunicazioni di eventuali violazioni dei modelli o dei rischi di commissione di reati o di data breach (articolo 6 c. 2 lett. b) del Decreto 231 e articoli 37 e 38 GDPR).

Ciò che li distingue è, invece, il fatto che il GDPR determina in maniera più puntuale i poteri e le incombenze attribuite al DPO di quanto faccia il Decreto legislativo 231 per l’Organismo di Vigilanza. Inoltre, in base al Decreto 231, la nomina di un Organismo di Vigilanza è obbligatoria al fine di soddisfare i requisiti minimi di adeguatezza del sistema organizzativo per tutti gli enti, mente il DPO deve essere individuato soltanto al ricorrere di determinate circostanze.

Una seconda e fondamentale, differenza, risiede inoltre nella loro capacità “deresponsabilizzante” di contenimento e/o esclusione di profili di responsabilità per l’ente e per il titolare del trattamento. Ai sensi del Decreto legislativo 231/2001, l’ente risponderà solo dei reati commessi “nel suo interesse e/o a suo vantaggio” da coloro che rivestono posizioni di vertice, ovvero da chi è sottoposto alla direzione dei primi. Non potrà essere, al contrario, addebitata all’ente la responsabilità amministrativa da reato in caso di illeciti perpetrati a suo danno, oppure nel suo interesse o a suo vantaggio da soggetti estranei all’organizzazione imprenditoriale.

Il GDPR, al contrario, prevede che al titolare del trattamento possano essere irrogate sanzioni in tutti i casi in cui possa essere a lui addebitata una violazione dei dati personali derivante dall’assenza, o inefficacia, di adeguati strumenti di data protection. Ciò anche nel caso in cui la violazione abbia comportato un danno per l’ente (si pensi ai casi di cybercrime), oppure qualora il data breach sia posto in essere da soggetti estranei ad esso. In conclusione, possiamo ribadire come sia necessario per una Azienda, per quanto riguarda la prevenzione dei reati e per il rispetto dei principi di protezione dei dati personali, predisporre dei sistemi e/o modelli che siano effettivamente efficaci e adeguati a prevenire, mitigare o escludere il rischio di ipotesi di reato e/o data breach.