dati

Dati sensibili: misure a presidio anche dal modello 231

L’assetto organizzativo conforme al regolamento europeo può prevenire i reati presupposto relativi alla sicurezza delle informazioni dei dati previsti dal Dlgs 231.

Le indicazioni sul trattamento dati dettate dal Gdpr

Il regolamento generale sulla protezione dei dati (regolamento Ue 2016/679). Meglio noto con l’acronimo anglosassone “Gdpr”, emanato nel 2016 dal Parlamento europeo e dal Consiglio Ue è entrato in vigore nel maggio dello scorso anno. Ha introdotto una nuova disciplina in materia di privacy e data protection direttamente applicabile all’interno degli Stati membri.

Il Gdrp ha sovvertito l’impianto precedente (direttiva 95/46/CE), fondato su un sistema di notifica alle Autorità di controllo e di prescrizioni di dettaglio. Ha previsto l’allestimento di una normativa più funzionale alle esigenze dell’attuale sviluppo tecnologico, improntata all’obiettivo di responsabilizzare i soggetti che trattano dati.

Nel regolamento europeo, infatti, oltre a essere ribaditi i principi generali del trattamento dei dati personali in gran parte già risalenti alla direttiva 95/46/CE. Tra cui la liceità, la correttezza e la trasparenza del trattamento. Ma anche la minimizzazione, la limitazione della conservazione e le finalità del trattamento.

Si aggiunge il principio di “accountability” (articolo 5). In forza di tale principio il titolare del trattamento è tenuto a porre in essere tutta una serie di misure tecniche e organizzative. Ciò per garantire e dimostrare che il trattamento dei dati personali degli interessati è effettuato nel rispetto della normativa.

E’ quindi il singolo titolare a dover individuare modalità concrete del trattamento conformi agli standard di tutela stabiliti dal Gdpr. Inoltre dovrà essere in grado di documentarlo (articolo 5, comma 2).

Questi, salvo taluni casi specifici, non è più tenuto a interloquire preventivamente con il Garante, ma assume su di sé il rischio dei trattamenti effettuati.

Diventa dunque necessario predisporre un sistema di gestione della privacy che possa essere oggetto di prova da parte del titolare in caso di verifiche dell’Autorità.

Il Gdpr ed il Dlgs 231

Nella direzione della organizzazione preventiva del trattamento dei dati si colloca l’articolo 32 del Gdpr. Questo sancisce l’obbligo di predisposizione di misure tecniche organizzative adeguate a garantire un livello di sicurezza conforme al rischio connesso alla gestione dei dati.

Questo assetto è finalizzato alla gestione dei rischi associati ai differenti trattamenti posti in essere. In particolare quelli derivanti dalla distruzione, dalla perdita, modifica, o divulgazione non autorizzata o dall’accesso. In modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.

Varie sono le misure organizzative che il titolare del trattamento può mettere in campo, quali l’indicazione del rischio connesso a ciascun trattamento. La predisposizione di un organigramma privacy, con attribuzione dei relativi compiti e responsabilità. La previsione di procedure peculiari relative a singole evenienze.

Procedure volte a garantire la sicurezza dei dati o la loro accessibilità. Infine, controlli periodici sulla “tenuta” del modello organizzativo. A livello tecnico, invece, il Gdpr indica, in prima battuta, la pseudinimizzazione e la cifratura dei dati.

L’importanza del modello 231 nella gestione dei dati

L’onere organizzativo può essere assolto attraverso l’adesione ai codici di condotta elaborati da associazioni di categoria secondo quanto stabilito dall’articolo 40 del Gdpr. In alternativa è possibile avvalersi delle procedure di certificazione previste dall’articolo 42 del regolamento.

Una volta adottate le misure, il titolare dovrà darne atto nel registro dei trattamenti, istituito in base all’articolo 30 dello stesso testo.

Il Gdpr presenta evidenti affinità, quanto alla ratio, con la disciplina della responsabilità da reato degli enti ex Dlgs 231/01. Ciò laddove entrambe le normative puntano sul dovere di auto organizzazione rivolto alla prevenzione di condotte illecite o per così dire “patologiche”, in senso lato. Tutavia la grande differenza è che le prescrizioni del Gdpr sono vincolanti per il titolare del trattamento. Invece la disciplina del Dlgs 231/01 non impone al momento l’adozione di un modello da parte dell’ente.

Il parallelo Gdrp – modello 231

Differenti sono poi le finalità cui tendono le due normative. Il Gdpr esige un assetto funzionale agli scopi del regolamento e, dunque, preventivo rispetto alla lesione dei diritti degli interessati. Il modello del Dlgs 231/01 invece deve essere idoneo a prevenire la commissione di reati-presupposto che possono avere all’origine o portare alla violazione di dati personali.

Rilevano, in particolare, i delitti informatici e di trattamento illecito di dati indicati nell’articolo 24 bis: accesso abusivo a sistema informatico o telematico. Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche. Installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche.

Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente o comunque di pubblica utilità. Detenzione e diffusione abusiva di codici di assesto a sistemi informatici o telematici. Diffusione di apparecchiature, dispositivi o programmi dietti a danneggiare o interrompere un sistema informatico.

E’ quindi ben possibile che l’adozione di misure organizzative conformi al Gdpr apporti un importante contributo. Questo in termini di prevenzione di condotte direttamente o indirettamente prodromiche alla commissione dei reati di cui all’articolo 24 bis del Dlgs 231. Viceversa, l’adozione di un modello 231 idoneo può rivelarsi funzionale a prevenire la lesione dei diritti degli interessati nel trattamento dei dati personali.

Conclusioni

Concludiamo come sempre invitandovi a registrarvi alla nostra newsletter per rimanere sempre aggiornati sulle varie attività . Vi invitiamo a leggere anche gli altri articoli in tema di privacy e modello 231!