Modello 231 e GDPR: confronto tra sistemi di organizzazione

Condividi

Come noto, il modello di organizzazione e gestione (o “modello ex d.lgs. n. 231/2001), ai sensi della legge italiana, indica un modello organizzativo adottato da persona giuridica, o associazione priva di personalità giuridica, volto a prevenire la responsabilità penale degli enti.

Se confrontiamo il modello di organizzazione delineato dal d.lgs. n. 231/2001 per le imprese, ci rendiamo conto che sono non pochi i punti di contatto con il “modello organizzativo privacy”, così come emerge sistematicamente dalla lettura del Regolamento 679/2016 o GDPR.

Un semplice confronto tra le norme ci aiuta a chiarire questo punto. L’art. 6 del Decreto 231, rubricato “Soggetti in posizione apicale e modelli di organizzazione dell’ente”, dispone al comma 1:

“1. Se il reato e’ stato commesso dalle persone indicate nell’articolo 5, comma 1, lettera a), l’ente non risponde se prova che:
a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;
b) il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento e’ stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo;
c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
d) non vi e’ stata omessa o insufficiente vigilanza da parte dell’organismo di cui alla lettera b)”.

Anzitutto, è simile lo scopo, perché se il Modello 231 è diretto a ottenere l’ esenzione da responsabilità, fermo che competerà comunque alla competente Autorità Giudiziaria valutare la congruità del modello rispetto alle previsioni normative, così, il considerando 79 ci chiarisce che il GDPR impone delle misure volte a un chiaro riparto delle responsabilità nel trattamento, infatti “La protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento e dei responsabili del trattamento, anche in relazione al controllo e alle misure delle autorità di controllo, esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del trattamento o quando l’operazione di trattamento viene eseguita per conto del titolare del trattamento”.

La lettera a, che impone l’adozione del modello di organizzazione, sembra rifarsi a un principio di responsabilizzazione del soggetto apicale che richiama quello di cui al Considerando 74 del GDPR, secondo cui “il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche”, e dell’art. 24 per cui “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

Non può sfuggire che in entrambi i corpi normativi spetta alla struttura apicale fissare quali siano le “misure idonee”. Nel caso della 231, le misure sono volte “a garantire lo svolgimento dell’attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio”. Nel GDPR il Titolare deve garantire che siano “in grado di dimostrare la conformità delle attività di trattamento con il presente Regolamento, compresa l’efficacia delle misure”, in ogni caso devono essere “misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato”, sicchè i dati siano “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5).

Il successivo considerando 77, nello specificare la portata e l’efficacia di tali misure, fa riferimento proprio a linee guida e codici di condotta: “Gli orientamenti per la messa in atto di opportune misure e per dimostrare la conformità da parte del titolare del trattamento o dal responsabile del trattamento in particolare per quanto riguarda l’individuazione del rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l’individuazione di migliori prassi per attenuare il rischio, potrebbero essere forniti in particolare mediante codici di condotta approvati, certificazioni approvate, linee guida fornite dal comitato o indicazioni fornite da un responsabile della protezione dei dati”.

Anche in questo caso notiamo un parallelismo con il Decreto 231, che all’art. 6, comma 4, afferma: “I modelli di organizzazione e di gestione possono essere adottati, garantendo le esigenze di cui al comma 2, sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti, comunicati al Ministero della giustizia che, di concerto con i Ministeri competenti, puo’ formulare, entro trenta giorni, osservazioni sulla idoneita’ dei modelli a prevenire i reati”.

Nemmeno sfugge a un attento lettore che entrambi i modelli organizzativi, quello del Decreto 231 e quello del GDPR, fanno riferimento ad un approccio individuato come “basato sul rischio”.

Il Decreto 231 dispone all’art. 6, comma 2, che:

“In relazione all’estensione dei poteri delegati e al rischio di commissione dei reati, i modelli di cui alla lettera a), del comma 1, devono rispondere alle seguenti esigenze:
a) individuare le attivita’ nel cui ambito possono essere commessi reati;
b) prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;
c) individuare modalita’ di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;
d) prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli;
e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello”.

All’art. 7, comma 3, viene altresì specificato che “Il modello prevede, in relazione alla natura e alla dimensione dell’organizzazione nonche’ al tipo di attivita’ svolta, misure idonee a garantire lo svolgimento dell’attivita’ nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio”.

Anche il GDPR ha un approccio basato sul rischio, come chiarito già nel Considerando 76 secondo cui “La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato”, oltre al già citato Considerando 77.

L’esito di tale approccio, è nel GDPR la valutazione di impatto, che ha non pochi punti di contatto col Modello 231, come emerge dalla lettura del Considerando 84: “Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d’impatto sulla protezione dei dati per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio. L’esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Laddove la valutazione d’impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l’autorità di controllo”.

In sintesi, i due modelli esaminati presentano numerose sintonie e punti di contatto, sebbene sussista una differenza importante. L’articolo 6 del decreto legislativo 231/2001 contiene la dichiarazione di non responsabilità per il reato commesso dal chi occupa una posizione apicale, così come l’articolo 7, con riferimento ai reati commessi da soggetti in posizione subordinata, mentre nel regolamento europeo 2016/679 al principio di responsabilizzazione, non si accompagna una esenzione da responsabilità, ma anzi le misure adottate sono tutti elementi che dovranno essere presi in considerazione dalla autorità di controllo e dall’autorità giurisdizionale nell’ambito della valutazione della responsabilità del titolare del trattamento.

Elio Errichiello

 

 

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *