Integrazione tra la normativa sulla protezione dei dati ed il Dlgs 231/2001
La normativa in materia di protezione dei dati personali e il Dlgs 231/2001 "Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell´articolo 11 della legge 29 settembre 2000, n. 300" hanno diversi elementi in comune. In questo articolo si vogliono approfondire alcuni di essi, con l’obiettivo di illustrare come favorire l’integrazione tra sistemi.
I reati contemplati dal Dlgs 231/2001 che impattano sulla protezione dei dati - Per quanto la normativa in materia di protezione dei dati non rientri nel perimetro del Dlgs 231/2001, i due modelli presentano molti più punti in comune di quanto possa apparire; vi sono quindi degli aspetti che è opportuno considerare.
I punti di integrazione tra protezione dati e il Dlgs 231/2001 - I punti in comune, a livello documentale ed anche applicativo, tra i due sistemi, sono indicati di seguito, organizzati per macro temi.
Un primo punto di integrazione è il Codice etico:
- Il Codice etico potrebbe considerare anche la protezione dei dati personali come elemento di principio cui attenersi;
- Il Codice etico potrebbe richiamare anche le istruzioni per gli autorizzati in materia di protezione dei dati;
- Il sistema sanzionatorio richiamato dal Codice Etico dovrebbe considerare anche le sanzioni per il mancato rispetto delle misure per la protezione dei dati personali.
Un secondo punto di integrazione viene individuato nelle procedure:
- La procedura per i rapporti con la Pubblica Amministrazione, tipica del Modello Dlgs 231/2001, dovrebbe contemplare anche aspetti relativi ai rapporti con l’Autorità Garante della protezione dei dati;
- La procedura relativa alle verifiche da parte della Pubblica Amministrazione dovrebbe considerare anche le verifiche da parte dell’Autorità Garante della protezione dei dati;
- La procedura Whistleblowing dovrebbe considerare anche gli aspetti relativi alla protezione dei dati dei soggetti sia segnalanti che segnalati;
- La procedura sull’acquisto e la dismissione degli hardware dovrebbe prevedere anche un passaggio per quanto riguarda la gestione delle licenze software (reati relativi al copyright) - Riferimento a Delitti informatici e trattamento illecito di dati (Art. 24-bis, Dlgs. n. 231/2001) - articolo aggiunto dalla Legge 48/2008, modificato da Dlgs. n. 7 e 8/2016 e dal D.L. n. 105/2019;
- La procedura per lo smaltimento dell’HW dovrebbe considerare anche gli aspetti relativi alla gestione dei rifiuti (compresa la normativa sul REACH) - Riferimento a Reati ambientali (Art. 25-undecies, Dlgs. n. 231/2001) - articolo aggiunto dal Dlgs. n. 121/2011, modificato dalla L. n. 68/2015, modificato dal Dlgs. n. 21/2018;
- Dovrebbero essere previste procedure che impongano misure che considerino aspetti afferenti ai sistemi informatici - Riferimento a Delitti informatici e trattamento illecito di dati (Art. 24-bis, Dlgs. n. 231/2001)” - articolo aggiunto dalla L. n. 48/2008; modificato da Dlgs. n. 7 e 8/2016 e dal D.L. n. 105/2019;
- La procedura relativa al Data Breach potrebbe considerare anche la segnalazione dell’evento all’Organismo di Vigilanza.
Federprivacy ha organizzato un corso sull'integrazione tra la normativa sulla protezione dei dati ed il Dlgs 231/2001
Da considerare che lo stesso DPO, ad esempio a seguito di un Data Breach o di un’informazione proveniente da un flusso, potrebbe essere in possesso, in anticipo rispetto ad altri soggetti interni/esterni all’organizzazione, di informazioni riservate, configurando le potenziali condizioni per il compimento di un reato riconducibile all’Aggiotaggio (art. 2637 c.c.) - Riferimento a Reati societari (Art. 25-ter, D.Lgs. n. 231/2001) [articolo aggiunto dal Dlgs. n. 61/2002, modificato dalla L. n. 190/2012, dalla L. 69/2015 e dal Dlgs. n.38/2017]
Per quanto riguarda la qualificazione soggettiva dell’Organismo di Vigilanza ai fini privacy, si rimanda al “Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall'art. 6, D.lgs. 8 giugno 2001, n. 231” (documento web 9347842 pubblicato il 12 maggio 2020). Inoltre, vanno considerati anche i seguenti aspetti:
- Le informative devono indicare, tra gli enti preposti al controllo/indagine/audit anche l’Organismo di Vigilanza; conseguentemente:
# devono essere considerati i tempi di conservazione dei dati trattati dall’ODV
# devono essere definiti i luoghi di archiviazione (cartacei/elettronici) di tali dati
# dev’essere aggiornato il registro dei trattamenti come Titolare
# dev’essere effettuata l’analisi dei rischi su tali trattamenti
- Devono essere fornite istruzioni ai membri dell’ODV per il trattamento dei dati personali di dipendenti, clienti, utenti, prospect, nonchè di altri soggetti di cui possano venire a conoscenza nel corso delle attività a loro carico (interviste, audit, colloqui, indagini, ecc.);
- Dovrebbe essere considerato un incontro con frequenza annuale tra ODV e DPO, visti i rilevanti punti in comune tra i due modelli,
Inoltre, dovrebbero essere definite le responsabilità, i tempi e le modalità per la comunicazione all’ODV di un evento di Data Breach o, più in generale, di un qualunque evento rilevante che impatti sulla protezione dei dati personali. Un estratto di procedura sul Data Breach potrebbe prevedere un contenuto simile a quello di seguito proposto:
Comunicazione all’Organismo di Vigilanza - A seguito di un evento che comporti almeno la notifica al Garante, considerando anche quanto riportato nei flussi verso l’Organismo di Vigilanza nominato ai sensi del D.Lgs 231, ed in ogni caso qualora il Titolare del trattamento lo ritenga opportuno, è necessario aggiornare l’Organismo di Vigilanza. Tale attività è a cura del Titolare del trattamento e deve avvenire con modalità, per quanto possibile, rintracciabili; bisogna valutare anche il parere del DPO rispetto alla necessità e tempistica della comunicazione, analogamente a quanto previsto per la Comunicazione all’Organo amministrativo di competenza.
Per evitare inutili doppioni, gran parte delle misure descritte possono essere efficacemente documentate o richiamate nel Modello Organizzativo Privacy.
Conclusioni - Integrare le misure poste in atto per la protezione dei dati personali con il modello D.lgs 231/2001 permette di assumere un atteggiamento proattivo di anticipare problematiche e favorire processi sempre più efficienti, che riducano le sovrapposizioni. I punti di integrazione riassunti in questo articolo sono rilevanti, in misura maggiore di quanto possa essere colto con una prima superficiale analisi.