A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation),

relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Il nostro ordinamento, con il D.Lgs. 101/2018, ha armonizzato i contenuti del D.Lgs. 196/03 al GDPR

Il regolamento è costituito da norme sulla protezione dei dati personali, che puntano a due obiettivi principali: dare ai cittadini europei un controllo completo sui propri dati personali e semplificare il quadro normativo per le imprese che gestiscono tali dati.

Le novità introdotte dal GDPR pongono all’operatore di diritto diversi interrogativi in merito al rapporto tra lo stesso Regolamento Ue e il D.Lgs. 231/2001 ed i possibili punti di contatto tra le due discipline.

Uno dei pilastri, ed al tempo stesso obbiettivo, del GDPR è, senz’altro, la sicurezza di ciascun tipo di trattamento del dato personale. E’ evidente che la sicurezza del trattamento del dato personale parte dall’analisi delle diverse tipologie di rischio che possono configurarsi. In particolare, il rischio di distruzione, perdita, modifica, divulgazione non autorizzata ovvero accesso ai dati personali trasmessi, conservati o comunque trattati.

La prevenzione di tali rischi richiede misure di sicurezza idonee ed adeguate a contrastarli.

Questo approccio basato sulla valutazione del rischio rimanda direttamente all’approccio analogo proprio della disciplina sulla Responsabilità Amministrativa delle persone giuridiche trattata dal D.Lgs. 231/2001. Infatti, anche nell’ambito della Responsabilità Amministrativa dell’Ente sussiste la necessità di un’analisi dei rischi-reato e, conseguentemente, la necessità di prevedere un sistema di controlli idonei ed adeguati alla prevenzione di tali rischi e, quindi, della commissione di reati presupposto.

A ben vedere, sia il GDPR che il D.Lgs. 231/2001 hanno posto a carico delle imprese un onere di responsabilizzazione, che necessariamente richiede una preventiva mappatura, in astratto, dei rischi e l’individuazione di regole e protocolli mirati ad evitare, in concreto, il concretizzarsi dei rischi.

L’obiettivo della responsabilizzazione proprio del GDPR si può realizzare, con le modalità appena descritte, attraverso l’adozione da parte dell’impresa di un Modello in materia di privacy che presenta, come detto, affinità d’impostazione con il Modello 231.

Questo rappresenta, senza dubbio, il primo punto di contatto tra la normativa sulla protezione dei dati personali ed il D.Lgs. 231/2001.

Un secondo possibile incrocio tra le due discipline attiene, più specificatamente, ai reati presupposto individuati dal D.Lgs. 231/2001.

L’articolo 4 GDPR definisce violazione dei dati personali “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati“. Dall’analisi di questa norma emerge un immediato collegamento con l’articolo 24bis del D.lgs. n. 231/2001, rubricato “Delitti informatici e trattamento illecito di dati”. Tale articolo prevede, quali reati presupposto, i reati di accesso abusivo ad un sistema informatico o telematico (art. 615ter c.p.), detenzione e diffusione abusiva di codici di accesso a sistemi informatici (art. 615quater c.p.), interruzione illecita di comunicazioni informatiche o telematiche (art. 617quater c.p.), danneggiamento di informazioni, dati e programmi informatici (art. 635bis c.p.), danneggiamento di sistemi informatici o telematici (art. 635quater c.p.).

Il sistema di gestione in tema di privacy rileva, pertanto, sulla prevenzione dei reati informatici. Da questo punto di vista, si tratta di sistema che va opportunamente richiamato nel Modello 231 e con esso coordinato.

Ulteriore possibile punto di contatto, sempre in relazione ai reati presupposto ai sensi del D.Lgs. 231/2001, riguarda i reati di riciclaggio/autoriciclaggio (art 25-octies d.lg. 231). Il trattamento illecito di dati personali può procurare un profitto, in termini anche di un risparmio di spesa all’ente. Tali illeciti profitti potrebbero essere impiegati in attività lecite.

Altro impatto che il nuovo GDPR può avere sul D.Lgs. 231/2001 attiene al rapporto tra la figura dell’Organismo di Vigilanza e quella del Responsabile della Protezione dei Dati.

Tra i compiti affidati al Responsabile della Protezione dei Dati rientrano: la consulenza sugli obblighi derivanti dal GDPR, la sorveglianza circa l’osservanza del Regolamento, la fornitura, su richiesta, di un parere in merito alla valutazione di impatto (art. 39 GDPR). Tali compiti, a ben vedere, presentano analogie con quelli dell’Organismo di Vigilanza, nel vigilare sulla corretta attuazione del Modello 231.

Alla luce di tale considerazione, occorre valutare l’eventuale sovrapponibilità dei ruoli di OdV e RPD.

In assenza di divieti normativi, sembra si possa sostenere tale sovrapponibilità, anche se sottoposta ad alcune condizioni. La prima è la competenza tecnica specifica per settore: da un lato la conoscenza della disciplina della Responsabilità Amministrativa dell’ente e le sue implicazioni concrete, dall’altro la normativa in materia di tutela dei dati personali, dove oltre al Governo vi è la figura del Garante, che dispone dell’autorità per disciplinare la materia. Qualora il membro dell’OdV fosse anche RPD dovrebbe garantire un adeguato aggiornamento su entrambi gli ambiti.

La seconda condizione è la capacità di relazione tra i ruoli. L’OdV è senz’altro tenuto a relazionarsi con le controparti interessate dal modello di organizzazione e gestione, il RPD ha istituzionalmente il ruolo di fungere da punto di contatto con l’autorità di controllo, con la quale si coordina. Se si pensa alle segnalazioni circa eventuali violazioni del Modello 231 o le eventuali mancanze del sistema di controllo per la protezione dei dati è auspicabile che i due organi, se separati, cooperino strettamente. Nello specifico, è consigliabile che il Responsabile della Protezione dei Dati incontri periodicamente (almeno una volta l’anno) l’OdV per riferire su stato attuazione privacy. E’, inoltre, importante che segnali tempestivamente all’OdV criticità emerse e violazioni anche non notificate ma oggetto di fattispecie 231. Risulterà fondamentale che entrambi gli organi collaborino per aggiornare il Modello 231 e per garantire la riservatezza delle segnalazioni destinate all’OdV.

Il Responsabile della Protezione dei Dati costituisce interlocutore importante dell’Organismo di Vigilanza, al pari del RSPP e dei Responsabili dei sistemi di gestione aziendale.

In conclusione, si ritiene consigliabile che i due ruoli, Organismo di Vigilanza e Responsabile della Protezione dei Dati, rimangano distinti ed affidati a soggetti diversi, al fine di garantirne l’autonomia ed indipendenza, fermo restando, come su precisato, il necessario reciproco coordinamento.