GDPR e D.Lgs. 231 01: la (diversa?) valutazione del rischio

Le novità introdotte dal GDPR animano il dibattito sulla relazione con il d.lgs 231 01 e sulla valutazione del rischio.

Negli ultimi tempi le novità introdotte dal GDPR Regolamento Europeo per la Protezione dei Dati Personali hanno occupato ed animato il dibattito tra giuristi, esperti informatici, consulenti e destinatari della normativa, tutti parimenti interessati a comprendere ed analizzare l’effettiva portata dell’obbligo di adeguamento.

Se già molto si è scritto e discusso sui principi generali nel rispetto dei quali deve essere effettuato il trattamento dei dati personali, sui diritti riconosciuti all’interessato (primo fra tutti il diritto all’oblio), sui concetti di privacy by design e privacy by default e, ancora, sul principio dell’accountability, oggi ci si vuole occupare del concetto di valutazione del rischio e prevenzione dello stesso al fine di riflettere sulla relazione esistente tra GDPR e D. Lgs. 231 01.

L’articolo 32 del Regolamento Europeo si riferisce alla sicurezza del trattamento che, pur se articolata su più piani, non può che prevedere adempimenti diversi nel rispetto di un criterio-guida quale è quello dell’adeguatezza. Se è vero che le misure di sicurezza devono essere adeguate al livello di sicurezza cui aspirare e, a sua volta, quest’ultimo deve essere adeguato al rischio, è chiaro che la sicurezza di ciascun tipo di trattamento del dato personale parte dall’analisi di rischio.

Analizzato ed individuato il rischio di distruzione, perdita, modifica, divulgazione non autorizzata ovvero accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati, il livello di sicurezza è adeguato quando è in grado di prevenire il rischio attraverso, appunto, misure di sicurezza idonee a mantenerlo entro una soglia di accettabilità.

Misure di sicurezza che, si ricorda, possono essere sia da natura tecnica sia di natura organizzativa, con la differenza che le prime sono affidate ad uno strumento, a una macchina, a un elaboratore e sono tanto più efficaci quanto più corretta è la programmazione e la funzionalità della macchina; le seconde, invece, sono affidate ai comportamenti delle persone, ad uno standard codificato in regole aziendali, ordini di servizio e protocolli operativi, e sono tanto più efficaci quanto più adeguata è la formazione erogata agli addetti al trattamento e la loro sensibilizzazione.

Se si parla di rischio, idoneità e adeguatezza sono concetti che immediatamente evidenziano un’assonanza con quanto attiene all’applicazione del D.lgs. 231 01: anche nell’ambito della Responsabilità Amministrativa dell’Ente si ravvisa la necessità di condurre un’analisi di rischio, la necessità di prevedere un sistema di controlli interni che siano idonei ed adeguati alla prevenzione degli anzidetti rischi ovvero alla riconducibilità degli stessi entro una soglia di accettabilità.

L’approccio risk based approach è sicuramente il medesimo, tuttavia sembra potersi ravvisare delle differenze rispetto all’oggetto e alla finalità. La valutazione del rischio ex D.lgs. 231 01 da un lato mira a rintracciare, analizzare e valutare i rischi di commissione del reato che possono fisiologicamente annidarsi nella gestione dei processi aziendali, dall’altro lato risulta funzionale a garantire l’integrazione e l’attuazione di misure di controllo che sorreggano un’organizzazione aziendale capace di scongiurare (recte prevenire) la commissione di un reato a vantaggio o nell’interesse dell’ente stesso. Per converso la valutazione del rischio ex GDPR mira a rintracciare, analizzare e valutare il rischio di distruzione, perdita, modifica e divulgazione o accesso non autorizzato, accidentale o illegale e, dunque, il rischio di lesione dei diritti dell’interessato al trattamento e lo fa al fine, principale, di conformarsi ad un obbligo legislativo e, contestualmente, di proteggere e tutelare l’interessato al trattamento.

La relazione sembrerebbe evidenziata anche dalla formulazione dell’art. 24 bis D.lgs. 231 01, tuttavia è necessario il condizionale perché, pur trattandosi di una stessa categoria di reati presupposto, devono farsi considerazioni differenti.

Se il riferimento al trattamento illecito dei dati pone evidentemente in relazione il D.lgs. 231 01 e la Parte III del D.lgs. 196/2003 come modificata, peraltro, dal Decreto attuativo pubblicato lo scorso 4 Settembre (D. Lgs. 101/2018), la considerazione non è così immediata rispetto alla relazione tra il D.lgs. 231 01 e i reati informatici per quanto l’afferenza all’area IT faccia pensare, comunque, ad un nesso tra la valutazione dei rischi funzionale alla protezione dei dati personali e quella funzionale alla prevenzione del rischio di commissione dei reati stessi.

Analizzando le condotte di reato che, in astratto, devono essere intercettate e prevenute dal sistema dei controlli implementato ex D. Lgs. 231 01 pare, difatti, che non vi sia una così stretta relazione tra 231 (sub specie di reati informatici) e GDPR e/o D. Lgs. 196/2003: se è vero che il rischio che l’Azienda è chiamata a prevenire ex D.lgs. 231 01 è quello del reato (presupposto!) commesso nell’interesse o a vantaggio dell’Azienda stessa, le misure di sicurezza tecniche ed organizzative messe a protezione (ex GDPR) di quei dati personali che l’Azienda, al suo interno, tratta con i sistemi informatici, oggetto e/o mezzo degli anzidetti reati, talvolta potrebbero risultare ininfluenti nell’ottica del D.Lgs. 231 01 visto che, per questo, soltanto la proiezione verso l’esterno delle stesse condotte parrebbe compatibile con la necessaria sussistenza dell’interesse o vantaggio dell’Ente ai fini 231. Si pensi al noto Allegato B del D.lgs. 196/2003: tutte le misure di sicurezza ivi elencate possono ritenersi idonee ed adeguate a prevenire il rischio da reato?

È chiaro che condotte di reato (informatico) che muovano dall’interno per un vantaggio personale dell’autore del reato e/o comunque per un interesse incompatibile con l’Azienda ovvero condotte che muovano dall’esterno, incompatibili con la responsabilità amministrativa 231 perché addirittura arrecanti – potenzialmente – un danno all’Azienda, non devono essere intercettate ai fini della prevenzione del rischio da reato, tuttavia denotano la fragilità del sistema di protezione dei dati e, dunque, rafforzano la necessità di una valutazione del rischio ex GDPR.

Inutile dire come la riflessione abbia una sua valenza anche invertendo i termini poiché l’aver implementato ed attuato un idoneo e adeguato sistema dei controlli 231 può non esser sufficiente per poter vantare un idoneo e adeguato sistema di protezione dei dati personali trattati. Prevenire il rischio di trattamento illecito dei dati ex D.Lgs. 231 01, a stretto rigore, significa prevenire il trattamento illecito commesso nell’interesse o a vantaggio dell’azienda, non anche il trattamento illecito a danno dell’Azienda o, comunque, a vantaggio o nell’interesse di altri, parimenti rilevante ex GDPR e D.lgs. 196/2003.

L’obiettivo verso cui tendere è l’implementazione di un sistema di controlli idoneo ed adeguato a prevenire il rischio di commissione di reati “connessi” al trattamento di dati personali, ivi inclusi i reati informatici, e, al contempo, idoneo a proteggere gli stessi dati personali dagli specifici rischi contemplati dal GDPR che pone, a tal fine, tutta una serie di adempimenti cogenti. Talvolta le misure di sicurezza 231 e GDPR potrebbero non coincidere perfettamente ma ciò non fa che confermare l’esistenza di quelle differenze sostanziali connesse all’oggetto della valutazione del rischio ed alla finalità. Ciò che sicuramente ha preminente importanza è non creare un sistema di controlli interno ridondante e/o, addirittura, incoerente: reciprocità e relazione, ove possibili, non potranno che accrescere l’efficacia del sistema dei controlli interni aziendali.

Articolo di Chiara Morresi

Chiara Morresi, avvocato del Foro di Macerata, consulente in tema di Governance, Risk Management e Compliance, con una spiccata propensione all’interdisciplinarietà. Cura la progettazione, l’implementazione e l’aggiornamento di sistemi di controllo interno in materia di Responsabilità Amministrativa degli Enti, Anticorruzione e Protezione dei dati personali (GDPR). E’ Professional presso PK Consulting S.r.l. e presso Probitas S.r.l. ed autrice di articoli a commento delle novità introdotte in materia di prevenzione del rischio da reato dal nuovo Codice degli Appalti Pubblici (e non solo).

Contattaci:

Accetto le condizioni sulla Privacy. [Leggi]