La privacy entra nel sistema 231 (I): le fattispecie di rischio più rilevanti

Categoria: APPROFONDIMENTI,IN PRIMO PIANO


Il D.L. 14 agosto 2013, n. 93 – “Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province”, in attesa del vaglio di eventuali modifiche in sede di conversione, ha introdotto diverse nuove figure di illecito all’interno dell’elenco delle fattispecie di reato previste dal D. Lgs. 231/01.

In ragione della particolare influenza che possono svolgere sulle attività delle imprese, i reati che meritano un’attenta analisi sono costituiti dai delitti elencati nella Parte III, Titolo III, Capo II del D. Lgs. 196/2003 – “Codice in materia di protezione dei dati personali”, vale a dire il trattamento illecito dei dati (art. 167), la falsità nelle dichiarazioni e notificazioni al Garante (art. 168) e l’inosservanza dei provvedimenti del Garante (art. 170).

Ad un attento esame di tale elenco è possibile notare che il Decreto, novellando l’art. 24-bis del D. Lgs. 231/01, norma che esordisce con un richiamo limitato ai “delitti”, ha introdotto la materia privacy tra i reati presupposto escludendo le fattispecie contravvenzionali, tra le quali sono comprese sia la mancata adozione delle misure minime di sicurezza (art. 169), sia la violazione del divieto di indagine sulle opinioni del lavoratore o la violazione del divieto di controllo a distanza del lavoratore mediante impianti audiovisivi (art. 171).

Ora, tra i reati entrati a far parte dell’elenco 231 alcuni presentano caratteristiche tali da essere assunti come rischio da un maggior numero di enti.

L’art. 23 del Codice della privacy, richiamato dall’art. 167, introduce nell’elenco dei reati presupposto ex D. Lgs. 231/01 la mancata acquisizione del consenso al trattamento dei dati in conformità alle modalità indicate nel Codice.

Nel momento in cui il legislatore prevede che il trattamento dei dati debba essere preceduto dall’acquisizione del consenso dell’interessato, il soggetto apicale dell’ente o coloro che sono sottoposto alla loro direzione devono rispettare le prescrizioni indicate all’art. 23.

Come noto la prestazione del consenso deve essere preceduta da una informativa che renda edotto l’interessato in merito alle finalità del trattamento, alle sue modalità di esecuzione, alla natura obbligatoria o facoltativa del conferimento dei dati, ai diritti  esercitabili nonché agli estremi identificativi del Titolare e dell’eventuale Responsabile del trattamento.

La dichiarazione di assenso dell’interessato deve avere ad oggetto uno specifico trattamento e non riguardare una pluralità di situazioni o finalità tra loro diverse.

L’interessato deve essere messo in condizioni di comprendere, ove presenti, le diverse finalità del trattamento, di apprezzare gli effetti che il consenso o il diniego possono produrre nei confronti di ciascuna di esse, nonché di esprimere una manifestazione libera nei confronti di ognuna.

In concreto molti Titolari di trattamento, e le informative sottoposte ai relativi interessati, sbrigano l’argomento con formulazioni generiche oppure richiedendo un unico consenso malgrado la molteplicità di finalità, e così numerose sono le indebite semplificazioni che sull’argomento si prendono licenza di adottare.

Le modifiche introdotte al D. Lgs. 231/01 comportano che l’esecuzione di tali violazioni, in assenza di un valido ed adeguato modello di organizzazione, gestione e controllo (MOGC), faranno sorgere la responsabilità penale dell’ente con conseguente applicazione di una sanzione pecuniaria da 100 a 500 quote (una quota varia da € 258,00 a € 1.549,00, pertanto nei casi più gravi la sanzione potrà arrivare fino a € 774.500,00), oltre l’applicazione di sanzioni interdittive quali l’interdizione dall’esercizio dell’attività, la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito ed il divieto di pubblicizzare beni o servizi.

Assume un particolare interesse, inoltre, la questione relativa a chi possa essere considerato apicale – con le conseguenze sull’onere probatorio che il D. Lgs. 231/01 vi ricollega – nell’ambito del cosiddetto “organigramma privacy”.

Tra i ruoli che il sistema normativo privacy prefigura vi sono quelli del “Titolare” e del “Responsabile”.

Se nell’ambito degli enti collettivi è pacifico che dietro il primo ruolo sono da individuarsi le persone fisiche che amministrano o rappresentano legalmente il medesimo ente, il ruolo di “Responsabile” può essere attribuito a soggetti aziendali non per definizione di vertice, fermo restando la loro autonomia nel gestire le finalità per la quali i dati sono richiesti e trattati.

Ciò comporta che l’analisi dei rischi e l’individuazione dei soggetti apicali, intorno ai quali andrà concentrata l’azione preventiva del MOGC predisposto dall’azienda, dovrà attentamente prendere in esame le qualifiche di responsabile già in essere ovvero le deleghe di fatto in tale ruolo pur in assenza di esplicitazioni formali.

Altro spunto di riflessione sugli effetti dell’introduzione della materia privacy nel sistema 231 riguarda la fattispecie della co-titolarità.

Si tratta di quelle ipotesi in cui più enti, e cioè Titolari, siano i promotori della raccolta, senza situazioni di subalternità tra loro.

La possibilità che l’unico trattamento realizzato per le medesime finalità sia riconducibile a tale pluralità di Titolari pone le basi per l’interrogativo circa le conseguenze, in ottica 231, della violazione ascrivibile solo ad uno e non all’altro.

Ovvero, da altro punto di vista, il fenomeno potrebbe interrogare sugli effetti scriminanti del MOGC qualora adottato solo da uno o più dei molteplici Titolari.

L’approfondimento su questi profili potrebbe giovare anche al chiarimento del sistema sanzionatorio 231 in sé stesso laddove è chiamato a dialogare con materie oggetto di normative che, al proprio interno, individuano ruoli di garanzia già tipizzati.

Avv. Tommaso Coretto

 

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

*

I tag HTML non sono ammessi