Legge sulla privacy e decreto 231

Pubblicato il 29 Agosto 2013

Le ultime decretazioni governative intervenute in variazione al perimetro di competenza della legge sulla responsabilità amministrativa delle persone giuridiche, ad avviso di chi scrive, non dovrebbero destare meraviglia né preoccupazione di sorta alle imprese, dirette interessate.

Circa le nuove disposizioni si doveva trattare, da un certo punto di vista, di qualcosa di scontato, che da bravi addetti ai lavori andava anche previsto per tempo, evitando così in ordine ai provvedimenti conseguenti da prendere, poche e limitate misure di allineamento della conformità dei modelli organizzativi implementati nelle aziende.

Ci si riferisce qui all’art. 9 del decreto n. 93 del 14 agosto 2013, dove si pone una estensione all’art. 24-bis del d.lgs.231/2001, includendovi insieme ad altre fattispecie quelle dei delitti di cui alla parte III, Titolo III, Capo II del d.lgs.196/2003, più noto come legge sulla privacy.

La lungimiranza necessaria, che dovrebbe evitare l’impreparazione del modello 231 davanti alle disposizioni del decreto di agosto, è tanto più determinante nella presente occasione in quanto fa in qualche modo seguito alle semplificazioni intervenute in materia di privacy negli ultimi due anni; su tali semplificazioni, in altre sedi, mi ero sempre espresso in senso negativo, per due ragioni: la prima legata al fatto che tali minori obblighi normativi legati al d.lgs 196/2003, in particolare ci si può riferire alla apparente soppressione del documento programmatico, risultavano applicabili per lo più in modo poco opportuno ai fini del controllo interno aziendale; la seconda ragione risiedeva nella convinzione generale che le semplificazioni vanno fatte in modo diverso, non in direzione di una soppressione di obblighi sostituiti di fatto con paventate autocertificazioni, ma attraverso provvedimenti in grado di rendere piuttosto gli apparti della Pubblica Amministrazione interessati all’applicazione ed alla sorveglianza delle leggi in questione – vedi in proposito tutte le istituzioni di vigilanza coinvolte nell’ambito privacy – effettivamente efficienti, operativi e meno burocratici.

In buona sostanza sbagliato è stato smantellare in parte alcune delle procedure aziendali che presidiavano il rispetto della privacy attraverso la sicurezza dei sistemi informativi, mentre andava compresa l’utilità organizzativa di tali procedure che oggi, alla luce del decreto 93/2013, di fatto si dimostrano come nuovamente opportune se non obbligatorie: come si suole dire, rientra dalla finestra ciò che esce dalla porta!

Va fatta infine una ultima considerazione, peraltro molto importante quanto determinante per la buona impostazione dei modelli organizzativi conformi ai requisiti del decreto 231/2001. Non molto tempo fa sul punto ho avuto la possibilità peraltro di confrontarmi anche con chi applica in sede giurisprudenziale la normativa ni questione, in veste appunto di organo della magistratura, concordando in tale occasione su un profilo applicativo di tipo sostanziale.

Si conveniva che l’implementazione dei modelli organizzativi per alcune fattispecie di reato piuttosto che per tutto il perimetro del decreto 231, fosse in realtà un malinteso da fugare. Il modello organizzativo di cui parla il decreto 231 è chiaramente un sistema organizzativo aziendale, meglio ancora un sistema di controllo interno aziendale. Può allora ritenersi plausibile che una organizzazione aziendale si doti di un sistema organizzativo di controllo solo in alcuni ambiti operativi e non in senso, piuttosto, generale?
La risposta negativa è scontata. Ciò che infatti ha fatto ritenere applicabile il modello organizzativo solo per alcune fattispecie di reato – ad esempio quelle riferite alla lesioni ed all’omicidio colposo sul luogo di lavoro - è in realtà un equivoco. Non è il modello che va applicato in modo limitato; questo non può infatti che essere frutto di una impostazione organizzativa controllata ed efficiente, quindi generale. Sarà piuttosto la valutazione dei rischi di commissione dei reati ad indicare, all’interno di un modello organizzativo comunque esteso, che le misure di controllo e di autorizzazione operativa nei confronti di attività per le quali si può presentare l’occasione di reato in questione, essendo queste possibilità molto basse, potranno essere minime od anche nulle, se il rischio di commissione del reato stesso è oggettivamente inesistente.

Un tale approccio, in estrema sintesi e conclusione, non avrebbe consentito di implementare un modello organizzativo che non considerasse tra le proprie procedure e misure di controllo tutte le attività lungo le quali si fa uso dei sistemi informativi e si applica il trattamento di dati ed informazioni di terzi. In tal senso non avrebbero fatto testo le semplificazioni degli ultimi mesi – o meglio, non avrebbero potuto dare corso ad una azione di smantellamento delle procedure interne solo perché caduti alcuni obblighi di legge – né avrebbe potuto far trovare impreparati i modelli all’indomani del decreto del 14 agosto 2013.
 


Vedi i nostri corsi on Line

Vedi il nostro elenco prodotti per la sicurezza

Cosa dicono di noi

 

Condividi:

Formazione professionale per la tua crescita.

Lisa Servizi è un Organismo di Formazione accreditato dalla Regione Veneto in ambito di Formazione Continua, e offre formazione di alto livello attraverso la business unit dedicata, che propone corsi interaziendali a catalogo, corsi aziendali personalizzati, e-learning e training su campi prove.

Rimani informato sugli aggiornamenti di settore