Come noto, se le tecnologie informatiche e la rete sono ormai diventati degli strumenti indispensabili e irrinunciabili per qualsiasi impresa, essi rappresentano anche un fattore di rischio sempre più importante per un’azienda, per la sicurezza dei dati personali che essa tratta ma anche per le informazioni commerciali e industriali di cui essa dispone.

Per quanto concerne la tutela dei dati personali, abbiamo visto che il GDPR responsabilizza i titolari del trattamento (il principio di accountability), chiamandoli a valutare ex ante la natura delle attività di trattamento che pongono in essere ed i rischi che tali attività possono comportare e ad approntare, di conseguenza, misure adeguate a garantire un’effettiva protezione dei dati trattati.

Secondo molti, l’impostazione del GDPR è in qualche modo assimilabile a quella introdotta dal D.Lgs. 231/2001 in tema di responsabilità da reato degli enti, un’impostazione basata sulla valutazione dei rischi e sulla loro prevenzione attraverso l’adozione di modelli organizzativi.

E, in effetti, con la diffusione delle tecnologie informatiche, è aumentato anche il rischio che si commettano –consapevolmente o meno- veri e propri reati ai danni dell’azienda ma anche all’interno dell’azienda.

Non a caso, alcuni comportamenti che costituiscono una minaccia alla sicurezza informatica sono stati inseriti tra i “reati presupposto” della responsabilità degli enti prevista dal DLgs. n. 231/2001 citato (cfr. l’art. 24 bis – “Delitti informatici e trattamento illecito di dati”).

L’azienda, infatti, può essere vittima di attacchi informatici dall’esterno: pensiamo a forme di spionaggio con la sottrazione di dati, di sabotaggio con l’alterazione di dati, alle frodi informatiche finalizzate a dirottare i pagamenti eseguiti dall’azienda, ecc.

Particolare attenzione meritano, tuttavia, anche i reati commessi all’interno dell’azienda.

Se un dipendente, attraverso l’accesso abusivo ad un sistema informatico, violasse i segreti di un concorrente, l’azienda ne trarrebbe un vantaggio e potrebbe essere soggetta, dunque, a delle sanzioni; se un dipendente scaricasse abusivamente un programma informatico da utilizzare nelle sue mansioni, l’azienda –magari ignara dell’accaduto- ne trarrebbe un vantaggio e potrebbe, dunque, risponderne.

L’art. 5 del D.Lgs. 231/01, infatti, prevede la responsabilità dell’ente “per i reati commessi nel suo interesse o a suo vantaggio” e la esclude solo quando l’autore del reato ha agito “nell’interesse esclusivo proprio o di terzi”.

L’autore del fatto può essere un soggetto in posizione apicale (intendendosi per tali coloro che hanno “funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale” e coloro che esercitano, anche di fatto, la gestione e il controllo dell’ente) o una figura sottoposta alla direzione o alla vigilanza dei soggetti in posizione apicale.

Nel primo caso, l’ente è sempre responsabile salvo dimostri:

• di avere adottato ed efficacemente attuato, prima della commissione del fatto, dei modelli di organizzazione e di gestione idonei ad impedire la commissione di quel tipo di reati;
• di aver affidato il compito di vigilare sul funzionamento e sull’osservanza dei modelli organizzativi a un organismo di vigilanza dotato di autonomi poteri di iniziativa e di controllo;
• che il singolo ha commesso il reato eludendo fraudolentemente quei modelli
• che non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di vigilanza.

Nel secondo caso, l’ente è responsabile se la commissione del reato è stata resa possibile dall’inosservanza degli obblighi di direzione o vigilanza, inosservanza che viene però esclusa se l’ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire quel tipo di reati.

Teniamo presente che per soggetti sottoposti alla direzione o alla vigilanza dei soggetti in posizione apicale non si intendono solo i dipendenti, gli agenti, i lavoratori parasubordinati ma anche i consulenti esterni di un’azienda, ove risultino almeno in parte sottoposti alle direttive e alla vigilanza dell’ente.

Pensiamo allora, nell’attuale sistema privacy, alla figura del “responsabile esterno del trattamento” prevista dall’art. 29 del GDPR. Egli deve, tra le altre cose, consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato (cfr. art. 29, comma 3, lettera h, Regolamento UE n. 2016/679): egli rientra, quindi, tra le figure sottoposte alla vigilanza da parte dell’ente.

Pensiamo, per restare nell’ambito più strettamente informatico, all’amministratore di sistema in outsourcing [1], al fornitore di servizi cloud o al manutentore del sito web aziendale, figure che vanno anch’esse nominate responsabili esterni del trattamento e che devono attenersi alle istruzioni fornite dal Titolare del trattamento.

Anche in questi casi può configurarsi quella condizione di soggezione alla vigilanza e direzione dei soggetti apicali, richiesta dall’art. 5 del D.Lgs. 231, per l’insorgere della responsabilità amministrativa dell’ente.

Ecco, dunque, che anche l’adozione di un valido ed efficace modello di gestione della privacy può aiutare l’azienda non solo a prevenire il rischio di illeciti trattamenti dei dati ma il rischio della commissione di reati informatici ai sensi del D.Lgs. 231/01.

La prevenzione dei reati informatici, al fine di evitare di incorrere nella responsabilità ex D.Lgs. 231/01, e la tutela della privacy passano entrambe attraverso la predisposizione di misure di sicurezza adeguate, la sensibilizzazione e la formazione del management e del personale, un’attività di vigilanza: tanto le policy privacy quanto i modelli organizzativi, infatti, sono efficaci e valgono ad esonerare l’ente da responsabilità soltanto se concretamente attuati e conosciuti dal personale.

Vediamo, quindi, quale legame vi sia tra il D.Lgs. 231/01 e il GDPR, che –come detto- condividono un approccio basato sul rischio (risk based).

[1] Con il Provvedimento 27.11.2008, il Garante Privacy ha espressamente previsto che, con cadenza almeno annuale, il titolare debba verificare l’operato dell’amministratore di sistema “in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti” e che, nel caso in cui i servizi di amministrazione di sistema vengano affidati in outsourcing,il titolare debba conservare gli estremi identificativi delle persone fisiche che avranno materialmente accesso ai dati, in qualità di amministratori di sistema.