Di pochi giorni fa l’ultima Diretta231 durante la quale ho avuto il piacere di ripercorrere le assonanze tra le materie 231 e trattamento dei dati personali. E, nel portare a termine questo interessante esercizio di ricostruzione dei molteplici punti di contatto tra le due, non ho potuto evitare di tornare sull’interrogativo rispetto alle ragioni secondo cui, a distanza di anni e soprattutto con l’opportunità offerta dal GDPR e dal successivo sforzo di armonizzazione, non si è pensato a dare effettiva concretezza alla rubrica dell’art. 24-bis del Decreto, ancora oggi alla ricerca dei reati in materia di trattamento illecito dei dati.
Inutile, in questa sede, ripercorrere l’iter legislativo che rende ancora oggi l’articolo 24-bis incompleto; più interessante, a parere dello scrivente, riflettere rispetto ai principi base del sistema231 e di come questi siano perfettamente validi anche per la compliance ‘GDPR’. A titolo esemplificativo:
– i principi di interesse e vantaggio, così come ancora oggi illustrati dalle sentenze di legittimità, troverebbero accoglienza anche nell’agire del titolare che realizzi un trattamento illecito di dati: l’interesse ad un uso distorto di dati personali per accrescere il proprio business, danneggiare un competitor e l’effettivo vantaggio di conseguire un maggior profitto;
– la colpa di organizzazione, spiegataci dalle SS.UU nel 2014, altro non è che una forma embrionale del concetto di accountability tipico della dialettica di cui al GDPR;
– i presidi di controllo 231 altro non sono che le misure di sicurezza del trattamento di cui all’art. 32 del GDPR;
– i ruoli di OdV e DPO caratterizzati, peraltro, dalle medesime indispensabili prerogative di autonomia e indipendenza, nonché di effettivo coinvolgimento da parte dell’ente/titolare del trattamento per poter svolgere efficacemente il proprio dovere;
– l’approccio risk based dei due articolati normativi;
– la dinamicità dei due “sistemi” che necessitano di aggiornamenti e allineamenti in caso di nuovi assetti.
Ciò detto, a fronte di queste molte intersezioni concettuali e operative, ad oggi e malgrado l’opportunità del maggio 2018, non ci sono nel sempre più esteso catalogo 231 i reati in materia di trattamento dei dati personali. Quel che lascia maggiormente perplessi rispetto allo scenario attuale è proprio la riflessione attorno ai concetti di interesse e vantaggio. In diversi anni di piena applicazione della normativa GDPR e soprattutto con l’avvicendarsi di importanti provvedimenti sanzionatori adottati dall’Autorità Garante, anche in termini di risposta sanzionatoria (si pensi alle ordinanze milionarie nei confronti di taluni titolari del trattamento), è l’evidente atteggiamento di valutazione e accettazione del rischio sanzionatorio a lasciare esterrefatti. Impensabile, infatti, immaginare che macroscopici errori non fossero stati preventivamente considerati, soppesati, valutati e accettati proprio come un “rischio tollerato”.
A questo punto ci si domanda come queste organizzazioni si sarebbero comportate se per quelle medesime condotte, oltre all’Autorità Garante, ci fosse stata la risposta da parte di qualche Ufficio della Procura ai sensi del D.Lgs. n. 231/2001.
