I modelli 231 e la compliance aziendale sulla tutela dei dati personali. Aspetti comuni e divergenze a quattro anni di distanza dall’entrata in vigore del GDPR.
in Giurisprudenza Penale Web, 2020, 5 – ISSN 2499-846X
Ad ormai quattro anni dalla pubblicazione del Regolamento Generale sulla Protezione Dati n. 679/2016 (di seguito GDPR), per le organizzazioni imprenditoriali si è resa sempre più imprescindibile la determinazione di un sistema di adempimenti volti ad adeguare i trattamenti dei dati personali delle persone fisiche ai principi delineati dall’art. 5 dal Regolamento. La necessità di provare l’avvenuto adeguamento della compliance aziendale alle nuove prescrizioni privacy ha portato dunque le società a introdurre una sorta di “dossier privacy”, il quale racchiude tutti gli adempimenti necessari ad assicurare la riservatezza ed il più elevato grado di tutela per i dati personali da esse trattati.
In particolare, a mente del principio di “responsabilizzazione” (“accountability”), colonna portante dell’impianto strutturale del GDPR, gli enti – nella persona del titolare del trattamento (infelice traduzione del termine “data controller”) – sono tenuti a predisporre ed implementare modelli di gestione aziendale ispirati ai criteri di “risk – based approach”– che potremmo definire “modelli organizzativi privacy” – che tengano quindi conto dei rischi emergenti allorquando l’attività svolta si interfacci con operazioni su dati personali riconducibili alla definizione di “trattamento” (“processing”) fornita dall’art. 4 n. 2) del Regolamento.
Si profila, pertanto, come inevitabile, quanto meno in astratto, il parallelismo tra i suddetti strumenti di compliance normativa in ambito privacy e i modelli di gestione e organizzazione contemplati dagli artt. 6 e 7 del D.lgs. 231/2001, idonei ad escludere la c.d. “colpa organizzativa” in capo all’ente per reati commessi da soggetti che rivestono funzioni apicali o subordinate al suo interno.
Invero, le due discipline manifestano tratti omogenei sotto differenti aspetti, sia come principi ispiratori che come contenuti specifici dei modelli, delineati secondo un’impostazione fondata sulla gestione del rischio al fine di prevenire la commissione di reati, in un caso, e di violazioni dei diritti e delle libertà dei soggetti i cui dati vengono trattati, nell’altro. Allo stesso modo, non può tuttavia ignorarsi l’esistenza di numerose divergenze tra i due contesti, sia con riferimento alle peculiari finalità perseguite dalla normativa in materia di privacy, sia in relazione all’entità degli obblighi sussistenti in capo agli enti.
Occorre, pertanto, procedere ad una determinazione chiara delle affinità e delle differenze intercorrenti tra i due modelli, in modo da eliminare potenziali “zone grigie” tra le discipline e delimitare così gli ambiti di applicazione della normativa in materia di tutela dei dati personali e della legislazione sulla responsabilità degli enti dipendente da reato.
Come citare il contributo in una bibliografia:
D. Costa, I modelli 231 e la compliance aziendale sulla tutela dei dati personali. Aspetti comuni e divergenze a quattro anni di distanza dall’entrata in vigore del GDPR, in Giurisprudenza Penale Web, 2020, 5