Lunedì, 09 Luglio 2018 16:06

Modelli organizzativi privacy GDPR e modelli 231: strumenti a tutela delle imprese in caso di data breach

Written by
Rate this item
(0 votes)

La recente entrata in vigore del Regolamento UE n. 2016/679 sulla privacy (GDPR) ha posto a carico delle imprese un onere di responsabilizzazione circa il trattamento dei dati rendendo opportuna l'adozione di un modello organizzativo, che consenta di mappare i rischi e, conseguentemente, di individuare misure di sicurezza e codici di condotta per affrontare i casi di violazione dei dati personali (cd. data breach). L'articolo 4 GDPR definisce violazione dei dati personali "la violazione di sicurezza

che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati". Nello specifico, il data breach può aver luogo in 3 tipologie di eventi, ovvero in caso di “confidentiality breach” (divulgazione o accesso non autorizzato a dati personali), di “availability breach” (alterazione di dati personali) o di “integrity breach” (modifica di dati personali). Dall'analisi di questa norma emerge un immediato ed evidente collegamento con l’articolo 24bis, D.lgs. n. 231/2001, rubricato “Delitti informatici e trattamento illecito di dati”, in cui sono elencati i reati rilevanti di accesso abusivo ad un sistema informatico o telematico (art. 615ter c.p.), detenzione e diffusione abusiva di codici di accesso a sistemi informatici (art. 615quater c.p.), interruzione illecita di comunicazioni informatiche o telematiche (art. 617quater c.p.), danneggiamento di informazioni, dati e programmi informatici (art. 635bis c.p.), danneggiamento di sistemi informatici o telematici (art. 635quater c.p.).

Le fattispecie di reato sopra indicate attengono alla sfera della protezione dei dati in ambito aziendale e, secondo il D.lgs. n. 231/2001, possono determinare a carico dell’ente elevate sanzioni pecuniarie (sino ad €. 774.550,00) e, nelle ipotesi delittuose più gravi, anche interdittive dell’attività con confisca. Il D.lgs. n. 231/2001 prevede, infatti, un sistema di responsabilità per le imprese e specifiche misure finalizzate ad eliminare il rischio delle sanzioni amministrative derivanti dalla commissione da parte del management o due dipendenti di uno dei rati inclusi da tale normativa tra i reati-presupposto.

Pare opportuno segnalare che l’emanazione del D.Lgs. 65/2018 (entrato in vigore il 24 giugno 2018), in attuazione della Direttiva (UE) 2016/1148 (cd. Direttiva NIS - Network and Information Security), in cui sono contenute misure, che stabiliscono un livello comune di sicurezza di reti e sistemi informativi nell’Unione Europea, per ridurre il rischio di incidenti informatici, per la continuità dei servizi essenziali (quali, ad esempio, energia, trasporti, salute, finanza) e dei servizi digitali (motori di ricerca, servizi cloud, piattaforme di commercio elettronico), rende ancora più necessario coordinare l'introduzione del modello privacy con l'adozione o l'integrazione del modello 231.

Come premesso, il GDPR, come il D.lgs. n. 231/2001, spinge le imprese ad analizzare la loro organizzazione per individuare aree di rischio e conseguenti misure tecniche ed organizzative, che dovranno essere adottate obbligatoriamente per provare l'avvenuta responsabilizzazione con l'adeguamento della struttura aziendale alle norme. Pertanto, risulta consigliabile, a seguito degli adempimenti derivanti dal GDPR, valutare l'opportunità del modello 231 in un'ottica di riduzione, se non di eliminazione, del rischio di responsabilità e di conseguenti sanzioni.

Avv. Marco De Paolis

STUDIO LEGALE DE PAOLIS
Piazzetta Monsignor Almici, 13
25124 Brescia
T. +39 030 2421245
F. +39 030 2449678
E. Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 

Leggi 253 times
Back to Top