Normativa sulla responsabilità amministrativa degli enti e normativa sulla privacy: punti di contatto
Gli illeciti in materia di privacy ex d. lgs. 30 giugno 2003 n. 196 non fanno parte del catalogo dei reati-presupposto della responsabilità amministrativa degli enti. Tuttavia si possono cogliere vari punti di contatto tra le due discipline.
L'attività di mappatura dei rischi, richiesto dal Garante per la protezione dei dati personali, è essenziale per la stesura del Documento Programmatico sulla Sicurezza, ai sensi del dall'art. 34, comma 1, lett. g), d.lgs. 196/2003. Inoltre, anche se le norme di riferimento non lo prevedono in maniera esplicita, pure nel caso della disciplina in materia di privacy si tratta di elaborare un vero e proprio Modello per formalizzare la nomina dei soggetti protagonisti nello svolgimento degli adempimenti necessari al rispetto della normativa privacy. Infine, per le società obbligate alla redazione del Documento programmatico sulla sicurezza è obbligatoria l'adozione ed esecuzione di un piano di formazione.
A ben vedere, anche in una logica “231”, il passo operativo basilare per prevenire la responsabilità amministrativa dell'ente attraverso l'adozione di un idoneo Modello è l'attività di mappatura, che deve identificare la aree a rischio diretto, le aree a rischio indiretto e le aree non sensibili. A differenza di quanto accade in materia di privacy, è poi esplicitamente prescritta come obbligatoria, ai fini dell'ottenimento dell'esimente da responsabilità, l'elaborazione di un Modello, da intendersi come la formalizzazione di un complesso organico protocolli e strumenti di controllo atto a prevenire e contrastare la commissione, anche tentata, di gravi irregolarità, con particolare riguardo ai reati previsti dal d.lgs. 231/2001. Anche nell'ottica della responsabilità amministrativa degli enti, infine, è necessaria la formazione del personale.
Infine, sotto un diverso profilo, l'applicazione del d.lgs. 231/2001 implica il trattamento di dati personali dell'ente e di terzi in contatto con l'ente (dipendenti, collaboratori, fornitori, ecc.). Nella stragrande maggioranza dei casi, si tratta di informazioni che rientrano nel concetto di “dato personale” e, quindi, sono senz'altro da considerarsi sotto la tutela della normativa sulla privacy. Per questo, il modello 231 dovrebbe prevedere idonee misure atte a garantire i diritti delle società e dei terzi alla riservatezza e segretezza della documentazione.
di Fabio Ledda e Patrizia Ghini
[visualizza l'articolo completo]