Non tutti i reati privacy sono presupposto della responsabilità 231

privacy

I delitti sulla privacy entrano a far parte del catalogo dei reati che fanno scattare la responsabilità delle società a norma del Dlgs 231/2001, ma non tutti: il Dl 93, infatti, richiama solo i delitti e non anche le contravvenzioni. Vale a dire il trattamento illecito di dati, la falsità nelle dichiarazioni o notificazioni al Garante, l’inosservanza di provvedimenti del Garante. Il caso del trattamento illecito non dovrebbe porre troppo in allarme le aziende. Il delitto, infatti, presuppone che il trasgressore ne abbia tratto profitto e che la violazione abbia prodotto un «nocumento». Ad esempio, l’avere trattato dati senza il necessario consenso sarà sì una condizione oggettiva di punibilità, ma occorrerà dimostrare anche che dal fatto ne sia derivata una effettiva lesione all’interessato. Detto ciò, non ci si potrà comunque rilassare troppo, visto che la Cassazione (Sezione III penale, 13 maggio 2011 n. 18908) ha ravvisato un trattamento illecito nella diffusione, per scopi diversi dalla tutela di un diritto proprio o altrui, di una conversazione documentata mediante registrazione.

Nelle prassi aziendali e in mancanza di un buon modello organizzativo data protection, le ipotesi di false dichiarazioni e notificazioni al Garante suscitano maggiori preoccupazioni.

Si pensi a un’azienda che – convenuta innanzi al Garante in sede di ricorso – dichiari il falso affermando, ad esempio, di aver rilasciato un’informativa orale nel corso di una telefonata promozionale. Oppure un’azienda che notifichi al Garante di procedere al trattamento di dati comuni, omettendo di indicare che invece utilizza anche dati sensibili. In tali casi, dei delitti risponderà anche la società ai sensi del decreto 231.

Analogamente, nel caso di inosservanza dei provvedimenti del Garante, vi sarà responsabilità 231 da parte dell’azienda che ometta di adempiere a un provvedimento dell’Authority che, ad esempio, abbia disposto il blocco di uno o più trattamenti o abbia prescritto misure necessarie a rendere il trattamento conforme. Ipotesi non troppo remote in un’azienda che, per il fatto stesso di essere incappata in questo tipo di provvedimenti, ha già mostrato di avere una modesta sensibilità in materia.

Ciò che emerge, in conclusione, è che non ci si potrà limitare ad atteggiamenti puramente formali, ritenendosi al riparo per avere eseguito qualche adempimento. Occorrerà, invece, che il modello organizzativo tenga in conto l’intero flusso di dati, nonché il loro utilizzo e custodia anche tramite enti terzi, garantendo un livello di sicurezza adeguata e la conformità rispetto alle finalità per cui l’informazione è stata raccolta. Ad esempio, saranno elementi che il nuovo modello gestionale dovrà prevedere:

– la creazione di un organigramma data protection con idonei mansionari per responsabilizzare chi effettua le operazioni

– il controllo dei flussi informativi

– la tracciabilità delle operazioni

– la conservazione e la manutenzione delle informazioni personali

– verifiche periodiche suffragate da reportistica

(Fonte: Il Sole 24 Ore)

Questa voce è stata pubblicata in Privacy e contrassegnata con , . Contrassegna il permalink.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...