Data Breach e delitti informatici nel Modello 231: quali punti di contatto

Analizziamo le analogie e le differenze tra il principio dell’accountability su cui si fonda il modello GDPR 679/2016 che disciplina la tutela della privacy e l’analisi dei rischi riferita ai reati presupposti normata dal MOG 231/01, con il fine di mostrare come il tema di reati informatici, seppur vi siano approcci differenti, sia quanto più urgente.

Reati informatici e D.lgs. 231/2001: uno sguardo normativo:
L’articolo 6 comma 2 lettera b) del D.lgs. 231/2001, individua la definizione di MOG dell’ente, e stabilisce che questi debbano “prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire”.

È opportuno precisare che la normativa in materia di responsabilità amministrativa da reato degli enti ha finalità preventiva solo nella misura in cui sanziona l’impresa per la commissione di fatti di reato commessi da propri soggetti apicali o dipendenti per interesse o vantaggio dell’impresa stessa. È quindi una normativa sostanzialmente sanzionatoria, poiché le regolamentazioni specifiche sono previste in altre normative di riferimento.

Il GDPR, al contrario, impone un sistema autosufficiente finalizzato alla creazione di un ecosistema equilibrato di trattamento dei dati in ambito UE, dove il focus non è sulla sanzione ma sulla consapevolezza dell’attività aziendale in materia di dati personali.

In quest’ottica, il Regolamento UE 2016/679 appare portatore di un approccio effettivamente innovativo, quantomeno nell’ordinamento italiano.

Analisi dei principi dell’accountability tra GDPR e Modello Operativo Gestionale (MOG):
Il Regolamento UE 2016/679, ha eliminato la compliance standard minima prevista in Italia dal D.lgs. 196/2003, lasciando in capo ad ogni titolare del trattamento l’onere di impostare una compliance efficace per la propria realtà aziendale. Diversamente il D.lgs. 231/2001, di fatto, ha sempre risposto a questa logica, guidando le aziende che decidono di dotarsi di MOG, l’applicazione di protocolli per il pieno rispetto delle normative cogenti e per l’implementazione di standard sempre più elevati, in particolare nel delicato ambito della sicurezza sul lavoro. Pertanto si possono definire i due sistemi di riferimento come rispondenti a logiche tra loro armoniche.

I punti di contatto tra MOG 231/01 e GDPR:
L’articolo 24 bis del D.lgs. 231/2001, rubricato “Delitti informatici e trattamento illecito di dati” pone in evidenza che i reati informatici commessi nell’interesse o vantaggio dell’ente da parte di soggetti apicali o dai preposti.

I punti di contatto tra MOG 231/01 e GDPR riguardano la necessità di implementare misure di sicurezza adeguate per la protezione dei dati personali e di prevenire situazioni di illecito anche in materia di privacy, nonché l’obbligo di designare un responsabile della protezione dei dati (DPO) in alcune circostanze specifiche previste dal GDPR.