I 5 incroci tra Privacy e 231

  • Stampa

Mi vengono in mente alcuni possibili incroci tra normativa sulla protezione dei dati personali e d.lg. 231/2001.

1. Associazione per delinquere (art 24-ter d.lg. 231)

I delitti in tema di privacy (che non possono essere ascritti in quanto tali ad una persona giuridica) possono costituire reati-scopo di un'associazione per delinquere. In questo modo potrebbe essere contestato all'ente il delitto associativo finalizzato, ad esempio, al trattamento illecito di dati personali. Sto parlando di scenario possibile, tralasciando in questa sede il tema della fondatezza di tale addebito (come è noto parecchio osteggiata perché si risolverebbe nell'aggiramento del principio di tassatività dei reati-presupposto).

2. Riciclaggio/Autoriciclaggio (art 25-octies d.lg. 231)

Il trattamento illecito di dati personali può procurare un profitto o, almeno, un risparmio di spesa all'ente: tali proventi illeciti potrebbero essere impiegati in attività lecite. Di recente la Cassazione ha ritenuto configurabile a carico di un ente l'autoriciclaggio dei proventi di un'estorsione (altro reato non presupposto).

3. Prevenzione dei reati informatici (art 24-bis d.lg. 231)

Il sistema di organizzazione, gestione e controllo in tema di privacy rileva in modo importante sulla prevenzione dei reati informatici. Sotto questo profilo trattasi di sistema che va opportunamente richiamato nel (e coordinato con il) Modello organizzativo.

4. Trattamento di dati personali da parte dell'OdV.

Nello svolgimento delle proprie funzioni l'OdV tratta dati personali, in ipotesi anche sensibili. In particolare, ma non solo, nella gestione del whistleblowing.

5. Rapporti tra DPO e OdV

Il Data Protection Officer è interlocutore importante dell'OdV, alla stregua del RSPP e dei Responsabili dei sistemi di gestione aziendale. Problematico, invece, il suo inserimento nell'OdV alla luce dei compiti che gli spettano: costituisce punto di contatto con il Garante, è direttamente accessibile dagli interessati e, soprattutto, deve monitorare le modalità di trattamento da parte del Titolare e del Responsabile (e, quindi, dovrebbe monitorare anche il trattamento effettuato dall'OdV).

Penso si tratti di spunti meritevoli di discussione, una volta completato il quadro normativo di "recepimento" del GDPR (anche per approfondire il tema della rilevanza difensiva dei Modelli nella procedura sanzionatoria amministrativa).