Privacy e 231

È da poco uscita su tutti i giornali come esclamazione che i reati relativi alla Privacy rientrano nei reati previsti dalla 231.
A prevederlo è l’articolo 9 del Dl 14/8/2013, n. 93.
In particolare l’articolo contenuto nel DL più noto come “decreto sul Femminicidio” cita la frode informatica.

Ma cosa si intende per frode informatica? Certo la prima cosa che viene in mente è la frode relativa agli acquisti on line o all’uso delle carte di credito. Ma attenzione a non sottovalutare il furto di identità, il furto di dati aziendali e personali e il danneggiamento dei sistemi altrui a causa di un non corretto uso degli strumenti informatici. Quindi l’attenzione è riportata sul trattamento dei dati e sull’operato sia dell’organizzazione che dei suoi dipendenti e anche fornitori, in quanto l’azienda è titolare dei dati.

Tutto questo ha generato allarme e un grande RUMORE su testate del calibro de “Il Sole 24 ORE“… e probabilmente di primo acchito con giusta ragione, in quanto, come si evidenzia durante la lettura della relazione III/01/2013 del 22/8/2013 della Corte di cassazione, che per comodità citiamo testualmente “il decreto ha infine provveduto ad inserire – all’art. 24 bis del d. lgs. n. 231/2001 – il reato di frode informatica aggravato dalla sostituzione dell’identità digitale nei cataloghi dei reati presupposto della responsabilità degli enti, nei quali ha altresì aggiunto quelli di indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento di cui all’art.55 comma 9 del d. lgs. n. 231/2007, nonché i delitti (ma non le contravvenzioni) in materia di violazione della privacy previsti dal d. lgs. n. 196/2003 e cioè le fattispecie di trattamento illecito dei dati (art. 167), di falsità nelle dichiarazioni notificazioni al Garante (art. 168) e di inosservanza dei provvedimenti del Garante (art. 170). Se i primi due aggiornamenti dei cataloghi non paiono destinati ad assumere particolare rilevanza in sede applicativa, il terzo risulta invece di grande impatto, soprattutto per la configurazione della responsabilità da reato degli enti per l’illecito trattamento dei dati, violazione potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del d.lgs. n. 231/2001.”
Oggettivamente però, dobbiamo avere l’onestà mentale di affermare che quanto succitato è già ampliamente coperto dal Dlgs 196/2003 con le misure minime e idonee di sicurezza e le relative sanzioni.

Ora se il Sistema 231 è un sistema di Gestione del rischio e di responsabilità delle aziende, tale fatto non dovrebbe suscitare scalpore ma essere una normale prassi di gestione.
Infatti, o meglio, in teoria, nel documento che regola i compiti e le responsabilità del titolare, dell’amministratore delegato, etc. dovrebbero, e qui il condizionale è d’obbligo, essere citate anche le responsabilità in termini di conformità alla legislazione relativa alla Privacy (Dlgs 196/03, successivi aggiornamenti e provvedimenti del Garante).

Si evince quindi che, allora, se un sistema 231 è efficacemente implementato, dovrebbe coprire tutti gli aspetti impattanti, derivando da ciò il fatto che una preventiva corretta ed efficace analisi dei rischi analizza tutti gli item operativi e legislativi verificandone la copertura e le azioni messe in atto o da intraprendere per aumentare la compliance e le attua secondo principi ormai assodati e propri di sistemi consolidati come la ISO 27001 (PDCA- Plan, Do, Check, Act. Un sistema virtuoso che controlla e ricontrolla iterativamente sé stesso)

Un sistema di Gestione Privacy diventa allora un sottosistema del Sistema di Gestione 231 che alimenta la parte relativa al trattamento dei dati creando uno stretto vincolo e legame a doppio senso tra i due sistemi.
Non bisogna essere sorpresi se si incomincia ad avere una visione sistemica dei Sistemi di Gestione che si integrano e si completano a vicenda. Ben vengano queste intersezioni, la Qualità ha fatto finalmente scuola inserendo e integrando tutte le norme ISO di sistemi di gestione che, come tessere di un puzzle, formano poi un grande quadro completo. Anche in questo caso sia la 231 che la 196 non sono che tessere che si innescano una con l’altra per produrre una immagine comune.