Nuova Privacy Whistleblowing e Modelli 231
Nuova Privacy Whistleblowing e Modelli 231. Di Enrico Pintucci – Partner AQM per Consulenza e Formazione
Sono state recentemente adottate nuove disposizioni che hanno riflessi sull’applicazione del decreto legge 231/ 2001 e non mi sembra sia stata data la dovuta importanza alle loro relazioni con i necessari aggiornamenti ai relativi Modelli. Faccio riferimento al Regolamento dell’Unione Europea 2016/679, che modifica dal prossimo 25 maggio le disposizioni sulla privacy ed alla legge 179/2017, in vigore dalla fine dello scorso anno in materia di tutele per i lavoratori che segnalino reati o irregolarità di cui siano venuti a conoscenza per ragioni di lavoro. Esaminiamo, nell’ordine, le due problematiche.
L’adeguamento alla nuova privacy presenta molte somiglianze con le disposizioni in materia di responsabilità amministrativa delle aziende. Per applicare la nuova disciplina le imprese devono infatti rivedere la propria compliance organizzativa sulla protezione dei dati e delle informazioni personali che trattano e conservano. Più precisamente, spetta al “Titolare del trattamento” provare di avere adeguato le policy aziendali sulla base di un modello organizzativo che comprenda tutti i processi e gli adempimenti necessari ad assicurare la riservatezza e il più elevato grado di tutela per i dati personali trattati. In sostanza, si deve disporre di un sistema di controllo interno analogo a quello da adottare per il rispetto del decreto 231. Occorre infatti una descrizione delle mansioni per identificare in modo univoco ed inequivocabile le responsabilità del “Titolare” e del “Data Protection Officer”, (ruolo non sempre obbligatorio ma consigliato come terzo con funzioni simili a quelle dell’OdV), abbinata all’individuazione dei possibili rischi associati alle distinte attività svolte per il trattamento dei dati.
Quanto detto risponde pienamente ai criteri in base ai quali si applica il Modello 231, secondo il quale è necessario individuare le distinte responsabilità in capo a ciascuna funzione, descrivendone nel dettaglio i compiti affidati, associando a dette responsabilità le specifiche attività sensibili alla commissione di reati ed i relativi fattori di rischio (così detta mappatura dei rischi).
Appare inoltre evidente che l’art.24 bis del decreto 231, intitolato “delitti informatici e trattamento illecito dei dati”, punisce ipotesi delittuose che possono essere poste in essere qualora sia carente una adeguata tutela dei dati personali trattati in ambito aziendale. In altre parole, si vengono a configurare due profili di punibilità, parzialmente distinti sotto il profilo delle finalità dei comportamenti, ma entrambi incidenti sulle stesse attività aziendali.
In aggiunta, si richiede l’introduzione di specifiche modalità di presentazione delle comunicazioni circa eventuali violazioni riscontrate nei dati personali, per le quali è necessaria l’istituzione di moduli di segnalazione, con perfetto parallelismo rispetto ai flussi informativi che occorre predisporre in forma riservata per l’Organismo di Vigilanza per le irregolarità rilevate da dipendenti e terzi.
Altra similitudine con il modello 231 è che l’organizzazione può aderire ad un codice di condotta che le consenta di operare nella corretta osservanza delle prescrizioni del Regolamento comunitario e che può presentare dei parallelismo con l’adozione di un codice etico per prescrivere comportamenti rispondenti alla legalità richiesta sulla prevenzione dei “reati 231”.
Non sono necessari ulteriori commenti per concludere che una corretta applicazione delle nuove prescrizioni sulla privacy può trovare una più funzionale ed economica soluzione attraverso l’inglobamento del “modello organizzativo privacy” nel più ampio “Modello 231”, senza necessità di uno sviluppo parallelo di regole e procedure con possibili disallineamenti.
L’inglobamento del processo di gestione della privacy nel Modello 231 può anche offrire, tramite i “protocolli”, maggiori garanzie di controllo rispetto a procedure non strutturate. Ciò acquista una rilevanza particolare per le aziende che non dispongano di un sistema integrato di anagrafiche della clientela e raccolgano informazioni sulle persone tramite politiche di marketing che utilizzino diversi vettori, quali e-mail, telefonate, questionari, anche utilizzando soluzioni di “customer relashionship management”. E’ quindi doveroso sottolineare come i nuovi obblighi derivanti dalla privacy costituiscano un ulteriore buona ragione per adottare i Modelli 231 da parte delle PMI che non l’abbiano ancora fatto.
Passando a considerare la legge 179/2017, (Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato), è utile ricordare che l’aspetto più importante è costituito dal principio che, per la prima volta, la segretezza dell’identità del denunciante viene garantita dal legislatore. Detta garanzia non si applica soltanto agli appartenenti alle Amministrazioni Pubbliche, inclusi gli enti pubblici economici e di diritto privato sotto controllo pubblico, ma anche a chi lavora in imprese che forniscono beni e servizi alla Pubblica Amministrazione e, più in generale, ai dipendenti e collaboratori che operino nel settore privato con riferimento specifico all’applicazione dei Modelli 231.
Sarà pertanto opportuno che le imprese che hanno adottato o intendano adottare detti Modelli verifichino che l’impianto regolamentare sia idoneo a disciplinare un sistema di segnalazione delle violazioni conforme alle intervenute novità legislative e contemplino, fra l’altro, espresse sanzioni disciplinari nei confronti di chi viola le misure di tutela del segnalante e specularmente, a carico di chi effettui segnalazioni che si rivelino infondate.
Per quanto attiene alle modalità di segnalazione, anche se la nuova disciplina non fornisce indicazioni precise, è ragionevole sostenere, come ho indicato già da tempo, che le procedure in questione siano individuate direttamente dall’Organismo di Vigilanza e non da un protocollo aziendale.
In conclusione, da quanto sopra esposto ne deriva una valorizzazione ed un potenziamento del ruolo degli Organismi di Vigilanza che sono chiamati a monitorare il processo di adeguamento alle nuove disposizioni sulla privacy e dovranno, presumibilmente, rielaborare flussi e sistemi informativi, nonchè estendere l’ambito di applicazione dei propri audit interni.
Estendere l’ambito di applicazione dei propri Audit Interni