Digital Compliance: spunti di riflessione e di riforma sui controlli di prevenzione e protezione dell’O.d.V.
*Contributo sottoposto con esito positivo a referaggio secondo le regole della rivista
Abstract:
L’autore si pone, con il presente contributo, l’obiettivo di analizzare i più significativi approdi legislativi, europei e nazionali in materia di protezione dei dati digitali esaminando, in particolare, se quest’ultimi possano essere tutelati dalle organizzazioni plurisoggettive anche attraverso l’adozione di serio Modello Organizzativo ex D.lgs. n. 231/2001 stante la previsione dell’art. 24-bis, rubricato “Delitti informatici e trattamento illecito dei dati”.
Nello specifico, l’articolo, attraverso un approccio concreto, si sofferma sugli effettivi poteri di prevenzione e protezioni in capo agli Organismi di Vigilanza che operano, soprattutto, all’interno delle nuove realtà imprenditoriali di natura digitale esponendo ed analizzando sia le procedure di controllo più comuni per la salvaguardia delle informazioni sensibili che le ultime prospettive di riforma.
Abstract: With this contribution, the author sets himself the goal of analyzing the most significant legislative, European and National approaches to the protection of digital data, examining, in particular, whether the latter can be protected by multi-subjective organizations also through the '' adoption of a serious Organizational Model pursuant to Legislative Decree n. 231/2001 given the provision of art. 24-bis, entitled "Computer crimes and illegal data processing".
Specifically, the article, through a concrete approach, focuses on the effective powers of prevention and protection of the Supervisory Bodies that operate, above all, within the new entrepreneurial realities of a digital nature, exposing and analyzing both the control procedures more common for safeguarding sensitive information than the latest reform prospects.
Sommario
1. Premessa: L’importanza di un asset strategico ben definito
2. La Direttiva NIS: cenni di una normativa in continuo divenire
3. I Modelli Organizzativi ex D.lgs. n. 231/2001 possono adeguatamente tutelare i dati digitali?
4. L’Organismo di Vigilanza: alcuni dei protocolli di controllo specifici previsti
5. Conclusioni
Summary
1. Premise: The importance of a well-defined strategic asset
2. The NIS Directive: hints of a constantly evolving legislation
3. The Organizational Models pursuant to Legislative Decree no. 231/2001 can adequately protect digital data?
4. The Supervisory Body: some of the specific control protocols provided
5. Conclusions
1. Premessa: l’importanza di un asset strategico ben definito
L’eterogeneo ed incessante sviluppo tecnologico degli ultimi decenni ha portato l’individuo a rimeditare, sotto una nuova luce, sia gli aspetti sociali, economici e culturali della propria vita di relazione sia i singoli comportamenti penalmente rilevanti a prescindere dalla loro connotazione commissiva od omissiva.
Infatti, con l’aumento della circolazione dei dati digitali sono pedissequamente ed inesorabilmente aumentate sia le necessità di delineare forme di tutela in grado di declinare correttamente tale fenomeno all’interno della realtà giuridica dei singoli individui sia le esigenze di proteggere e preservare quegli interessi di recente elaborazione quali, ad esempio, la protezione e l’integrità dei dati personali[1] e la riservatezza informatica.
A ben vedere, invero, la nascita e l’importanza di approntare tali tutele, insieme alla palese constatazione di vivere in una società multidigitale e in continua evoluzione, diviene ancora più pressante qualora si consideri la presenza, all’interno del mercato, di nuovi e peculiari soggetti giuridici coinvolti nella memorizzazione, trasmissione e produzione di dati, ovvero l’Hosting Service Provider, il Network Service Provider e il Software House che solo recentemente hanno avuto una parziale previsione legislativa sia a livello nazionale[2] che europeo[3].
Ciò posto, appare dunque evidente come la questione della protezione dei dati digitali, segnatamente qualora si tratti di informazioni sensibili, interessi non solo l’individuo ma anche e soprattutto le singole organizzazioni plurisoggettive che, a prescindere dalla filiera produttiva in cui operino, sono tenute, in un modo o nell’altro, a garantire la piena salvaguardia di tali informazioni attraverso una precipua serie di controlli e procedure atte ad evitare ogni possibile condotta finalizzata a distrarle per fini diversi ed ulteriori rispetto a quelli per cui sono state concesse.
La tutela della sicurezza delle infrastrutture informatiche, anche se interne all’azienda, assurge quindi ad asset strategico di basilare importanza già in fase di pianificazione dell’attività imprenditoriale, in quanto l’affidabilità e la corretta funzionalità dell’information system security non può assolutamente formare oggetto di un investimento estemporaneo se non addirittura marginale.
Detto altrimenti, l’assenza di una concreta ed efficacie compliance aziendale volta a tutelare e garantire il massimo grado di protezione dei dati non solo esporrebbe la società a possibili sanzioni economiche di rilievo ma minerebbe anche il c.d. business continuity della stessa aumentando, ancor di più, le perdite d’esercizio per aver adottato standard infimi o inesistenti di tutela digitale.
2. La Direttiva NIS: cenni di una normativa in continuo divenire
Il legislatore europeo, attraverso la Direttiva n. 2016/1148 c.d. Direttiva NIS (Network and Information Security) attuata in Italia con il D.lgs. n. 65/2018, ha affrontato, per la prima volta, il tema della cybersecurity dei sistemi di sicurezza strategica definendo le misure necessarie a conseguire un elevato livello di tutela delle reti e dei sistemi informativi valido sia per gli Operatori di Servizi Essenziali (OSE) e sia per i Fornitori di Servizi Digitali (FSD).
Nello specifico, con i primi ci si riferisce a tutti quei soggetti, pubblici o privati[4], che operino nei settori dell’energia, dei trasporti, della finanza, della sanità, della fornitura e distribuzione di acqua potabile, delle infrastrutture digitali, ex adverso, per Fornitori di Servizi Digitali devono intendersi tutte quelle organizzazioni plurisoggettive che operino in funzione di motori di ricerca online o svolgano servizi di cloud computing o, semplicemente, incentrino la loro attività imprenditoriale sull’e-commerce[5].
Inoltre, come espressamente previsto dall’art. 7 della Direttiva, viene richiesto agli Stati membri di prevedere l’adozione di una strategia nazionale di sicurezza cibernetica volta a fornire adeguate e repentine misure per l’assistenza, la risoluzione e il recupero dei servizi a seguito di incidenti informatici, ovvero definire piani di valutazione dei rischi digitali finalizzati alla formazione e alla sensibilizzazione in materia di sicurezza informatica nonché prevedere una valutazione dei rischi e di ricerca in materia di cybersecurity [6].
In tal modo, quindi, sia il legislatore europeo che quello nazionale hanno ulteriormente incrementato con nuova linfa una disciplina che, seppur già ampiamente riformata con il Regolamento Europeo n. 679/2016 (di seguito anche solo G.D.P.R.), ancora non riesce completamente ad ammantare con le sue precipue tutele ogni aspetto della vita digitale dell’individuo benché meno delle persone giuridiche responsabili, a vario titolo, del trattamento delle informazioni digitali.
3. I Modelli Organizzativi ex D.lgs. n. 231/2001 possono adeguatamente tutelare i dati digitali?
Le suesposte fonti normative hanno, senza alcun dubbio, evidenziato come la tutela e la sicurezza dei sistemi informatici rappresenti un fondamentale pilastro per una corretta ed efficiente compliance aziendale in quanto, come acutamente osservato da attento filone ermeneutico[7], il dato digitale è ormai divenuto un elemento centrale non solo per l’integrazione delle singole fattispecie delittuose informatiche ex art. 24-bis ma anche di quasi tutti i reati presupposto previsti dal D.lgs. n. 231/2001 (in seguito anche solo Decreto).
Invero, già prima della L. n. 48/2008 che ha ratificato la Convenzione del Consiglio d’Europa finalizzata ad estendere la responsabilità amministrativa dell’ente per la maggior parte dei reati informatici[8] c.d. computer crimes, il legislatore nazionale aveva previsto a carico delle organizzazioni plurisoggettive la possibilità, ex artt. 24 e 25-quinquies del Decreto, di integrare delle ipotesi delittuose aventi natura digitale quali gli artt. 640-ter[9] e 600-quater co. 1 c.p. [10].
Successivamente, attraverso il D.L. n. 92/2008, venne, al fine di fronteggiare le impellenti esigenza sovranazionali, introdotto all’interno del corpus normativo l’art. 24-bis, rubricato proprio “Delitti informatici e trattamento illecito dei dati”[11] al cui interno sono ricomprese, tutt’oggi, le fattispecie di accesso a sistema informatico ex art. 615-ter c.p., intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche ex art. 617-quater c.p., installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche ex art. 617-quinquies c.p., danneggiamento di informazioni, dati e programmi informatici ex art. 635-bis c.p., danneggiamento di informazioni, dati e programmi utilizzato dallo Stato o da altro ente pubblico o comunque di pubblica utilità ex art. 635-ter c.p., danneggiamento di sistemi informatici o telematici ex art. 635-quater c.p. nonché il danneggiamento di sistemi informatici o telematici di pubblica utilità ex art. 635-quinquies c.p.
Il legislatore, seppur il tenore della norma si riferisca anche al trattamento illecito dei dati, ha escluso all’interno della disposizione i delitti contemplati dal Regolamento Europeo n. 679/2016 c.d. G.D.P.R. nonostante il D.L. n. 93/2013 avesse ampiamente disposto che i catalogo dei reati di cui al D.lgs. n. 231/2001 dovesse essere ulteriormente ampliato con l’introduzione di fattispecie quali, ad esempio, il trattamento illecito dei dati ex art. 167, la Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala ex art. 167-bis, l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, ex art. 167-ter, etc.[12].
Pertanto, benché tali prospettive di riforma, atte ad assicurare una più incisiva ed uniforme tutela delle informazioni personali attraverso sanzioni pecuniarie consistenti a carico delle singole organizzazioni plurisoggettive, siano state disattese tuttavia, come riscontrato da attenta letteratura scientifica[13], ciò non comporterebbe che le due discipline debbano necessariamente essere considerate in maniera distinta, ovvero come se si trattasse di due previsioni giuridiche del tutto avulse e distanti fra solo.
Infatti, il D.lgs. n. 231/2001 e il Regolamento Europeo n. 679/2016, seppur si focalizzino su aspetti diversi, sarebbero collegati dal medesimo fil rouge costituito sia dalla necessità di proteggere i dati personali sia dall’esigenza di far sì che le organizzazioni plurisoggettive e i singoli individui adottino comportamenti idonei a prevenire quelle fattispecie di reato che minano la tenuta e la riservatezza di un sistema informatico.
In particolare, l’art. 24 del G.D.P.R. rubricato “Responsabilità del titolare del trattamento”[14] nel prevedere che il titolare del trattamento, qualora la situazione fattuale lo richieda ed a seconda dei possibili rischi, deve mettere in atto tutte le misure tecniche ed organizzative adeguate ed idonee a garantire che i dati siano trattati in conformità con i dettami del Regolamento Europeo n. 679/2016 potrebbe far sostenere che fra di esse sì annoveri, quale idoneo strumento di prevenzione e protezione, lo stesso Modello Organizzativo ex art. 6 del D.lgs. n. 231/2001.
Ancora, sia il Decreto che il G.D.P.R. condividerebbero lo stesso modus operandi essendo presente sia una preventiva analisi dei rischi c.d. Analysis Risk Assessment, sia la figura di un organo di controllo interno deputato al far sì che tutte le procedure finalizzate alla non integrazione di fattispecie di reato, nonché alla conservazione e al trattamento dei dati, siano interamente effettuate in maniera non difforme alle regole dettata dal Regolamento Europeo che sono poste, in primis, a tutela di ogni informazione personale.
Inoltre, il G.D.P.R. contempla la figura del Data Protection Officer, ovvero di un professionista dotato di competenze informatiche e di analisi dei dati nonché di gestione ed organizzazione degli stessi, all’opposto, il Decreto prevede, stante la consistente presenza di fattispecie di reato estremamente eterogenee fra loro, la presenza di un Organismo di Vigilanza, monosoggettivo o plurisoggettivo, che svolge i compiti di vigilare sia sul corretto adempimento di tutte quelle procedure poste al fine di prevenire l’integrazione dei reati presupposto sia sul corretto comportamento etico degli amministratori, consulenti, sindaci e dipendenti.
Ciò posto, se si possono notare delle significative similitudini tra le due fonti normativa, altrettante possono essere le discrasie che non permettono una completa assimilazione tra le procedure di prevenzione e controllo.
Infatti, a differenza del G.D.P.R., l’adozione di un Modello Organizzativo di Gestione e Controllo è ancora rimessa alla mera discrezionalità dell’imprenditore che voglia attuare una quanto mai significativa politica aziendale volta alla massima efficienza ed efficacia della propria attività economica.
Inoltre, a ben vedere, sono diversi anche i destinatari dei due impianti normativi in quanto il Decreto prevede agli artt. 6 e 7 che lo stesso di applichi a tutti i soggetti che operano, anche occasionalmente, all’interno della struttura societaria, diversamente, il G.D.P.R. si riferisce solo a coloro che sono direttamente preposti alla tutela del trattamento dei dati personali.
Pertanto, seppur accomunati da vari punti di contatto, entrambe le norme devono essere tenute ben distinte tra loro in quanto si pongono a tutela di due differenti beni giuridici ovvero i sistemi informatici e i dati sensibili in essi contenuti.
Per leggere il contributo integrale CLICCA QUI!
