Il Centro Studi Giorgio Ambrosoli ha tenuto a Milano , lo scorso 30 settembre, un convegno sulla tutela della privacy con il proposito di analizzare l’evoluzione dei sistemi normativi dei decreti legislativi n. 231/2001 e n. 196/2003.
L’incontro è stato il primo di una serie che si svilupperà nei prossimi mesi sul tema del d.lgs. n. 231/2001, seguendo così la scia del filo conduttore degli anni precedenti in cui il Centro Studi si è dedicato ai temi dei rapporti fra impresa e impresa criminale e del fenomeno della “fuga dalla giurisdizione”.
Il tema dell’incontro del 30 settembre, la cui apertura dei lavori è stata svolta dal Presidente Avv. Ermanno Cappa, ha tratto spunto dalla recente emanazione del d.l. 14 agosto 2013, n. 93, recante disposizioni urgenti in materia di sicurezze e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province, il cui termine per la conversione cadrà a metà ottobre.
L’incontro si è incentrato sulla nuova normativa, entrata in vigore lo scorso 17 agosto, che ha introdotto nel “catalogo” dei reati presupposto della responsabilità da reato degli enti ex d.lgs. n. 231/2001, i cosiddetti delitti privacy.
L’art. 9 del d.l. 93, infatti, ricomprende tra i reati rilevanti ai sensi del d.lgs. 231 anche i delitti (ma non le contravvenzioni) previsti alla Parte III, Titolo III , Capo II del d.lgs. 196/2003 (c.d. Codice Privacy), riguardanti in particolare (i) il trattamento illecito dei dati; (ii) la falsità nelle dichiarazioni e notificazioni al Garante Privacy e (iii) l’inosservanza di provvedimenti del Garante Privacy.
Tutela della privacy o legge organizzativa?
L’Avv. Cappa ha esordito con una riflessione provocatoria finalizzata a stabilire se le norme sulla privacy siano preordinate non tanto alla tutela dei singoli, quanto piuttosto all’educazione delle imprese sulla necessità di diligenza organizzativa tale da scongiurare i rischi di pirateria.
L’Avv. Cappa ha, altresì, sottolineato la circostanza che l’armamentario sanzionatorio della legge di tutela della privacy appare vieppiù “spuntato”, posto che non si riscontrino dalla sua applicazione condanne penali inflitte, con tantomeno il massimo della pena.
Esistono linee guida?
L’incontro, moderato dall’Avv. Umberto Amrbosoli porta il dibattito su un'altra riflessione interessante.
Lo stesso, nella sua introduzione, illustra brevemente le novità in tema di privacy introdotte dal decreto n. 93 e, nel presentare i relatori Avv. Rosario Imperiali d’Afflitto e Avv. Rocco Panetta, due dei massimi esperti in materia di tutela dei dati personali, chiede loro se ritengano che tale provvedimento rappresenti un punto di svolta per l’Italia in tema di privacy.
Altro spunto di riflessione è se esistono delle linee guida per inserire la privacy nei modelli di organizzazione aziendale.
Secondo l’Avv. Ambrosoli tali norme sono destinate ad avere grande impatto sulle imprese, comportando un sostanziale aggravio nell’organizzazione del modello adottato, pur non conoscendo il destino che avrà questo decreto, in quanto non si ha alcuna certezza della sua conversione entro i tempi costituzionalmente previsti.
Le linee di tendenza del decreto.
L’Avv. Rosario Imperiali d’Afflitto parte da una introduzione di sistema sulla privacy e porta i partecipanti ad una riflessione sull’impatto sociale che le norme hanno avuto sulla collettività, sottolineando come la privacy oggi soffre di un deficit di conformità e viene percepita come disciplina “noiosa”.
Una tale percezione deriva, probabilmente, da una molteplicità di fattori: l’astrattezza dell’impianto normativo che al suo esordio nel ’95, quando il legislatore introdusse per la prima volta in Italia il concetto di privacy, già faceva riferimento alla valenza costituzionale o di diritto fondamentale della tutela del dato, in quanto tale difficilmente comprensibile dalla comunità.
L’eccessivo tecnicismo terminologico, l’inevitabile complessità della norma e quel continuo “strabismo” oscillante tra diritto alla tradizionale riservatezza e tutela di bit e tracciati on line, la cui associazione col “diritto ad essere lasciati soli” non è di immediata intuizione;
infine, la diffusa prassi attenta ai meri adempimenti formali, a scapito di una confomità basata sui comportamenti reali.
Proprio per colmare questa deriva, il nuovo decreto n. 93 inserisce la governance privacy nel modello organizzativo 231, mediante l’introduzione dei delitti privacy nei reati presupposto, enfatizzando come il principio di effettività valga anche per la tutela dei dati.
Una tendenza che sembra oramai tracciata – nonostante l’incerta sorte del decreto – come confermato dalla proposta di Regolamento comunitario sul data protection, il quale potrebbe essere approvato prima delle elezioni del maggio 2014.
Ma anche dalla revisione delle originarie linee guida OCSE del 1980, approvate lo scorso luglio: in entrambi questi atti emerge la necessità che la tutela dei dati personali sia gestita con un sistema organico di procedure, ruoli e verifiche periodiche, bene integrato nell’organizzazione aziendale.
Nella società della conoscenza, infatti , ciascuno di noi – vorace consumatore di informazioni - ha diritto di avvalersi appieno delle opportunità offerte dalla tecnologia grazie all’implicita garanzia che le informazioni che vengono acquisite siano state gestite correttamente.
Ma la Privacy deve stare nella compliance?
L’Avv. Rocco Panetta, da sempre studioso della materia e Dirigente dell’Autorità Garante per la Protezione dei Dati Personali dal 2001 al 2008, sottolinea come la volontà del legislatore comunitario prima e del legislatore italiano poi, nonchè la trasversalità delle norme sulla privacy, richiede ed impone, per evitare che ci si riduca ad una mera compilazione di adempimenti, una attenzione di primo livello da parte delle aziende.
Una prassi questa molto diffusa a livello internazionale e di cui anche le sedi italiane di tante multinazionali americane, ad esempio, hanno fatto tesoro.
Tra i problemi che invece affliggono il capitalismo italiano vi è anche quello di avere una cultura di impresa lontana dai canoni della compliance come best practice pregiudiziale ad innalzare la catena del valore.
E’ dunque un fatto che il problema della protezione dei dati personali è da noi un problema anzitutto di organizzazione e cultura e governance.
Per avere un innalzamento del livello di attenzione dell’imprenditore sul tema privacy, dimenticando per un attimo le pesanti sanzioni nascoste tra le pieghe delle norme, forse la strada da intraprendere è proprio quella di includere la privacy nell’universo del d.lgs. 231.
Peraltro, l’Avv. Panetta ricorda come tante siano le similitudini tra codice privacy e normativa 231.
Il tema, ricorda l’Avvocato, è già stato peraltro introdotto dall’art. 15 del Codice Privacy, norma che disciplina la responsabilità per illecito trattamento dei dati personali ove il richiamo alla figura ex art. 2050 c.c. attribuisce una responsabilità di tipo oggettivo con inversione dell’onere della prova.
L’imprenditore, peraltro quotidianamente, si occupa di questioni problematiche sull’uso dei dati, attribuendone però competenze e risposte ad altri ambiti: si pensi alla videosorveglianza, ai controlli della posta elettronica dei dipendenti, alla sicurezza dei server, e così via, tutto questo è privacy delegata ora alle funzioni risorse umane, ora all’IT, ora ai sindacati.
E’ invece un problema legale e di compliance.
In definitiva l’Avv. Panetta propende per un’ottica di convergenza tra compliance e privacy.
Nel caso della d.l. 93/2013 si è però persa un’occasione di armonizzazione delle sanzioni e depenalizzazione delle stesse, che invece servirebbe per rendere più efficiente anche l’enforcement della legge.
Spunti e suggerimenti conclusivi.
In conclusione dell’incontro ed anche grazie al dibattito intervenuto a chiusura dell’evento, si possono trarre alcuni spunti emersi ed alcuni suggerimenti dati.
In primo luogo si è concordato sul fatto che, indipendentemente dalla conversione in legge del d. 93/2013, è opportuno presidiare il tema della privacy nel modello organizzativo aziendale.
Le tematiche affrontate dalla 231 non prescindono, infatti, dalla gestione dei dati.
Si pensi, ad esempio, alla stessa disciplina antiriciclaggio.
Come si possono gestire le problematiche ad essa connesse senza pensare anche ad una attuazione della privacy?
L’Avv. Imperiali ha più volte sottolineato come in Italia manca una assoluta cultura del processo privacy delle aziende.
Se l’azienda non percepisce il senso della privacy nel fare la 231, in quanto c’è bisogno di gestire le informazioni e i limiti imposti, non è facile dare una svolta.
E’ necessario, pertanto, un cambiamento di mentalità in azienda su sensibilità privacy.
E’ quindi importante spingere la compliance aziendale ad adottare norme sulla privacy per evitare, oltre ad una responsabilità degli enti, anche il rischio che le multinazionali americane impongano alle nostre imprese i loro modelli organizzativi particolarmente restrittivi.
E’ emerso, inoltre, come la figura del privacy officer dovrebbe poter ricoprire nelle aziende un ruolo apicale e decisionale in modo da consentirgli di gestire gli incidenti interni e di prevenirli, limitando così i rischi d’impresa.
Quanto alla domanda se vi siano delle linee guida in tema di privacy e compliance, l’Avv. Panetta ricorda che la galassia che ruota attorno alla privacy è costellata da linee guida, provvedimenti generali, raccomandazioni nazionali ed internazionali.
Ritenere il quadro relativo alla circolazione dei dati ancora nebuloso o ostico da comprendere è solo frutto di una certa dose di pigrizia che ci caratterizza a tutti i livelli.
.jpg)
.jpg)
.jpg)
.jpg)
