È possibile enucleare alcune possibili interferenze tra la normativa sulla protezione dei dati personali e il d.lg. 231/2001.

La rilevanza a fini 231 dei delitti in materia di privacy

I delitti in tema di privacy (artt. 167-172 Codice privacy) non possono essere ascritti in quanto tali ad una persona giuridica, non essendo previsti dal d.lg. 231 quali reati presupposto ex artt 24 e seguenti.

Tuttavia, essi possono acquisire rilevanza indiretta ai sensi del d.lg. 231, in due ipotesi.

Innanzitutto, essi possono costituire reati-scopo di un’associazione per delinquere (questa invece reato-presupposto ai sensi del d.lg. 231).

Per tale via potrebbe essere contestato all’ente il delitto associativo finalizzato, ad esempio, al trattamento illecito di dati personali (tre o più persone che stabilmente collaborano per la commissione di tale delitto).

Sto parlando di scenario possibile, tralasciando in questa sede il tema della fondatezza di tale addebito, come è noto parecchio osteggiata perché si risolverebbe nell’aggiramento del principio di tassatività dei reati-presupposto (Cass., VI, 24 gennaio 2014 n. 363).

In secondo luogo, i delitti in tema di privacy (in particolare il trattamento illecito di dati personali) potrebbero procurare un profitto o, almeno, un risparmio di spesa all’ente.

Ebbene: se tali proventi venissero occultati o successivamente impiegati in attività lecite, verrebbero integrati i delitti di riciclaggio (o autoriciclaggio o c.d. reimpiego).

Si tratterebbe, quindi, di reati previsti dal d.lg. 231, che avrebbero ad oggetto proventi di un reato invece non previsto in quella sede.

Sulla questione si consideri che, di recente, la Cassazione ha ritenuto configurabile a carico di un ente l’autoriciclaggio dei proventi di un’estorsione (altro reato non presupposto) commessa dal datore di lavoro in danno di alcuni dipendenti (Cass., II, 7 giugno 2018 n. 25979).

La prevenzione dei reati informatici

Va inoltre aggiunto che il sistema di organizzazione, gestione e controllo in tema di privacy (con le importanti novità conseguenti all’entrata in vigore del GDPR) impatta in maniera sensibile sulla prevenzione dei reati informatici (presenti nel d.lg. 231 sin dal 2008).

Sotto questo profilo trattasi di sistema che va opportunamente richiamato nel (e coordinato con il) Modello organizzativo, con particolare riguardo alle eventuali certificazioni (ad esempio: ISO 27001) e alla figura dell’Amministratore di sistema.

Il trattamento di dati personali da parte dell’OdV

Nello svolgimento delle proprie funzioni l’OdV tratta dati personali, in ipotesi anche sensibili (si pensi a quelli giudiziari). In particolare, ma non solo, nella gestione del whistleblowing. Resta ancora aperta la questione circa la posizione giuridica, a questi fini, dell’OdV: è Titolare o Responsabile del trattamento (quest’ultima resta – per quanto consta – la soluzione più diffusa)?

I rapporti tra DPO e OdV

Il Data Protection Officer è, senza alcun dubbio, un interlocutore importante dell’OdV, nell’ambito del sistema dei flussi informativi previsti nel Modello organizzativo.

Mi sembra problematico, invece, il suo inserimento nell’OdV collegiale (e, a maggior ragione, la sua designazione ad OdV monocratico) alla luce dei compiti che gli spettano: egli costituisce punto di contatto con il Garante ed è direttamente accessibile dagli interessati.

Ma, soprattutto, il DPO deve monitorare le modalità di trattamento da parte del Titolare e del Responsabile e, quindi, dovrebbe monitorare anche il trattamento effettuato dall’OdV.

di Maurizio Arena