privacy

Sistema di gestione e Gdpr: integrare due modelli (Mop e Mog) per evitare sanzioni

Il regolamento europeo chiama le imprese a un cambio di passo in nome dell’accountability: un approccio risk based che trova una leva nell’adozione “cooperativa” del Modello Organizzativo Privacy (MOP) e del Modello di Organizzazione Gestione e Controllo (MOG). Vantaggi e punti in comune dei due sistemi

20 Feb 2020
Monica Perego

Ingegnere

Chiara Ponti

Avvocato, Privacy Specialist


La protezione dei dati personali richiesta dal GDPR passa per una nuova organizzazione aziendale.

L’evoluzione normativa in materia di protezione dati personali, e in particolare l’arcinoto Regolamento europeo n. 679/2016 GDPR (General Data Protection Regulation) spinge infatti le Organizzazioni a dotarsi di un Sistema di Gestione definito come un “insieme di elementi correlati o interagenti di un’Organizzazione finalizzato a stabilire politiche, obiettivi e processi per conseguire tali obiettivi”.

Esso rappresenta un insieme di processi, documentabili sotto forma di procedure, volti a garantire l’adempimento in forma dinamica, ai requisiti del GDPR.

Analizziamo quindi in che modo l’integrazione di due diversi modelli, MOP e MOP, riesca ad amplificare il “rating di legalità” evitando sanzioni pecuniarie e interdittive.

GDPR e sistema di gestione

Il Sistema di Gestione, nella fattispecie in materia di protezione dati, è finalizzato a stabilire politiche, obiettivi e processi al fine di conseguire gli obiettivi nel rispetto della normativa in materia di protezione dei dati personali, per la salvaguardia dei diritti degli interessati.

Implementare un Sistema di Gestione significa predisporre un apparato di documenti, regole, piani di formazione, procedure di controllo che sia armonioso, omogeneo ed integrato con gli altri processi aziendali. Per completezza, in questa sede ci limitiamo soltanto a citare la ISO/IEC 27701:2019.

L’applicazione di tale Sistema dovrà tenere conto innanzitutto del contesto interno ed esterno all’Organizzazione, oltre alle dimensioni della stessa, del settore di mercato in cui essa opera, sì consentendo di governare qualsivoglia aspetto relativo ai processi legati al trattamento dei dati personali.

Da ultimo, ma non ultimo, il Sistema di Gestione concorre a sviluppare una cultura diffusa in materia, che tutte le funzioni aziendali – svolgenti attività di trattamento- devono/dovrebbero avere. L’adozione di un Sistema di Gestione della protezione dei dati personali agevola ed induce le organizzazioni, qualunque dimensione esse abbiano, ad applicare correttamente le norme.

Il Modello Organizzativo Privacy

Per Modello organizzativo Privacy (di seguito MOP) si intende un insieme di regole e procedure di tipo preparatorio che nasce con lo scopo di fornire in modo organico e compatto un apparato anche documentale afferente un determinato aspetto/settore.

Il modello organizzativo per eccellenza è quello derivante dall’applicazione del D.lgs n. 231 del 2001 in tema di responsabilità amministrativa degli Enti e delle Società, di cui si dirà più oltre.

Dallo sviluppo del Modello, l’Organizzazione può trarre tutte le indicazioni relative ai criteri di applicazione della normativa individuandone responsabilità, misure di sicurezza messe in atto e motivazioni per le quali, sulla base della valutazione dei rischi, l’Organizzazione abbia valutato di assumere ovvero implementare il sistema. Tale modello risulta efficace nella misura in cui si attaglia alla realtà presa in considerazione.

Non si tratta di un documento fine a se stesso, statico e granitico, bensì rappresenta uno strumento dinamico e di ausilio, fondamentale in caso di ispezioni effettuate dall’Autorità Garante per il tramite degli Organi in seno preposti al controllo, e cioè dal “Nucleo Speciale Tutela Privacy e frodi tecnologiche”.

Nell’ambito della protezione dei dati, il D.lgs n. 196 del 2003 ante riforma prevedeva per tutte le Organizzazioni lavoratori autonomi, Enti od Associazioni che trattassero dati personali – anche sensibili, giudiziari o con strumenti elettronici – l’obbligo di redazione del Documento Programmatico della Sicurezza cd DPS, poi soppresso con la L. n. 35 del 2012.

Modello organizzativo privacy (Mop): un “vestito su misura”

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Oggi, con l’applicazione del Regolamento UE n. 679/2016 nelle Organizzazioni a media/alta complessità, si rende opportuna la predisposizione di un MOP; affinché il Modello esprima tutto il suo potenziale, deve essere concepito, sin dall’indice, come un “vestito su misura”, aderente all’Organizzazione. Non a caso, tale documento è visto come una forma di mitigazione in grado di soddisfare il principio di accountability rappresentando la capacità di dimostrare o meglio “rendicontare” le azioni di responsabilizzazione adottate dall’Organizzazione.

Il MOP rappresenta, pertanto, l’insieme delle specifiche “misure tecniche ed organizzative adeguate” comprese l’attuazione di “politiche adeguate in materia di protezione dei dati”, come richiamate dall’art. 24 del GDPR, volte a dimostrare che i trattamenti effettuati dall’Organizzazione siano conformi al Regolamento.

Nei Considerando richiamati dal medesimo articolo sono fornite altre indicazioni utili per la strutturazione del MOP. Tali misure, infatti, devono essere altresì efficaci nel dimostrare che la loro applicazione permetta il raggiungimento degli obiettivi di tutela posti dal Regolamento e la conformità al Regolamento stesso.

L’individuazione delle misure deve tenere altresì conto dei rischi associati ai trattamenti valutandoli in termini di origine, natura, probabilità e gravità.

Supporti nell’individuazione di tali misure, sotto forma ora di codici di condotta, ora di linee guida, ora di certificazioni, potrebbero provenire anche da altri soggetti come il Responsabile del trattamento ovvero da ulteriori fonti qualificate.

Al riguardo, si veda la pubblicazione (agosto 2019) della 27701:2019 “Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”.

GDPR, tutti i rischi da scongiurare

Tra i rischi da considerare, per ogni trattamento si annoverano: la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzato a dati personali trattati (trasmessi, elaborati, e/o conservati).

I danni che potrebbero derivare dalla mancanza nell’applicazione delle misure o in un’applicazione lacunosa o non efficace, potrebbero portare a danni di tipo fisico, materiale o immateriale ora per l’interessato, ora per l’Organizzazione stessa, ma in un’accezione più ampia.

Le misure, infine, devono essere oggetto di revisione ed aggiornamento al mutare:

  • del contesto interno che di quello esterno in cui avvengono i trattamenti;
  • delle finalità;
  • dei rischi connessi tanto in ordine alle libertà, quanto in relazione al mancato rispetto dei diritti.

Alla luce di quanto sopra, il MOP si configura, dunque, come lo strumento ideale per la documentazione del Sistema di Gestione della protezione dei dati personali trattati dall’Organizzazione di riferimento il quale dovrà essere:

  • allineato con gli obiettivi dell’Organizzazione
  • adeguato al contesto di riferimento dovendo, lo stesso, da un lato rispondere alle esigenze delle Realtà coinvolte, e dall’altro fornire chiare nonché esaustive indicazioni a tutti gli “attori” del trattamento.

Modello di Organizzazione Gestione (MOG)

Il Modello di Organizzazione Gestione e Controllo (MOG)  discende dal D.Lgs. n. 231/2001 pertinente alla responsabilità degli Enti per gli illeciti amministrativi dipendenti da reato commessi da persone fisiche nell’interesse o a vantaggio degli enti stessi, scardinando quel granitico principio secondo il quale “Societas delinquere non potest”.

Il Dlgs 231/2001 disciplina una particolare forma di responsabilità giuridica che ha natura sostanzialmente penale, poiché sorge in dipendenza di un fatto di reato, accertata all’interno di un processo penale.

I destinatari della normativa sono:

  • le società e le associazioni fornite di personalità giuridica (tra cui le società di capitali e le società cooperative iscritte nel registro delle imprese);
  • le associazioni, fondazioni ed altre istituzioni di carattere privato senza scopo di lucro;
  • le società di capitali e cooperative e tutti gli enti privati sprovvisti di personalità giuridica (le associazioni non riconosciute).

Oggi, una società priva di un MOG potrebbe esporsi a pesanti conseguenze per i reati commessi al suo interno.

Nella fattispecie, oltre alle sanzioni pecuniarie, esistono le sanzioni interdittive, come:

  • l’interdizione dall’esercizio dell’attività;
  • l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi;
  • il divieto di contrattare con la pubblica amministrazione;
  • la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito.

L’art. 6 del citato decreto contempla una forma di esonero di responsabilità qualora l’Ente dimostri di aver adottato ed efficacemente attuato un MOG idoneo a prevenire la realizzazione dei reati considerati, comprovando che la commissione del reato non è etiologicamente collegabile ad una propria “colpa organizzativa”.

Indagini preliminari: i rischi

È bene, infine, evidenziare i rischi nei quali l’ente può incorrere nella fase delle indagini preliminari in considerazione del fatto che, in base a quanto previsto dall’art. 45 del D.Lgs. 231/01, il Pubblico Ministero, quando sussistono gravi indizi per ritenere la sussistenza della responsabilità dell’Ente per un illecito amministrativo dipendente da reato, vi sono fondati e specifici elementi che fanno ritenere concreto il pericolo che vengano commessi (altri) illeciti della stessa indole di quello per cui si procede, può richiedere l’applicazione di una delle sanzioni interdittive summenzionate, presentando al Giudice gli elementi fondanti la richiesta, ivi compresi quelli favorevoli all’Ente nonché le eventuali deduzioni e memorie difensive già presentate.

Integrazione tra i due modelli

Il MOP presenta molti punti di contatto con le disposizioni dettate dalla D.lgs 231/2001. Tale ampliamento di responsabilità mira a coinvolgere il patrimonio degli enti e gli interessi economici dei Soci, i quali, fino all’entrata in vigore di tale legge, non pativano conseguenze alcune in seguito alla realizzazione dei reati commessi, con vantaggio della Società, da amministratori e/o dipendenti.

Evidenti sono, dunque, gli elementi di contatto tra i due modelli (MOG e MOP). Tali denominatori comuni sono dati, essenzialmente, dalla presenza di molteplici fattori tra cui:

  • un Organigramma la cui revisione è volta ad individuare e descrivere i ruoli assegnati, corrispondenti al criterio della segregation of duties (Sod) su cui si basa il Sistema 231 il quale impone che un’Organizzazione sia imperniata su di una segmentazione di ruoli – in misura di micro o macro granularità – e delle responsabilità strutturata ed organica, tipizzando la separazione dei compiti, affinché nessuno possa gestire, autonomamente, un intero processo;
  • i membri dell’Organismo di Vigilanza (ODV) ai quali deve essere garantita piena autonomia. Costoro devono essere responsabilizzati in quanto la loro attività prevede necessariamente il trattamento di dati personali (attività di ispezione, analisi dei flussi, ricevimento di comunicazioni, ecc.). Sul ruolo dell’Organismo di Vigilanza si veda anche il paper, del marzo 2019, sulla “Qualificazione soggettiva dell’Organismo di Vigilanza ai fini privacy” pubblicato a cura dell’Associazione dei Componenti degli Organismi di Vigilanza ex D.lgs 231/2001. In tale documento si sostiene la tesi, per altro condivisa dalle autrici, che l’ODV non assume né il ruolo di Titolare del trattamento né quello di Responsabile e che in sintesi “… ai fini dell’osservanza delle norme relative alla protezione dei dati l’inquadramento soggettivo dell’Organismo di Vigilanza (collegiale o monocratico) sia assorbito da quello della Ente/società vigilata della quale, appunto, l’OdV è parte”. Inoltre, nello stesso documento si sostiene “… che nell’ottica della sua accountability ex art. 5, co. 2, GDPR, l’ente vigilato, in qualità di Titolare, possa prescrivere all’OdV il rispetto di particolari “misure tecniche e organizzative adeguate per garantire, ed essere in grado di 61 – dimostrare, che il trattamento è effettuato conformemente al [GDPR]” ex artt. 24 ss., purché non interferenti con gli “autonomi poteri di iniziativa e di controllo”: per esempio, la crittografia dei dati eventualmente trattati dei membri esterni dell’OdV sui propri sistemi informatici (per effetto della trasmissione telematica di flussi informativi)”. Tra le indicazioni da fornire all’OdV anche i tempi di conservazione della documentazione (verbali, relazioni, documenti riguardanti indagini, ecc.).
  • l’informativa agli interessati: gli interessati dalle procedure e dai flussi che afferiscono all’applicazione del D.lgs 231/2001 devono essere informati che i loro dati potranno essere trattati nell’ambito dei controlli e degli audit, non sempre e necessariamente a carico dell’ODV, relativi alla verifica della applicazione delle procedure previste (indicate anche come protocolli), dei flussi e delle eventuali indagini a seguito di segnalazioni. Tali contenuti, implicanti naturalmente l’aggiornamento del registro dei trattamenti e dell’analisi dei rischi, devono essere presenti in tutte le informative previste per i soggetti esterni quali membri del CDA, fornitori, ecc.;
  • l’analisi dei rischi: come nel Sistema 231 anche il MOP detta l’obbligo di provvedere alla valutazione dei rischi attraverso la redazione di un documento di analisi finale che individui possibili rischi associati alle varie attività svolte in ragione dei processi aziendali nell’ambito dei quali sono trattati i dati;
  • le indagini da parte dell’ODV a seguito delle segnalazioni: l’ODV dovrebbe disporre di una procedura per la gestione delle segnalazioni e per le eventuali successive attività di indagine. Tale procedura deve prevedere il trattamento dei dati dei soggetti coinvolti (segnalante e segnalato) nel rispetto delle misure previste per la protezione dei dati personali. Inoltre dovrebbero essere definiti i tempi di conservazione della documentazione afferente alle segnalazioni, sia che queste si rilevassero fondate o meno.
  • i reati informatici: tra i reati che rientrano nel perimetro di quelli considerati dal D.lgs 231/2001 si annoverano anche quelli cd “informatici”. Si tratta di un insieme di reati che afferiscono alla sfera dell’area ITC. Tali reati pur non contemplando quelli relativi alla protezione dei dati, presentano diversi punti di contatto. A tal fine una parte delle procedure previste dall’applicazione della ISO/IEC 27001:2013 possono essere considerate quali misure di mitigazione anche per la prevenzione dei reati informatici previsti dal D.lgs 231/2001;
  • i reati in materia di copyright: tra i reati contemplati dal D.lgs 231/2001 rientrano anche quelli relativi alla gestione della normativa in materia di copyright che impattano, sia pure in modo indiretto, sulle licenze Software. La procedura, che potrebbe essere richiamata dal MOP, relativa alla configurazione tipo dell’Hardware in relazione al ruolo ricoperto dai collaboratori aziendali, dovrebbe prevedere anche la configurazione del Software. Da tale aspetto, risalta il punto di contatto tra il D.lgs 231/2001 e gli aspetti relativi alla protezione dei dati personali;
  • la procedura data breach: punti di collegamento tra i due modelli emergono anche in relazione alle procedure da adottare per rilevare e segnalare eventuali infrazioni. Nella fattispecie, la procedura data breach risponde alle stesse esigenze che il Modello 231 impone allorché sussista l’obbligo di fornire informazioni o segnalare anomalie all’Organismo di Vigilanza;
  • il piano di formazione che rappresenta, invero, una delle fondamentali misure atta a consentire di applicare in maniera efficace il Modello. L’art. 6 del D.lgs. n. 231 del 2001 dispone infatti che il Modello Organizzativo perché sia adottato ed efficacemente attuato occorre che i dipendenti siano adeguatamente formati. Il GDPR ai sensi e per gli effetti dell’art. 32 paragrafo 4 stabilisce che «… chiunque agisca sotto l’autorità [del Titolare del trattamento o del Responsabile del trattamento] ed abbia accesso a dati personali non tratti tali dati se non è istruito… », ai fini della sicurezza di trattamento, si deve ritenere soddisfatto tale requisito di legge nella misura in cui la formazione erogata sia verificata, non bastando la sola partecipazione alla seduta formativa;
  • il Codice Etico è uno dei capisaldi della corretta applicazione del D.lgs n. 231 del 2001 ed è parte della tematica più generale sulla Responsabilità Sociale d’Impresa. Il documento contiene l’insieme dei diritti e dei doveri dell’Organizzazione nei confronti di tutte le parti interessate. Il Codice definisce quindi i comportamenti consentiti e quelli vietati a tutti i soggetti coinvolti. Ciò può essere formulato tramite soluzioni descrittive o supportato – ed è auspicabile – da un apparato di esempi che illustrino le “norme di comportamento” e gli “Esempi di non conformità al GDPR”.

I risvolti del codice etico

Il Codice Etico, poi, quale parte integrante della documentazione fondante di una Organizzazione, deve collocarsi ad un livello più alto del Modello stesso in quanto fornisce l’apparato dei valori sui cui si basa l’etica della Organizzazione stessa, mentre il Modello riporta o fa riferimento a contenuti di tagli più operativo. Esso è quindi un documento referenziato dal MOP, gestito in forma controllata e considerato, insieme ad altri come una misura di accountability, supportato da adeguata formazione ed eventuale test per la valutazione della consapevolezza dei destinatari.

Il Codice etico potrebbe altresì contenere o meglio richiamare anche il regolamento interno aziendale in ordine a tutte le misure da mettere in atto per garantire il rispetto dei diritti dell’interessato.

Pur essendoci dei pro e dei contro nell’integrare il Codice Etico con il Regolamento interno, siffatta integrazione a detta di chi scrive è sconsigliabile in quanto mina la natura compatta ed organica del documento mischiandolo con temi di carattere fortemente operativo.

Peraltro, il Regolamento Interno aziendale, in virtù del costante aggiornamento tecnologico è spesso oggetto di aggiornamento, mentre il Codice Etico che si basa prevalentemente sui principi, è raramente oggetto di revisione. D’altra parte, separando il regolamento interno dal Codice Etico l’Organizzazione si trova a dover gestire due documenti, affini.

Il Codice ed il Regolamento sono comunque referenziati dal MOP quali misure di accountability ed il Regolamento stesso potrebbe essere un allegato al MOP. La procedura relativa all’introduzione dei Collaboratori, anch’essa referenziata dal MOP, prevede le responsabilità ed i tempi per la consegna, ai nuovi collaboratori, del Codice e del Regolamento, con l’acquisizione della firma per l’accettazione;

  • il sistema sanzionatorio da ultimo, è una delle misure previste dal D.lgs 231/2001, dalla ISO/IEC 27001:2013 e dalla ISO/IEC 27701:2019 tra quelle deputate a dimostrare l’esercizio del controllo da parte degli organi preposti. A tal fine, oltre ad una procedura che definisca chi ha in carico l’autorità e le responsabilità per la verifica delle condizioni ed eventuale potere sanzionatorio nei confronti del personale (a tutti i livelli) deve essere richiamato nel Registro dei trattamenti e quindi anche nella informativa agli interessati, nel senso che loro dati potrebbero essere trattati per finalità disciplinari, definendo peraltro le modalità di archiviazione (accesso, conservazione e distruzione) della documentazione sanzionatoria relativamente al personale.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 4