L’adozione di misure efficaci di protezione dei dati personali ha un effetto importante anche per la tutela di tutto il patrimonio informativo di un’impresa che rappresenta un valore inestimabile.
Impostare un sistema di sicurezza informatica è quindi necessario non solo per adempiere ad un obbligo di legge ma per difendersi da possibili fughe o furto di informazioni.
La data protection è un’esigenza sempre più forte in funzione dello sviluppo tecnologico.
L’ Internet of Things, IoT, immette sul mercato prodotti e servizi che acquisiscono informazioni senza che la persona spesso se ne renda conto. I robot a loro volta acquisiscono informazioni sulla vita delle persone che assistono.
Non a caso il 9 Maggio 2018 entra in vigore la Direttiva 2016/1148/UE NIS, Network and Information systems security, sulla cybersecurity che ha molti punti di contatto con il Regolamento privacy.
Il Regolamento deve poi coordinarsi con altre normative tra cui la Dir. 2000/31/CE sul commercio elettronico, la Convenzione CoE 108/1981 sul trattamento automatizzato di dati a carattere personale, l’art. 7 e 8 della Carta dell’Unione Europea che tutelano la vita privata e familiare ed il rispetto dei dati di carattere personale.
Protezione dei dati e privacy sono sempre più due facce della stessa medaglia tanto che è stato coniato il nuovo termine di “data protecy” per indicare la protezione dei dati anche dal punto di vista privacy.
È necessario che un’impresa adotti tutte le misure necessarie per tutelare se stessa ed i dati che tratta.
Per tutte le persone giuridiche operanti od intenzionate ad operare sul territorio italiano, siano esse appartenenti a paesi UE che exta-UE, è consigliabile valutare l’adeguamento, tramite l’adozione di un apposito Modello organizzativo, alla normativa contenuta nel D.Lgs.231/2001 al fine di contrastare il rischio di incorrere nelle pesantissime sanzioni dalla stessa previste.
Tale normativa emanata in attuazione della Convenzione OCSE sulla corruzione di pubblici ufficiali stranieri nelle operazioni commerciali internazionali firmata a Parigi il 17 dicembre 1997, recepisce la dottrina del “respondeat superior” già vigente negli USA per effetto della disciplina del Foreign Corrupt Practise Act successivamente ampliata e precisata dalle Federal Sentencing Guidelines statunitensi del 1991 e dalle Ad hoc Advisory Group in the Organizational Sentencing che fanno riferimento, là a soli fini attenuanti della responsabilità, ai concetti di efficacia del modello organizzativo e di culpability of the organization attenuata da “existence of an effective compliance and ethics program; self-reporting, cooperation, or accemptance of responsibility.”
Normative similari si ritrovano, a livello mondiale, in Canada (sez.22.1 e 732.1 -3.1- Codice Penale canadese) nel Regno Unito ( Mousell Bros v London and North Western Rly Co [1917] 2 KB 836; Griffiths v Studebakers Ltd [1924] 1 KB 102; Ltd v Woodward[1972] AC 824; Supermarkets v Nattrass [1972] AC 153), in Giappone, in Germania (Ordnungswidrigkeiten del 24 maggio 1968 solo per i profili amministrativi), in Russia ( art.2.10 del codice degli illeciti amministrativi del 20.12.2001) ed in Francia (art.121-2 Codice Penale francese del 1994).
Tale normativa, che in Italia riguarda una vasta serie di gravi illeciti (tra i quali i reati ambientali, i reati societari in materia di bilancio, di comunicazioni sociali e di utilizzo di informazioni sociali privilegiate, i reati contro la Pubblica Amministrazione…. etc.), include anche i reati strettamente correlati al settore della sicurezza e dell’attività informatica aziendale ed al trattamento, latu sensu, di dati, informazioni e beni immateriali in ambito aziendale.
Proprio con riguardo a tale specifico settore il corretto adeguamento alla normativa privacy con l’efficace attuazione delle prescrizioni normative previste costituisce il minimo ed imprescindibile presidio e punto di partenza nell’adozione di un Modello 231 a contrasto del rischio di incorrere nella responsabilità 231 per i reati informatici e per la violazione del diritto d’Autore