Lunedì, 09 Luglio 2018 16:06

Data breach: i modelli organizzativi GDPR e 231 tutelano l'impresa in caso di violazione dei dati personali

Written by
Rate this item
(0 votes)

Il Regolamento UE n. 2016/679 sulla privacy (GDPR) ha posto a carico delle imprese un onere di responsabilizzazione circa il trattamento dei dati. Diventa pertanto opportuno mappare i rischi e, conseguentemente, individuare le misure di sicurezza e i codici di condotta per affrontare i casi di violazione dei dati personali (cd. data breach). I modelli organizzativi sono un valido strumento. In che modo operano a tutela dell'impresa?

Per data breach si intende "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati" (art. 4 GDPR). Dalla lettura di questa norma si possono individuare 3 tipologie di violazione di dati personali:

  1. la confidentiality breach (divulgazione o accesso non autorizzato a dati personali);
  2. l'availability breach (alterazione di dati personali);
  3. l'integrity breach (modifica di dati personali).

Nei casi più gravi, le suddette violazioni possono dar luogo a reati rientranti nella categoria dei delitti informatici. Si pensi all'accesso abusivo ad un sistema informatico o telematico (art. 615ter c.p.), alla detenzione e diffusione abusiva di codici di accesso a sistemi informatici (art. 615quater c.p.), all'interruzione illecita di comunicazioni informatiche o telematiche (art. 617quater c.p.), al danneggiamento di informazioni, dati e programmi informatici (art. 635bis c.p.) o al danneggiamento di sistemi informatici o telematici (art. 635quater c.p.). Queste fattispecie di reato attengono alla sfera della protezione dei dati in ambito aziendale e sono rilevanti non solo ai fini della normativa sulla privacy (GDPR), ma anche ai sensi del D.lgs. n. 231/2001. Il D.lgs. n. 231/2001 prevede, infatti, un sistema di responsabilità per le imprese e specifiche misure finalizzate ad eliminare il rischio delle sanzioni amministrative derivanti dalla commissione da parte del management o dei dipendenti di uno dei rati inclusi da tale normativa tra i reati-presupposto. Secondo il D.lgs. n. 231/2001, un evento che determini una violazione dei dati personali può produrre a carico di un'impresa elevate sanzioni sia pecuniarie (sino ad €. 774.550,00) che, nelle ipotesi delittuose più gravi, interdittive, come la confisca o l'interruzione dell'attività.

Si può ben comprendere come il GDPR spinga le imprese a valutare la necessità e l'urgenza di un'analisi della loro organizzazione per individuare aree di rischio e adottare conseguenti misure tecniche ed organizzative necessarie a dimostrare l'avvenuta responsabilizzazione della struttura aziendale alle norme di legge. Adottare modelli organizzativi efficaci e completi è quindi non solo un'opportunità, ma anche un'esigenza per garantirsi una riduzione, se non l'eliminazione, del rischio di violazione dei dati e delle conseguenti sanzioni, anche di natura penale.

Avv. Marco De Paolis

STUDIO LEGALE DE PAOLIS
Piazzetta Monsignor Almici, 13
25124 Brescia
T. +39 030 2421245
F. +39 030 2449678
E. Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 

Leggi 1945 times Last modified on Martedì, 22 Ottobre 2019 15:53
Back to Top