Nel groviglio normativo in cui si muove oggi l’impresa, la protezione dei dati personali e la responsabilità da reato dell’ente non sono più compartimenti stagni.

GDPR e D.Lgs. 231/2001

Il GDPR ha rivoluzionato la cultura del dato, imponendo alle aziende un dovere non solo formale, ma sostanziale, nella gestione delle informazioni personali. Parallelamente, il D.Lgs. 231/2001, con la sua logica preventiva e organizzativa, impone agli enti di strutturarsi per evitare che all’interno si consumino reati. La connessione tra questi due mondi si è fatta concreta e pericolosa nel momento in cui alcuni illeciti in materia di trattamento dei dati personali sono entrati ufficialmente nel catalogo dei reati presupposto che possono generare responsabilità per l’impresa.

Quando parliamo di trattamento illecito dei dati, non ci riferiamo più solo a una sanzione amministrativa comminata dal Garante. Oggi, un utilizzo scorretto delle informazioni, una raccolta non trasparente, l’invio errato di mail contenenti dati sensibili o una videosorveglianza fuori norma possono far scattare l’articolo 167 del Codice Privacy, con conseguenze penali non solo per il soggetto agente, ma anche per l’azienda, se priva di modelli organizzativi idonei.

La falsità delle dichiarazioni rese all’Autorità, l’inosservanza dei provvedimenti, l’ostacolo all’esercizio delle funzioni ispettive del Garante diventano altrettante mine sotto il pavimento delle aziende che trattano dati senza un presidio interno.

In questo scenario, il Modello 231 non può più limitarsi a mappare i rischi “tradizionali”. Un modello efficace, oggi, deve includere anche la sfera privacy, integrando la valutazione dei rischi privacy nelle sue procedure, prevedendo misure organizzative e tecniche per proteggere i dati e vigilando sull’effettiva applicazione di tali misure. In molte aziende, la divisione tra chi si occupa della compliance 231 e chi segue la protezione dei dati è netta.

Per saperne di più > Errore umano e autodenuncia di un Data Breach non esimono il Titolare dalle proprie responsabilità

Eppure, DPO e Organismo di Vigilanza dovrebbero dialogare, confrontarsi, condividere informazioni. Il primo vigila sulla corretta applicazione del GDPR, il secondo sulla tenuta del sistema 231. Ma quando la violazione dei dati può trasformarsi in reato, è evidente che i due mondi devono collaborare, e in alcuni casi sovrapporsi.

Non serve l’hacker russo né la fuga di milioni di dati per finire nel mirino. Basta un errore umano, una mail inviata al destinatario sbagliato, una cartella condivisa senza restrizioni o la cattiva gestione di un accesso remoto. Basta poco perché un evento apparentemente banale diventi segnalazione al Garante e, in certi contesti, pretesto per aprire un’indagine penale nei confronti dell’azienda. È qui che la logica 231 torna protagonista: prevenzione, organizzazione, formazione.

Potrebbe interessarti > Errore umano e protezione dei dati: perché basta una svista per compromettere l’intera azienda

Una cartellina con policy scritte male, lasciate in un cassetto, non salva nessuno. Serve che i protocolli siano vivi, aggiornati, applicati, controllati. Non si tratta solo di proteggere dati, ma di proteggere il patrimonio reputazionale, economico e giuridico dell’ente.

Leggi anche questo > Errore umano e protezione dei dati: perché basta una svista per compromettere l’intera azienda

Le prime sentenze che iniziano a collegare il trattamento illecito dei dati alla responsabilità dell’ente sono ancora poche, ma ci sono. E lasciano intendere che il sistema si sta muovendo e inizia a comprendere che il dato è denaro, potere, vulnerabilità. E se l’azienda non ha fatto il possibile per evitare un illecito, la responsabilità può risalire, organizzativamente parlando, fino ai vertici.

Ad esempio con la sentenza 5764, 2023 La Cassazione ha ribadito che la responsabilità dell'ente si configura come un illecito amministrativo, anche se accertato nel processo penale. La sentenza evidenzia la natura "tertium genus" della responsabilità ex D.Lgs. 231/2001, sottolineando l'importanza per le aziende di adottare modelli organizzativi idonei a prevenire reati, inclusi quelli relativi al trattamento illecito dei dati personali.

Conclusioni 

Ecco allora che, accanto al registro dei trattamenti previsto dal GDPR, sarebbe opportuno inserire un registro dei rischi integrato 231–privacy. Un audit privacy non è più una gentilezza nei confronti del consulente, ma una misura concreta di mitigazione del rischio. Le informative non sono più scartoffie da firmare, ma armi di difesa in caso di ispezione o contenzioso. E chi si occupa di dati non può non conoscere il modello 231, così come chi redige il modello 231 non può ignorare la normativa privacy.

Nell’era del dato, l’impresa che non integra GDPR e 231 rischia di trovarsi nuda davanti alla legge. Non basta più avere un DPO o un OdV: serve un’alleanza strategica per la prevenzione, una cultura aziendale diffusa che veda nella protezione dei dati non un obbligo burocratico, ma una leva competitiva e una barriera di difesa. Perché oggi un solo dato può valere quanto una firma falsa.