Responsabilità evitabili solo con misure idonee
Articolo tratto da IL SOLE - 24 ORE 1 Maggio 2006 (di Emilio Tosi)
È da poco trascorsa la scadenza del 31 marzo 2006, termine entro il quale - in attuazione del decreto legislativo 196/03 (Codice Privacy) - i soggetti titolari di trattamenti di dati personali avrebbero dovuto predisporre il Documento programmatico sulla sicurezza (DPS).
L'obbligo di redazione del DPS non ha natura statica - una tantum - bensì dinamica e continuativa: non si esaurisce, infatti, con l'approvazione entro il 31 marzo 2006, ma è destinato a fare ingresso stabile nella vita societaria al pari di altri adempimenti. Entro il 31 marzo di ogni anno si dovrà provvedere all'aggiornamento, diligente e veritiero, del DPS aziendale.
L'obbligo non è generale: riguarda, in effetti, le società che trattano dati sensibili (a titolo esemplificativo, dati sanitari o sindacali del personale) o giudiziari. Tuttavia, l'adozione facoltativa del DPS può essere ritenuta opportuna anche con riferimento ad altre fattispecie.
L'obbligo di redazione del DPS spetta al "titolare del trattamento di dati sensibili o di dati giudiziari"; ovvero, quando il trattamento è effettuato da una persona giuridica come nel caso delle società di capitali, dalla società nel suo complesso.
La violazione di questo obbligo costituisce parametro di valutazione della diligenza degli amministratori della società e deve essere oggetto di attenta valutazione da parte degli organi di controllo (funzioni di auditing e compliance, interne ed esterne) in particolare del collegio sindacale. L'emersione societaria della tutela e sicurezza dei dati personali è, peraltro, concretamente significata dall'ulteriore obbligo del titolare del trattamento di riferire sull'avvenuta redazione o aggiornamento del DPS nella relazione accompagnatoria del bilancio di esercizio.
Il DPS deve, innanzitutto, dar conto delle misure minime di sicurezza adottate ai sensi dell'articolo 33 del Codice Privacy: l'adozione di dette misure esclude, però, unicamente la responsabilità penale del soggetto che all'interno della società è delegato all'esecuzione dell'obbligo: quindi, soprattutto, l'amministratore delegato.
In base alle regole di responsabilità introdotte dall'articolo 15, comma 1, del Codice Privacy, il soggetto danneggiato può limitarsi a dimostrare l'evento dannoso e il nesso di causalità tra fatto e danno, mentre al danneggiante - titolare del trattamento - incombe la prova liberatoria (senza dubbio gravosa) consistente nel dimostrare di aver adottato ogni possibile cautela idonea a evitare il danno non essendo sufficiente dimostrare di non aver violato norme di legge o di prudenza e perizia.
Il titolare del trattamento, nel caso in cui l'inosservanza delle norme di sicurezza determini un danno, può sottrarsi alla relativa responsabilità civile non tanto provando di aver osservato le "misure di sicurezza minime" - prova idonea a escludere la responsabilità penale ex articolo 169, comma 1, del Dlgs 196/03 - quanto dimostrando di aver adottato tutte le "misure di sicurezza idonee" ad evitare il danno.
Per misure idonee a evitare il danno devono intendersi tutti gli accorgimenti previsti da norme legislative, regolamentari e tecniche che disciplinano la specifica attività interessata dalla controversia: nel caso specifico, non solo, quindi, dalle norme del Codice Privacy, dall'Allegato regolamento tecnico in materia di misure minime di sicurezza, ma anche dalle prescrizioni ulteriori contenute nei codici di deontologia e di buona condotta e nelle delibere generali del Garante della privacy.
In conclusione il DPS è da considerarsi come un documento strategico aziendale - ben oltre l'area normativa di stretta obbligatorietà prevista dal Codice Privacy - per la corretta gestione dei processi informativi aziendali, la cui diligente redazione e aggiornamento, considerate le rilevanti implicazioni societarie, civilistiche e penali, richiederà al titolare di avvalersi non solo di qualificate competenze informatiche e organizzative, ma anche di qualificate competenze legali.