L’innovativo Regolamento comunitario n. 679/23016 (GDPR), in vigore dal 25 maggio u.s., opera la sostanziale riforma delle regole del T.U. Privacy, d.lgs. n. 196/2003 che presiedono al corretto e sicuro trattamento dei dati personali delle persone fisiche.

Non più incentrato nella riservatezza del dato personale delle persone fisiche, quanto alla liceità e correttezza dei trattamenti dei dati personali,  il GDPR realizza tale obiettivo responsabilizzando il Titolare (accountability) ed onerandolo della previa ricognizione, nonché dell’elaborazione ed implementazione di un efficace assetto organizzativo dl data protection idoneo a prevenire trattamenti lesivi dei diritti e delle libertà degli interessati, oltre che conformato alle prescrizioni del GDPR.

Obiettivo perseguibile non solo recependo ed adeguandosi alle regole comportamentali definite dal GDPR e garantendo l’esercizio degli estesi diritti degli Interessati, ma operando un’attenta e congrua autorganizzazione, che passa per la rilevazione e la graduazione delle rischiosità connesse all’effettuazione dei trattamenti e, conseguentemente, all’implementazione di misure prevenzionali, di monitoring e di sicurezza tecnica ed organizzativa.

Tale doverosa autorganizzazione prevenzionistica evoca l’archetipo del d.lgs. n. 231/2001 e i suoi innovativi strumenti di Assessment and Management del “rischio-reato”.

Accostamento questo, tuttavia, non scevro da semplicistiche ed improprie assimilazioni, specie sul versante applicativo, frutto di una traslazione generalizzante della tecnica di analisi del rischio, che sollecita una riflessione comparativa tra i due distinti impianti normativi.

In verità, mancano nel GDPR i contenuti del paradigma normativo proprio del D.lgs. 231, quale corpus autonomo e autoreferenziale (di natura sostanzialmente penalistica), destinato segnatamente alla rilevazione e gestione delle potenzialità commissive dei “reati presupposto” da parte degli organici (apicali e sottoposti), realizzati nell’interesse/vantaggio” dell’ente collettivo.

Diverso risulta, altresì, il sistema sanzionatorio, con l’accertamento della violazione del GDPR rimessa al Garante Privacy (e non al giudice penale), secondo un criterio di accertamento tipicamente di “compliance” e con possibile erogazione di misure sanzionatorie prevalentemente amministrativo-peculiarie (non anche interdittive, come nel Decreto) e senza prefigurazione dell’ottenimento di un beneficio d’esimente da responsabilità per il Titolare.

Quanto alla tecnica di Risk Assessment, condivisa da entrambe le normative, ne va rilevata la diversa declinazione in ragione della diversa natura delle rispettive rischiosità: l’operazione di trattamento di dati violativa della legge e, nell’altro caso, la commissione di un reato (comportamento avente i requisiti soggettivi ed oggettivi richiesti per la realizzazione della fattispecie penale prevista).

Non ultima, l’importante asimmetria data dalla tipica facoltatività dell’adozione del MOG 231 in luogo dell’obbligatoria e compliant organizzazione di data protection per il Titolare dei trattamenti, per il cui adempimento é ad esso imposto l’onere probatorio.

Taluni primi commenti del GDPR sembrano proporre un’erronea e fuorviante assimilazione tra i due diversi impianti normativi nonché un’equiparazione tra i due diversi strumenti prevenzionali di rischiosità affatto diverse, favorendo in tal modo pericolosi e “onerosi” errori applicativi.