È stato pubblicato sulla Gazzetta Ufficiale dello scorso 14 giugno il Decreto-Legge n. 82/2021 (il “Decreto”) recante “disposizioni urgenti in materia di cyber-sicurezza, definizione dell’architettura nazionale di cyber-sicurezza e istituzione dell’Agenzia per la cyber-sicurezza nazionale”.
Con il termine “Cyber-sicurezza” si intende “l’insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità e garantendone altresì la resilienza” (art. 1, comma 1, lett. a).
Il Decreto, che si compone di 19 articoli, istituzionalizza, tra le altre, il “Comitato interministeriale per la cyber-sicurezza” (il “CIC”). Il CICsvolge funzioni di consulenza, proposta e vigilanza in materia di politiche di cyber-sicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico. Inoltre, il CIC ha i seguenti compiti:
Tra le novità principali del Decreto vi è, altresì, l’istituzione dell’”Agenzia per la cyber-sicurezza nazionale” (l’”ANC” o l’”Agenzia”). Il Decreto specifica le sue funzioni chiarendone la composizione e l’organizzazione. Con apposito regolamento, da approvarsi entro 120 giorni dall’entrata in vigore del Decreto, infatti, dovrà essere definito il funzionamento dell’Agenzia composta da otto uffici di livello dirigenziale generale e da trenta articolazioni di livello dirigenziale non generale nell’ambito delle risorse disponibili (art. 12, comma 1).
L’Agenzia rappresenta il principale Ente in materia di cyber-sicurezza che esercita funzioni di autorità nazionale in materia e accentra le numerose competenze sin d’ora attribuite ad altri organi tra cui quelle del Ministero dello Sviluppo Economico. Tra i suoi compiti vi rientrano:
L’Agenzia è affiancata dal “Nucleo per la cyber-sicurezza” che ha il compito di supportare il Presidente del Consiglio dei Ministri, per gli aspetti relativi alla prevenzione e alla preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento. Tra i principali compiti affidati a tale organo rientrano:
◊◊◊◊
Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei Ministri ha il compito di trasmettere al Parlamento una relazione sull’attività svolta dall’Agenzia nell’anno precedente e la stessa, in qualità di Centro nazionale di coordinamento italiano, nello svolgimento delle proprie attività si interfaccerà con il “Centro europeo di competenza per la cyber-sicurezza nell’ambito industriale, tecnologico e della ricerca“, concorrendo ad aumentare l’autonomia strategica europea nel settore.
Altri insights correlati:
La Corte di Cassazione, con l’ordinanza n. 18292 emessa il 3 settembre 2020, ha osservato che l’omessa predisposizione di misure tecniche ed organizzative a tutela della protezione dei dati personali dell’interessato è equiparabile alla colpa organizzativa legata alla mancata adozione di un modello organizzativo ai sensi del D.Lgs. 231/2001.
Nel caso di specie, un ente locale ha presentato ricorso in Cassazione avverso un’ordinanza di ingiunzione dell’Autorità Garante per la protezione dei dati personali (il “Garante”) con la quale gli era stata comminata una sanzione per aver pubblicato sull’albo pretorio on line i dati personali di una dipendente comunale oltre il termine di 15 giorni previsto dall’articolo 124 del TUEL (“Testo Unico degli Enti Locali”).
Era stato, infatti, accertato che il Comune aveva mantenuto visibili per oltre un anno le determinazioni da cui risultavano evidenti (i) il nome e il cognome dell’interessata, (ii) l’esistenza di un contenzioso tra la stessa e l’Amministrazione comunale, (iii) lo stato di famiglia e (iv) le circostanze che la medesima vivesse da sola, avesse avanzato una domanda di rateizzazione del dovuto e che tale domanda non fosse stata accolta.
Il Comune, a sostegno della propria posizione, ha eccepito che la colpa della mancata cancellazione dei dati dell’interessata dall’albo pretorio on line dovesse essere imputata all’opera di un consulente esterno a cui era stato dato l’incarico di configurare il sito internet dell’Amministrazione in conformità alla normativa vigente.
La Corte di Cassazione, nel respingere il ricorso, ha chiarito che i dati della dipendente non riguardavano alcun “aspetto dell’organizzazione”, non costituivano “indicatori relativi agli andamenti gestionali e all’utilizzo delle risorse”, né tantomeno rappresentavano “risultati dell’attività di misurazione e valutazione svolta dagli organi competenti”. Pertanto, la loro pubblicazione oltre il termine fissato dalla legge non poteva considerarsi legittima.
In merito poi alla responsabilità del consulente esterno, la Corte di Cassazione ha precisato che il titolare del trattamento, ai sensi dell’art. 4 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “GDPR”), è la persona giuridica e non il legale rappresentante o l’amministratore, configurandosi così una autonoma responsabilità proprio in capo alla persona giuridica. Questa responsabilità, proseguono i giudici, deve essere configurata come “colpa di organizzazione”, ossia come “rimprovero derivante dall’inottemperanza da parte dell’ente dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione degli illeciti”, “analogamente a quanto previsto dal D.lgs. 231/2001 in tema di responsabilità da reato degli enti”.
Alla luce di quanto sin qui espresso, la Corte di Cassazione è giunta alla conclusione che il ritardo nella rimozione dall’albo pretorio on line dei dati pubblicati è “pienamente riconducibile alla sfera di signoria dell’Ente e del suo apparato”.
Con l’ordinanza in esame, la Corte di Cassazione rileva un’importante analogia tra la disciplina in materia di protezione dei dati personali e quella in tema di responsabilità da reato degli enti, comparando e parificando appunto la mancata adozione di adeguate misure tecniche ed organizzative (ex art. 32, GDPR) alla c.d. “colpa di organizzazione” prevista dal D.lgs. 231/2001.
Altri Insights correlati:
Le notizie sulla diffusione del Coronavirus (nCoV) impongono alle aziende di adottare misure atte a prevenire per quanto possibile il rischio di contagio, in quanto, come è noto, il datore di lavoro:
Sul punto occorre preliminarmente osservare che, nel nostro continente, allo stato, non vi è alcun segnale di diffusione dell’epidemia, in quanto i casi di Coronavirus sono sporadici e non preoccupanti. Per quanto riguarda l’Italia, il Ministero della Salute ha dichiarato che “la circolazione del virus è inesistente”.
Il rischio di contagio, pertanto, è da considerarsi remoto, salvo per coloro che abbiano contatti ravvicinati e protratti con gli ammalati.
Le cautele devono essere adottate in particolare nei confronti del personale dipendente (sia esso di sede o viaggiante) che, in relazione alle proprie funzioni, ha rapporti con i Paesi Orientali e, soprattutto, con la Cina, in alcune zone della quale, l’epidemia è in corso.
In relazione a quanto sopra, in conformità con le indicazioni dettate dal Ministero della Salute il 3 febbraio 2020, i datori di lavoro devono fornire ai dipendenti che lavorano a contatto con il pubblico delle linee guida per evitare la diffusione del virus, ricorrendo alle comuni misure preventive della diffusione delle malattie trasmesse per via respiratoria, ovvero:
Secondo il Ministero, se nel corso dell’attività lavorativa si viene a contatto con un soggetto che risponde alla definizione di caso sospetto ai sensi della precedente circolare del 27 gennaio, occorrerà contattare immediatamente i servizi sanitari segnalando che si tratta di un caso sospetto per nCoV. Nell’attesa dell’arrivo dei sanitari:
I problemi che il rischio di contagio comportano richiedono che il datore di lavoro adotti procedure e fornisca istruzioni al personale dipendente per poter prevenire i rischi di contagio.
Il dipartimento Compliance di De Luca & Partners è a Vostra completa disposizione per fornire il supporto necessario.
Per informazioni e approfondimenti, potete rivolgervi ai Vostri referenti abituali o ad Elena Cannone, coordinatrice del Focus Team Compliance al seguente indirizzo email elena.cannone@delucapartners.it.