, , , , , , , ,

Ruoli GDPR, Whistleblowing e gestione del canale di segnalazione. Perché l’art. 13 del Decreto Whistleblowing non convince?

Di Giacomo Conti

 

Secondo l’art. 13 comma 4 del Decreto Whistleblowing, i trattamenti di dati personali relativi al ricevimento e alla gestione delle segnalazioni sono effettuati dai soggetti di gestori dei canali di segnalazione, che sono da considerarsi, a rigor di norma, titolari del trattamento.

Se così fosse, sarebbero questi soggetti sono tenuti ad adottare le misure di organizzazione e sicurezza appropriate a tutela dei diritti e delle libertà degli interessati, mentre per eventuali violazioni della normativa o per data breach. Il tutto mentre, l’organizzazione che non ha implementato il canale o non ha adottato adeguate misure di sicurezza non dovrebbe rispondere per violazioni o data breach non essendo titolare del trattamento.

A livello sistematico appare evidente come questa norma non sia compatibile con quanto stabilito dal GDPR secondo cui i ruoli nell’ambito delle attività di trattamento di dati personali sono dettati dal principio di finalità del trattamento in ragione del quale il titolare è colui che determina le finalità del trattamento e ne individua la base giuridica.

Pertanto, secondo l’art. 4 numero 7 del GDPR, deve intendersi come titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quindi, l’organizzazione che ha predisposto il canale di segnalazione.

Seppure il GDPR stabilisca che quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri, la scrittura della norma appare non conforme con i principi generali in materia di protezione dei dati.

È, infatti, evidente come nel caso in cui la gestione dei canali di segnalazione si affidata a un ufficio interno all’ente le persone incaricate della gestione del canale di segnalazione saranno necessariamente autorizzate ai sensi dell’art. 29 GDPR. Peraltro, in ragione del principio di substance over form nella definizione dei ruoli GDPR non dovrebbe rilevare se questi soggetti sono professionisti autonomi o dipendenti dell’ente.

Il fatto che questi soggetti siano persone autorizzate e non titolari di trattamento è messo in evidenza dall’articolo 4 comma 2 del Decreto Whistleblowing secondo cui la gestione del canale di segnalazione è affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione. Questo comma è in evidente contraddizione e distonia con l’art. 13 della norma.

Il Decreto Whistleblowing contempla anche il caso in cui la gestione del canale sia affidata a un soggetto esterno e, come nel caso precedente, il personale preposto alla gestione della segnalazione che in questo caso è del gestore del canale esterno deve essere specificamente formato. In questo caso, l’ente esterno incaricato della gestione del canale potrebbe essere un data processor ai sensi dell’art. 28 GDPR e le persone che trattano i dati personali nell’ambito delle segnalazioni, ugualmente, dovrebbero ritenersi soggetti autorizzati che operano sotto l’autorità non del controller, ma del processor.

Seppure la normativa sia ancora troppo recente per avere prodotto giurisprudenza sul punto, si può attingere, almeno per analogia, ad alcuni precedenti del Garante che si è espresso in tema di ruolo GDPR dell’Organismo di Vigilanza.

In alcune ipotesi, infatti, il gestore del canale di segnalazione potrebbe anche essere un membro dell’organismo di vigilanza e il Garante si è già espresso sul punto con il “Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231” in data 21 maggio 2020 reperibile in: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9347842

Il Garante ha ritenuto che l’OdV, nel suo complesso e a prescindere dalla circostanza che i membri che lo compongano siano interni o esterni, debba essere considerato come parte integrante dell’ente. Per l’effetto, i singoli membri dell’OdV debbano considerarsi come soggetti autorizzati ai sensi dell’artt. 4, n. 10, 29, 32 par. 4 Regolamento e dell’art. 2-quaterdecies del Codice della Privacy.

La designazione dei membri dell’OdV, al pari dell’istituzione dell’ufficio preposto alla gestione del canale di segnalazione è, infatti, un atto di organizzazione e non negoziale e, pertanto, appare corretto qualificare questi soggetti come autorizzati (art. 29 GDPR) e non come responsabili di trattamento piuttosto che titolari (art. 28 GDPR).

Ne consegue che, anche nel caso di una violazione di dati derivante nell’ambito della gestione del canale di segnalazione affidata a un soggetto esterno, dovrà rispondere necessariamente l’ente. In quest’ultimo caso, per culpa in eligendo in ragione di una scelta di un soggetto non adeguato.

L’impostazione normativa, all’apparenza, sembra deresponsabilizzare le organizzazioni che, per legge sono tenute ad adottare il sistema di whistleblowing e, pertanto, è opportuno e necessario adottare un’interpretazione correttiva conforme al GDPR che vorrebbe che l’organizzazione fosse titolare di trattamento. Il tutto anche per assicurare un adeguato livello di protezione dei dati personali che il Decreto WhistleBlowing richiede essendo la protezione dei dati personali del segnalante uno dei principi cardini assieme alle misure di protezione della sua persona.

 

/da
, , , , , , , , , , , ,

L’efficacia dell’ordine di demolizione nei confronti dell’erede del condannato. Rimozione, condono e accertamento di conformità dell’immobile abusivo ereditato

di Giacomo Conti

L’ordine di demolizione, nell’ambito del contenzioso urbanistico-edilizio, è la più grave sanzione amministrativa prevista dall’ordinamento e, infatti, colpisce solo gli abusi edilizi più gravi.
Possono essere colpiti da ordine di demolizione gli interventi realizzati in assenza di permesso di costruire, in totale difformità o con variazioni essenziali.
L’art. 31 del testo unico edilizia, al comma 2, stabilisce che Il dirigente o il responsabile del competente ufficio comunale, accertata l’esecuzione di interventi in assenza di permesso, in totale difformità dal medesimo, ovvero con variazioni essenziali, ingiunge al proprietario e al responsabile dell’abuso la rimozione o la demolizione, indicando nel provvedimento l’area che viene acquisita di diritto al patrimonio comunale.
In base al successivo comma 3, se il responsabile dell’abuso non provvede alla demolizione e al ripristino dello stato dei luoghi nel termine di novanta giorni dall’ingiunzione, il bene e l’area di sedime, nonché quella necessaria, secondo le vigenti prescrizioni urbanistiche, alla realizzazione di opere analoghe a quelle abusive sono acquisiti di diritto gratuitamente al patrimonio del comune, ma l’area acquisita non può comunque essere superiore a dieci volte la complessiva superficie utile abusivamente costruita.
Per giurisprudenza costante, l’ordine di demolizione ha natura di sanzione amministrativa di carattere reale a contenuto ripristinatorio e si estende non solo nei confronti di chi ha realizzato originariamente l’abuso, ma anche degli eredi del soggetto che ha realizzato il manufatto abusivo.
Nel caso in cui il manufatto abusivo venga ereditato, sono pertanto gli eredi a dovere provvedere a ripristinare la legalità dello stato dei luoghi.
Secondo T.A.R., Torino, sez. II, 19/04/2023, n. 337: “La demolizione di un manufatto abusivo costituisce una sanzione reale che colpisce il bene abusivo in quanto tale; perciò, è irrogabile non solo all’autore dell’abuso, ma anche a chi, come il proprietario del bene, pur non avendo commesso la violazione, si trovi al momento dell’irrogazione in un rapporto con la res tale da assicurare la restaurazione dell’ordine giuridico violato”.
Secondo Cassazione penale , sez. III , 21/02/2023, n. 16141: “L’ordine di demolizione del manufatto abusivo, anche nell’ipotesi di acquisto dell’immobile per successione a causa di morte, conserva la sua efficacia nei confronti dell’erede del condannato, stante la preminenza dell’interesse paesaggistico e urbanistico, alla cui tutela è preordinato il provvedimento amministrativo emesso dal giudice penale, rispetto a quello privatistico, alla conservazione del manufatto, dell’avente causa del condannato”.
Anche la Cassazione penale, sez. III, 24/01/2023, n. 17399, in tema di reati edilizi, ha ritenuto che: “L’ordine di demolizione delle opere abusive, in caso di morte del condannato, deve essere notificato all’erede o al suo avente causa”. Secondo la Suprema Corte, è necessario e sufficiente che l’erede sia titolare diritto reale o personale di godimento sul bene oggetto dell’abuso edilizio, posto che soltanto colui che si trova in un rapporto di fatto o di diritto rispetto al bene può provvedere all’adempimento dell’obbligo di facere in cui si sostanzia l’ordine di demolizione“.
Nonostante l’ordine di demolizione comporti, come sanzione principale la rimozione del manufatto abusivo è vero che, al ricorrere di determinati presupposti, è possibile ripristinare la legalità attraverso un’istanza di condono piuttosto che attraverso un accertamento di conformità.
Secondo l’art. 36 del testo unico edilizia, il responsabile dell’abuso, o l’attuale proprietario dell’immobile, quale può essere un erede, possono ottenere il permesso in sanatoria se l’intervento risulti conforme alla disciplina urbanistica ed edilizia vigente sia al momento della realizzazione dello stesso, sia al momento della presentazione della domanda. Ad esempio, nel caso in cui sia sopravvenuto un condono edilizio oppure nel caso in cui la natura dell’abuso sia solo formale, ossia laddove il manufatto è sprovvisto del titolo edilizio e questo potrebbe essere ottenuto attraverso l’ottenimento di un rilascio di un permesso in sanatoria.
Sul punto, merita menzione Consiglio di Stato , sez. IV , 26/04/2023 , n. 4200 secondo cui: “La realizzazione di un intervento edilizio, prima del rilascio del titolo prescritto dalla legge, ne comporta irrimediabilmente l’abusività (quantomeno quella c.d. formale), alla quale può ovviarsi con il diverso procedimento di accertamento di compatibilità urbanistica, di cui all’art. 36, d.P.R. 6 giugno 2001, n. 380, sempreché ne ricorrano i presupposti (della c.d. doppia conformità sostanziale); pertanto, perché si possa produrre la sospensione dell’effetto della ordinanza di demolizione, è necessario presentare una formale istanza di condono o di accertamento di conformità ai sensi dell’art. 36, d.P.R. n. 380 del 2001”.
Pertanto, in certi contesti, è possibile ripristinare la legalità anche senza dovere ottemperare all’ordine di demolizione.

/da
, , , , , , , ,

PRIVACY E GESTIONE DEL RISCHIO FRODI DA PARTE DI BANCHE E ISTITTUTI DI CREDITO FRA GDPR E PSD2

La sentenza 322/2023 del Tribunale di Milano rappresenta una pietra miliare in tema di responsabilità degli istituti di credito in materia di responsabilità da trattamento illecito di dati personali e per mancata prevenzione del rischio frodi e perdite finanziarie.

Le materie, infatti, presentano importanti punti di contatto e interferenza in quanto il considerando 75 al GDPR prevede espressamente le perdite finanziarie come uno dei rischi tipici derivanti da una violazione del GDPR.

La direttiva PSD2 impone a banche e istituti di credito stabilisce di adottare specifiche misure di protezione e sicurezza dei correntisti la cui efficace e corretta applicazione deve essere dimostrata secondo quanto richiede il principio di accountability.

La Corte Meneghina, nel caso in esame, ha tracciato un chiaro quadro giuridico in tema di responsabilità derivante da mancata gestione del rischio derivante dal trattamento di dati personali intervenendo chiaramente sui criteri di ripartizione dell’onere della prova.

Il Tribunale, applicando correttamente il principio di accountability, ha stabilito che grava in capo a questi l’onere di dimostrare di avere adottato adeguate misure di protezione della clientela per prevenire il rischio frodi e perdite finanziarie.

La pronuncia in esame dà atto di come la giurisprudenza di legittimità abbia già precedentemente inquadrato la responsabilità dell’istituto di credito nell’ambito della responsabilità per l’esercizio di attività pericolose. La Corte ha richiamato i precedenti in tema di disposizioni non autorizzate dal cliente su conto corrente mediante accesso abusivo a sistema di internet banking e conseguenti riflessi applicativi nell’ambito della responsabilità per trattamento dei dati personali (cfr. Cassazione, sez. I, 23 maggio 2016 n. 10638).

Secondo l’art. 15 del d.lgs. 196/2003 (Codice Privacy), citato dal Tribunale: “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”, l’istituto di credito deve fornire la prova liberatoria dalla propria responsabilità dimostrando di aver adottato tutte le misure idonee ad evitare il danno. Da valutarsi secondo le conoscenze acquisite in base al progresso tecnico, alla natura dei dati, alle caratteristiche specifiche del trattamento, mediante adozione di misure idonee e preventive per impedire l’accesso o il trattamento non autorizzato ai sensi dell’art. 31 e 36 del d.lgs. 196/2003.

Applicando in combinato disposto l’art 2050 c.c. e l’art. 15 del codice della privacy, l’istituto che svolge un’attività di tipo finanziario o in generale creditizio (…) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico. La responsabilità è esclusa solo se il titolare prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore.

La Cassazione ha, quindi, rilevato che ad analoga conclusione si perviene applicando le disposizioni del d.lgs. 11/2010 di attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno. L’art. 10 del d.lgs. 11/2010 pone in capo al prestatore dei servizi di pagamento l’onere di dimostrare, in caso di disconoscimento di una operazione l’onere di dimostrare che l’operazione non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione ovvero altri inconvenienti connessi al servizio in caso di disposizione di ordini di pagamento in caso di disconoscimento dell’operazione da parte del cliente.

Richiamando la Cassazione, il Tribunale di Milano argomenta che “in punto di ripartizione delle responsabilità derivanti dall’utilizzazione del servizio, il citato D.Lgs., artt. 10 e 11, prevede che, qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. E nel contempo obbliga quest’ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode, e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare anche in un momento successivo che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall’utilizzatore, la restituzione dell’importo rimborsato”.

Per l’effetto, il Tribunale ha ritenuto che tale onere non può venire assolto senza la dimostrazione dell’adozione di specifiche cautele antiphishing “idonee ad evitare l’acquisizione fraudolenta delle chiavi di accesso al sistema da parte di terzi” (così Cass., Sez. I, 29.12.2017 n. 31199).

L’istituto di credito convenuto, nel caso in esame, non ha dimostrato e nemmeno specificamente allegato, secondo il Tribunale, quali cautele avrebbe adottato sia in generale per contrastare il fenomeno del phishing sia nello specifico per evitare il prodursi del danno patito dagli attori, con riguardo a ciascuno dei tre bonifici istantanei eseguiti senza l’autorizzazione degli attori.

Il Tribunale non ha, pertanto, ritenuto assolto l’onere della prova gravante sull’istituto di credito ai sensi dell’art. 1218 c.c. e la conseguente non imputabilità del danno.

Secondo la Corte meneghina, gli istituti di credito devono adottare in relazione a tali operazioni delle cautele e verifiche ulteriori rispetto a quelle predisposte per i bonifici standard, cautele e verifiche che devono essere preliminari all’esecuzione della disposizione, per evitare che la disposizione impartita da terzi non autorizzati provochi effetti irreversibili sul patrimonio del pagatore, cautele che, nel caso di specie la convenuta ha completamente pretermesso, non avendo compiuto alcuna specifica attività in tal senso.

Importantissimo è il principio affermato dalla Corte Territoriale secondo cui l’automatizzazione dei controlli bancari consentita dal progresso scientifico e tecnologico non può comportare una regressione del livello di tutela che deve essere garantito al singolo risparmiatore.

Tale soluzione, imposta dalla disciplina di cui agli artt. 10 ss. del d.lgs. 11/2010, appare del tutto coerente anche dal un punto di vista dell’analisi economica del diritto privato. Pertanto laddove gli istituti di credito omettano di adottare sistemi di controllo per evitare il perpetrarsi di frodi ai danni dei propri clienti dovranno risarcire il danno subito dai propri clienti derivante da questo inadempimento.

Infine, il Tribunale di Milano ha argomentato come l’istituto di credito convenuto non ha nemmeno documentato o altrimenti provato di essersi effettivamente attivata per ottenere dal prestatore del servizio di pagamento del beneficiario dell’operazione, il consenso alla revoca dell’operazione ai sensi dell’art. 17.5 d.lgs. 28/2010, e risulta, anzi, dimostrato dall’attrice che solo la denuncia all’autorità di polizia giudiziaria abbia consentito di recuperare, benché parzialmente, le somme oggetto delle disposizioni disconosciute.

 

In allegato, per maggiori approfondimenti, il testo integrale del provvedimento Sentenza n. 322-2023 BLIND

/da