Credo che una parte consistente della confusione sul tema responsabile interno si no (questioni di diritto positivo a parte) dipenda dal non considerare i criteri ordinari dell’imputazione della responsabilità civile e penale.In ambito penale, gli illeciti previsti dal codice sono reati non imputabili alla persona giuridica (in quanto non inclusi nell’elenco dei reati presupposto 231) e sono reati comuni (“chiunque…” dice la norma).
Quindi – per esempio in materia di violazione degli obblighi di adozione di misure di sicurezza – secondo il diritto penale italiano (per il quale c’è riserva costituzionale) potrà rispondere soltanto la persona fisica che – in qualità di organo deputato – ha commesso il fatto. E il GDPR non può avere effetto diretto sugli illeciti in questione, se non nei termini di mutamento di condizioni presupposte, ove i reati potessero essere considerati come tipizzati da “norme in bianco”.
Il responsabile interno (sia che muoia, sia che sopravviva da un punto di vista terminologico), nella misura in cui ha ricevuto una delega inclusiva di poteri e autonomia di esercizio, potrà rispondere quantomeno sotto il profilo del concorso con la persona fisica di cui al paragrafo precedente.
Diverso è il profilo civilistico, dove gli effetti risarcitori si producono in capo alla persona giuridica (per comodità argomentativa non considero ditte individuali, professionisti e società di persone), con eventuale rivalsa interna nei confronti del soggetto (a prescindere da come lo si chiami) onerato di sopritendere all’applicazione del Codice e del GDPR, secondo una misura che necessariamente dovrà essere determinata dal giudice. Ma su questo, lascio volentieri la parola ai colleghi lavoristi dato che, per me, su questo punto della carta geografica del diritto vale il commento romano hic sunt leones.
Discorso analogo vale per le sanzioni amministrative irrogate dal Garante dei dati personali – salva la questione da valutare circa la possibile responsabilità in solido del dipendente e a prescindere dal nomen juris che gli si vuole applicare.
Conclusione: almeno in termini di imputazione della responsabilità, l’accanimento contro il responsabile interno è uno spreco di tempo e di energie.
Possibly Related Posts:
- Chatbot troppo umani, i rischi che corriamo
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)