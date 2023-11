La possibilità per le aziende di verificare tramite fonti OSINT (Open Source Intelligence) la reale reputazione dei fornitori sta diventando sempre più complesso. Il nuovo GDPR europeo che ha stretto le maglie sul diritto all’oblio ha visto sempre più imprenditori coinvolti in procedimenti legali, inchieste e in certi casi condanne chiedere l’eliminazione dalla rete delle notizie “scomode”, con l'avvio di operazioni di ripulitura della reputazione, con articoli a pagamento in cui si descrivono i pregi della propria azienda.

In questo scenario abbiamo deciso di porre alcune domande all’avvocato Alessandro Donati dello studio legale Gorio Minervini & Associati, per capire come le aziende possano difendersi da eventuali fornitori che potrebbero reiterare eventuali illeciti.

Avvocato Donati, il GDPR europeo, intervenendo in tema privacy, ha dato maggiori tutele sul diritto all’oblio. Questo però implica che anche persone colpevoli possano vedere la propria immagine ripulita a qualche anno dal processo, se ne fanno richiesta formale anche in caso di condanna, per frodi fiscali, bancarotta fraudolenta e quant’altro. Se sono un’azienda come posso capire se un mio fornitore è affidabile se potenzialmente può cancellare dalla rete ogni notizia “scomoda”?

Prima di rispondere alla domanda è necessaria una premessa. Il “diritto all’oblio”, ovvero il “diritto ad essere dimenticati”, può essere esercitato solo a determinate condizioni. Infatti, l’art. 17 del GDPR (reg. UE n. 679/2016) elenca una serie di motivi in presenza dei quali l’interessato ha diritto di ottenere la cancellazione dei dati che lo riguardano ma al contempo stabilisce che tale diritto non sussiste quando il trattamento è necessario per soddisfare alcune esigenze. Fra tali esigenze c’è il diritto alla libertà di espressione e di informazione ovvero, più semplicemente, il diritto di cronaca. Dunque, è sempre necessario operare un bilanciamento fra il diritto di cronaca ed il diritto all’oblio. Però, prima di tale operazione, deve prioritariamente essere accertata la “liceità” del diritto di cronaca. Tale accertamento prevede la verifica del rispetto delle condizioni che, in particolare, la giurisprudenza ha elaborato negli anni, ovvero: deve sussistere una utilità sociale dell’informazione; i fatti esposti devono essere veritieri; i fatti devono essere esposti in modo “continente” (cioè, il modo con cui vengono esposti non deve eccedere lo scopo informativo da conseguire). Evasa positivamente tale analisi, si può passare alla contemperazione fra il “diritto all’oblio” ed il “diritto di cronaca”. In estrema sintesi, il pubblico interesse alla conoscenza di un fatto deve essere circoscritto in quello spazio di tempo necessario ad informare la collettività, posto che il trascorrere del tempo lo affievolisce fino a farlo dissolvere (fermo il fatto che il tempo non è però l’unico parametro utile all’analisi, come dettagliatamente meglio descritto, per esempio, anche nelle linee guida del “Comitato Europeo per la protezione dei dati” da ultimo adottate il 07.07.2020). È evidente che trovare il corretto bilanciamento fra i due diritti (soprattutto in una democrazia) non è semplice e spesso tale valutazione è rimessa al prudente apprezzamento dell’autorità giudiziaria (molto interessante, al riguardo, la sentenza delle Sezioni Unite della Corte di Cassazione n. 19681 del 22.07.2019) oppure, ai sensi dell’art. 77 del GDPR, del Garante Privacy (il quale nell’emanare i propri provvedimenti).

Fermo quanto sopra e per tornare alla sua domanda, laddove all’esito delle operazioni di bilanciamento fra i due diritti dovesse prevalere il “diritto all’oblio” (e, quindi, il diritto individuale dovesse prevalere sull’interesse collettivo) è evidente che un soggetto non potrebbe più fare (agevolmente) affidamento sulle informazioni “deindicizzate” ovvero cancellate. Bisognerà, dunque, non fermarsi alle recensioni digitali presenti nella rete, ma attrezzarsi per verificare se, per esempio, il nostro fornitore – oltre ad offrire un bene e/o un servizio con un buon livello qualità/prezzo – è anche attendo alla legalità del proprio operato. Per fare queste verifiche si può ricorrere a strumenti ben codificati (come il “rating di legalità”, al quale possono accedere le imprese che ne hanno fatto richiesta e soddisfano determinati requisiti) oppure a procedure interne le quali possono prevedere la richiesta, ad esempio, nei casi di maggior delicatezza, del casellario giudiziale e/o dei carichi pendenti, oppure, nei casi “ordinari”, anche semplicemente di una autodichiarazione (tecnicamente, dichiarazione sostitutiva di atto notorio). Con specifico riferimento alle procedure interne, l’adozione di tali policy è oramai ampiamente diffusa in quasi tutte le società che si sono dotate di un modello di organizzazione e gestione ai sensi del d.lgs. n. 231/2001.

Nel caso di coinvolgimento involontario in un’eventuale truffa quali sono i rischi?

È difficile rispondere al di fuori di un caso specifico, anche perché i rischi andrebbero analizzati e declinati nei vari ambiti del diritto (penale, civile, amministrativo). Quello che le posso dire è che l’involontarietà potrebbe non essere sufficiente ad escludere la responsabilità, la quale potrebbe essere riconducibile ad atti e/o fatti a contenuto omissivo. In tale contesto, dunque, anche il “non fare” è un rischio generico e trasversale potrebbe essere sintetizzato così: nel caso in cui non ci si è difesi “dal processo” (per esempio, non attivando sistemi organizzativi e/o procedure utili a comprimere il rischio connesso alle responsabilità “indirette” derivanti anche da condotte omissive), ci si ritroverà magari a doversi difendere “nel processo” (e, quindi, a dover fronteggiare anche il “rischio causa”).

Anche un’azienda di medio-piccole dimensioni può implementare delle procedure di verifica o di autotutela mantenendo la propria agilità?

Assolutamente sì: le procedure interne a cui prima facevamo cenno possono essere strutturate a prescindere, per esempio, dall’adozione di modelli di organizzazione e gestione ai sensi del d.lgs. n. 231/2001 e, soprattutto, devono essere redatte considerando appositamente le specificità di ogni singola realtà affinché siano applicabili ed applicate. Attività di “compliance” (a maggior ragione per quelle a carattere non obbligatorio) anche a sé non particolarmente invasive (come una richiesta di rilasciare una “autodichiarazione”) possono in alcuni casi rivelarsi utili precauzioni.

Un ultimo consiglio?

Credo che si debba dare sempre più importanza alla “compliance aziendale” introducendo meccanismi organizzativi e procedure che hanno lo scopo di cercare di fare in modo che comportamenti scorretti e/o violazioni e/o problemi possano essere identificati e/o prevenuti in una fase inziale oppure, semplicemente, in tempo utile affinché non si verifichino (gravi) conseguenze, magari difficilmente gestibili ex post. Cercando di semplificare al massimo il concetto si può dire che anche in ambito “compliance” vale il motto che si applica spesso quando si parla di salute, ovvero "prevenire è meglio che curare". In tal senso, è significativo il fatto che molti studi legali si stanno specializzando sempre più per accompagnare le aziende clienti in questo percorso di "autodifesa" (il quanto più possibile, “preventiva”), anche tramite audit mirati nonché rapporti di consulenza strutturale e strategica (molto interessante, in tal senso, è, per esempio, la figura del “general counsel”, che in Italia non ha ancora trovato la giusta diffusione).