Matteo Moi 10 settembre 2013
Dal 17 agosto 2013 alcuni importanti delitti in materia di privacy si aggiungono ai reati presupposto che fanno scattare la responsabilità dell’ente, in sede penale, ai sensi del DLgs 231/2001.
Si tratta dei delitti di:
Lo prevede l’articolo 9 del Decreto Legge 93/2013 (il cosiddetto “decreto sul femminicidio”, che in realtà contiene anche altre norme rilevanti) che ha ampliato l’art. 24-bis del DLgs 231/2001 (Frode informatica e trattamento illecito dei dati).
231, responsabilità e sanzioni
Il DLgs 231/2001 estende agli enti collettivi (persone giuridiche, società e associazioni) la responsabilità per alcuni reati commessi nell’interesse o a vantaggio degli stessi, da persone fisiche in posizione apicale o subordinata. Tale responsabilità, accertata in tribunale da un giudice penale, prevede sanzioni formalmente amministrative (pecuniarie o interdittive) ma particolarmente afflittive e di natura sostanzialmente penale.
In aggiunta alla responsabilità della persona fisica che realizza l’eventuale fatto illecito in materia di privacy è ora prevista anche la responsabilità dell’Ente; alle sanzioni per le persone fisiche già previste dal DLgs 196/2003 (da 3 mesi a 3 anni di reclusione) si aggiungono quindi le sanzioni per l’Ente previste dal DLgs 231/2001 :
Inversione dell’onere della prova e principio dell’esimente
Se il reato privacy è stato commesso da persone in posizione apicale la responsabilità dell’ente è presunta (presunzione di colpevolezza), in tal caso l’onere della prova è a carico dell’ente che deve dimostrare la propria innocenza (“probatio diabolica”).
Il meccanismo adottato nella norma è quindi un’ «inversione dell’onere della prova» rispetto al nostro ordinamento che, normalmente, considera ciascuno innocente fin tanto che non sia provata la sua colpevolezza.
Nell’ottica del decreto 231, invece, per essere ritenuta incolpevole ed evitare la responsabilità amministrativa, l’azienda/ente titolare del trattamento di dati dovrà dimostrare al giudice di avere messo in campo tutte le misure di prevenzione idonee a evitare la commissione dei tre delitti privacy indicati nel DL 93.
Se il reato è stato invece commesso da persone in posizione subordinata rimane la presunzione di innocenza dell’ente, in tal caso l’onere della prova è a carico del pubblico ministero
In entrambi i casi l’Ente non è responsabile (principio dell’esimente) se
Chi aveva già adottato un modello organizzativo, dovrà:
Nel caso in cui i livelli di rischio siano sensibili, dovrà anche
Obbligatorietà o facoltatività del Modello?
L’adozione di un modello organizzativo inclusivo dell’ambito privacy è tecnicamente facoltativo anche se, come detto, l’idoneità del modello esistente esime l’azienda da responsabilità 231.
Nella prassi, tale conformità spesso costituisce un presupposto per partecipare a gare pubbliche o selezioni private, vista la crescente sensibilità dei committenti al rispetto di atteggiamenti aziendali anticrimine, da parte dell’intera filiera di cui essi sono parte.
La dotazione di un sistema di buona organizzazione data protection assurge a requisito che il mondo industriale invoca oramai a livello internazionale, anche per il rispetto di un generale principio di sana concorrenza.
L’ente, infatti, attraverso la ricognizione delle attività a rischio e della individuazione delle responsabilità interne, è in grado di monitorare e meglio utilizzare le risorse umane e strategiche, apprezzandone le inevitabili economie di scala che ne incrementano la competitività.
Come segnala la Corte di Cassazione, con la recente Relazione III/01/2013 del 22/8/2013, la previsione dei delitti in tema di privacy risulta di grande impatto, soprattutto per la configurazione della responsabilità da reato per l’illecito trattamento dei dati.
Si tratta di violazioni potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del DLgs 231/2001.
Nei prossimi Post approfondiremo nel dettaglio i nuovi delitti privacy che dal 17 agosto sono entrati nel DLgs 231 aggiungendosi così ai reati presupposto che fanno scattare la responsabilità dell’ente, ovvero: