Responsabilità degli Enti in sede penale anche per delitti in materia di privacy

Matteo Moi 10 settembre 2013

privacy_pls_4

Dal 17 agosto 2013 alcuni importanti delitti in materia di privacy si aggiungono ai reati presupposto che fanno scattare la responsabilità dell’ente, in sede penale, ai sensi del DLgs 231/2001.

Si tratta dei delitti di:

  • trattamento illecito dei dati (art. 167 del DLgs 196/2003)
  • falsità nelle dichiarazioni al Garante (art. 168 del DLgs 196/2003)
  • inosservanza di provvedimenti del Garante (art. 168 del DLgs 196/2003)

Lo prevede l’articolo 9 del Decreto Legge 93/2013 (il cosiddetto “decreto sul femminicidio”, che in realtà contiene anche altre norme rilevanti) che ha ampliato l’art. 24-bis del DLgs 231/2001 (Frode informatica e trattamento illecito dei dati).

231231, responsabilità e sanzioni

Il DLgs 231/2001 estende agli enti collettivi (persone giuridiche, società e associazioni) la responsabilità per alcuni reati commessi nell’interesse o a vantaggio degli stessi, da persone fisiche in posizione apicale o subordinata. Tale responsabilità, accertata in tribunale da un giudice penale, prevede sanzioni formalmente amministrative (pecuniarie o interdittive) ma particolarmente afflittive e di natura sostanzialmente penale.

In aggiunta alla responsabilità della persona fisica che realizza l’eventuale fatto illecito in materia di privacy è ora prevista anche la responsabilità dell’Ente; alle sanzioni per le persone fisiche già previste dal DLgs 196/2003 (da 3 mesi a 3 anni di reclusione) si aggiungono quindi le sanzioni per l’Ente previste dal DLgs 231/2001 :

  • sanzioni pecuniarie da 100 a 500 quote, quindi da un minimo di 25.800,00 € ad un massimo di 774.500,00  (una quota singola può variare da un minimo di 258 fino a un massimo di 1.549 euro), quantificate in modo proporzionale alle capacità economiche e patrimoniali dell’azienda, tenendo conto della gravità del fatto, del grado di responsabilità e dell’eventuale ravvedimento posto in essere
  • l´interdizione dall’esercizio dell´attività
  • la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell´illecito
  • il divieto di pubblicizzare beni o servizi

 

pro_civInversione dell’onere della prova e principio dell’esimente

Se il reato privacy è stato commesso da persone in posizione apicale la responsabilità dell’ente è presunta (presunzione di colpevolezza), in tal caso l’onere della prova è a carico dell’ente che deve dimostrare la propria innocenza (“probatio diabolica”).

Il meccanismo adottato nella norma è quindi un’ «inversione dell’onere della prova» rispetto al nostro ordinamento che, normalmente, considera ciascuno innocente fin tanto che non sia provata la sua colpevolezza.

Nell’ottica del decreto 231, invece, per essere ritenuta incolpevole ed evitare la responsabilità amministrativa, l’azienda/ente titolare del trattamento di dati dovrà dimostrare al giudice di avere messo in campo tutte le misure di prevenzione idonee a evitare la commissione dei tre delitti privacy indicati nel DL 93.

Se il reato è stato invece commesso da persone in posizione subordinata rimane la presunzione di innocenza dell’ente, in tal caso l’onere della prova è a carico del pubblico ministero

In entrambi i casi l’Ente non è responsabile (principio dell’esimente) se

  • l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi.
  • il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento e’ stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo (Organismo di Vigilanza, OdV)
  •  le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
  •  non vi e’ stata omessa o insufficiente vigilanza da parte dell’OdV

 

complianceCosa fare per adeguarsi

Chi aveva già adottato un modello organizzativo, dovrà:

  • Riesaminare la mappatura delle attività sensibili. Identificare le attività nel cui ambito possono essere commessi i tre delitti privacy e le potenziali modalità di commissione dei reati, attraverso un’accurata analisi di processi e procedure;
  • Analizzare e valutare i rischi, in termini di impatto e probabilità, valutando anche l’idoneità delle procedure/protocolli già in essere per la compliance privacy.

 Nel caso in cui i livelli di rischio siano sensibili, dovrà anche

  • Introdurre eventuali nuove misure idonee a prevenire i delitti privacy (modifiche al codice etico, nuove procedure, parti speciali del modello 231, organigramma della privacy, formazione, audit, etc)
  • Introdurre specifici obblighi informativi verso l’organismo di vigilanza
  • prevedere un sistema disciplinare sanzionatorio per chi non rispetta le regole privacy
  • introdurre per l’organismo di vigilanza (Odv) l’attività di vigilanza sul funzionamento e sull’osservanza anche delle parti speciali/procedure/protocolli relativi al trattamento dei dati

common-practices-300x298Obbligatorietà o facoltatività del Modello?

L’adozione di un modello organizzativo inclusivo dell’ambito privacy è tecnicamente facoltativo anche se, come detto, l’idoneità del modello esistente esime l’azienda da responsabilità 231.

Nella prassi, tale conformità spesso costituisce un presupposto per partecipare a gare pubbliche o selezioni private, vista la crescente sensibilità dei committenti al rispetto di atteggiamenti aziendali anticrimine, da parte dell’intera filiera di cui essi sono parte.

La dotazione di un sistema di buona organizzazione data protection assurge a requisito che il mondo industriale invoca oramai a livello internazionale, anche per il rispetto di un generale principio di sana concorrenza.

L’ente, infatti, attraverso la ricognizione delle attività a rischio e della individuazione delle responsabilità interne, è in grado di monitorare e meglio utilizzare le risorse umane e strategiche, apprezzandone le inevitabili economie di scala che ne incrementano la competitività.

20110606142415Codice privacy e Garante

Come segnala la Corte di Cassazione, con la recente Relazione III/01/2013 del 22/8/2013, la previsione dei delitti in tema di privacy risulta di grande impatto, soprattutto per la configurazione della responsabilità da reato per l’illecito trattamento dei dati.

Si tratta di violazioni potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del DLgs 231/2001.

Nei prossimi Post approfondiremo nel dettaglio i nuovi delitti privacy che dal 17 agosto sono entrati nel DLgs 231 aggiungendosi così ai reati presupposto che fanno scattare la responsabilità dell’ente, ovvero:

  • Trattamento illecito dei dati
  • Falsità nelle dichiarazioni al Garante
  • Inosservanza di provvedimenti del Garante