La responsabilità amministrativa degli enti si estende ai delitti in materia di trattamento dei dati personali. Novità introdotte dal D.l. n. 93/2013.

Transcript

1 La responsabilità amministrativa degli enti si estende ai delitti in materia di trattamento dei dati personali. Novità introdotte dal D.l. n. 93/2013. Il D.l. 14 agosto 2013, n. 93, entrato il vigore lo scorso 17 agosto, è destinato ad avere un forte impatto sulle società commerciali e sulle associazioni private soggette alle disposizioni del D.lgs. 231/2001, per il significativo ampliamento del catalogo di reati presupposto della responsabilità amministrativa degli enti. Nello specifico, l art. 9, comma 2, D.l. 93/2013 ha integrato il disposto dell art. 24-bis del D.lgs. 231/2001 con l introduzione di tre ulteriori fattispecie penali idonee a far scattare la responsabilità amministrativa dell ente: i) l art. 640-ter, terzo comma, c.p. (frode informatica commessa con sostituzione dell identità digitale in danno di uno o più soggetti); ii) l art. 55, comma 9, D.lgs. 231/2007 (indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento); iii) i delitti (ma non le contravvenzioni) in materia di violazione della privacy previsti dal D.lgs. 196/2003, i.e. gli artt. 167 (trattamento illecito di dati), 168 (falsità nelle dichiarazioni notificazioni al Garante), 170 (inosservanza dei provvedimenti del Garante). A seguito delle modifiche apportate dal D.l. 93/2013, in attesa di conversione, l art. 24-bis D.lgs. 231/2001 risulta così formulato: In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies e 640-ter, terzo comma, del codice penale, nonché dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla Parte III, Titolo III, Capo II del decreto legislativo 30 giugno 2003, n. 196, si applica all'ente la sanzione pecuniaria da cento a cinquecento quote. La commissione dei reati contemplati nella norma in esame comporta, oltre all irrogazione della sanzione pecuniaria da cento a cinquecento quote (l'importo di una quota va da un minimo di 258 euro sino ad un massimo di 1549 euro), l applicazione delle sanzioni interdittive previste dall'art. 9, comma 2, lettere a), b) ed e) del D.lgs. 231/2001 (interdizione dall'esercizio dell'attività, sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell'illecito, divieto di pubblicizzare beni o servizi).

2 Come evidenziato dalla Corte di Cassazione nella Relazione n. III/01/2013 del 22 agosto 2013, la configurazione della responsabilità da reato degli enti per l illecito trattamento dei dati è senza dubbio la disposizione destinata ad assumere la maggiore rilevanza in sede applicativa, in quanto tale violazione è potenzialmente in grado di interessare l intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del D.lgs. 231/2001. Di seguito, una breve disamina dei delitti previsti dal Codice della Privacy la cui violazione, in base alla novella in commento, comporta la responsabilità amministrativa dell ente ex D.lgs. 231/2001. Art. 167 (Trattamento illecito di dati) 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni. La norma in esame sanziona il trattamento illecito di dati personali, commesso con dolo specifico (con il fine di trarne per sé o per altri profitto o di recare ad altri un danno ) allorché siano oggetto di violazione - le norme sul trattamento dei dati personali (con inasprimento della sanzione della sanzione ove si tratti di dati sensibili o giudiziari o che presentino rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato) di cui agli articoli 17, 18, 19, 20, 21 del Codice);

3 - i princìpi sulla divulgazione di dati sanitari (art. 22, comma 8) e sulla diffusione o comunicazione di dati sensibili e giudiziari ad altre persone o enti (art. 22, comma 11); - le norme sull acquisizione del consenso dell interessato in relazione a specifici trattamenti (art. 23); in proposito si rammenta che il consenso dell interessato si ritiene validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto e se sono state rese all'interessato le informazioni di cui all'articolo 13 e che il consenso deve essere manifestato in forma scritta quando il trattamento riguarda dati sensibili. - le norme sulla comunicazione e diffusione vietate dall autorità giudiziaria e dal Garante, o riguardanti dati di cui è stata ordinata la cancellazione, o conservati per un tempo necessario già trascorso, o attuate per finalità diverse da quelle dichiarate in notificazione (art. 25); - le garanzie per i dati sensibili (art. 26); - le norme sulle garanzie per i dati giudiziari (art. 27); - le norme sui trasferimenti vietati di dati all estero (art. 45); - le norme sui dati relativi al traffico chiamate (art. 123); - le norme sui dati relativi all ubicazione dell utente (art. 126) diversi dai dati relativi al traffico, riferiti agli utenti o agli abbonati di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico. Tali dati possono essere trattati solo se anonimi o se l'utente o ha manifestato previamente il proprio consenso, revocabile in ogni momento, e nella misura e per la durata necessari per la fornitura del servizio a valore aggiunto richiesto.

4 - le norme sulle comunicazioni indesiderate (artt. 129 e 130). Art. 168 (Falsità nelle dichiarazioni e notificazioni al Garante) Chiunque, nelle comunicazioni di cui all'articolo 32-bis, commi 1 e 8, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. La norma in esame sanziona la falsità delle comunicazioni rese al Garante previste dal Codice della Privacy ed in particolare: - l art. 32-bis, comma 1, prevede che, nel caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico deve comunicare senza indebiti ritardi detta violazione al Garante. Il comma 8 prevede che nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti previsti dalla norma medesima; - l art. 37 disciplina la notificazione da parte del titolare al Garante del trattamento di dati personali cui intende procedere; - è altresì sanzionata la falsità di ogni comunicazione, atto, documento o dichiarazione resa o esibita in un procedimento dinanzi al Garante, o nel corso di accertamenti.

5 Art. 170 (Inosservanza di provvedimenti del Garante) Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni. I provvedimenti del Garante la cui violazione determina la consumazione del delitto di cui all art. 170 sono: - l autorizzazione al trattamento dei dati sensibili (art. 26, comma 2); - il provvedimento di autorizzazione al trattamento di dati genetici (art. 90); - il blocco cautelare del trattamento illecito (art. 143, comma 1, lett. c); - il blocco provvisorio o l immediata sospensione del trattamento illecito (art. 150, comma 1); - l ordine al titolare, con decisione motivata, di cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell'interessato e assegnando un termine per la loro adozione (art. 150, comma 2). * * * L intervento legislativo è destinato a costituire un importante deterrente soprattutto rispetto agli abusi, tutt altro che infrequenti, del trattamento di dati personali a fini di marketing (segnatamente, per le attività di profilazione e per l invio di comunicazioni pubblicitarie) in assenza dei consensi prescritti e, per il caso di profilazione, della notificazione al Garante. Al contempo, salvo improbabili emendamenti in fase di conversione del Decreto Legge, per imprese ed enti diventa imprescindibile l aggiornamento dei propri modelli organizzativi al nuovo catalogo di reati al fine di prevenirne la commissione e, con essa, l irrogazione delle sanzioni conseguenti.