Responsabilità degli enti e nuovi reati privacy: necessario l'aggiornamento dei modelli organizzativi 231 - Studio Legale Lisi

di avv. Graziano Garrisi e dott.ssa Debora Montagna – Digital & Law Department

Con il decreto legge n. 93 del 14 agosto 2013, recante disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, sono state introdotte, tra le altre cose, alcune novità in tema di frode informatica con sostituzione di identità digitale, falsificazione di carte di credito e delitti in ambito privacy. Le fattispecie di reato citate, infatti, entrano a far parte dell’elenco dei reati presupposto che fanno scattare la responsabilità amministrativa degli enti ai sensi del d.lgs. 231/2001, comportando quindi la necessità di aggiornare i modelli organizzativi (ex d.lgs. 231/2001) degli enti.

In dettaglio, con l’art. 9 del decreto legge citato – “Frode informatica commessa con sostituzione d’identità digitale” – sono state apportate delle modifiche al codice penale e al d.lgs. n. 231 del 2001. Nello specifico, è stato modificato l’articolo 640-ter del codice penale prevedendo delle pene più dure se il reato di frode informatica è commesso con sostituzione dell’identità digitale.

Per quanto riguarda, invece, le modifiche apportate al d.lgs. 231/2001, l’articolo 9 del recente decreto legge n. 93/2013 aggiunge alle fattispecie previste nell’ambito dell’articolo 24-bis, comma 1, del d.lgs. n. 231:
–   la frode informatica con sostituzione d’identità digitale;
–   i delitti di cui all’articolo 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231 e cioè quelli di indebito utilizzo, falsificazione, alterazione di carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, nonché il loro possesso, cessione o acquisizione;
–   i delitti di cui alla Parte III, Titolo III, Capo II del decreto legislativo 30 giugno 2003, n. 196 il quale è appunto relativo agli illeciti penali in tema di trattamento dei dati personali (trattamento illecito di dati, falsità nelle dichiarazioni e notificazioni al Garante, ecc.).
Pertanto, queste fattispecie rientrano ora a pieno titolo nella gamma dei delitti informatici e di trattamento dei dati che possono essere fonte di responsabilità amministrativa dell’ente ai sensi del d.lgs. 231/2001.

Sul punto la Corte di Cassazione, con la sua Relazione n. III/01/2013 del 22 agosto 2013, ha specificato che con l’art. 9 del d.l. n. 93 è stata introdotta, al terzo comma dell’articolo 640 ter c.p., una nuova aggravante ad effetto speciale del delitto di frode informatica per il caso in cui il fatto venga commesso con sostituzione dell’identità digitale in danno di uno o più soggetti.
La Corte di Cassazione considera che scopo dell’intervento normativo è a prima vista quello di implementare la tutela dell’identità digitale al fine di aumentare la fiducia dei cittadini nell’utilizzazione dei servizi on-line e porre un argine al fenomeno delle frodi realizzate (soprattutto nel settore del credito al consumo) mediante il furto di identità. Il legislatore punisce, dunque, più gravemente le frodi realizzate mediante l’accesso abusivo al sistema informatico e l’indebito utilizzo dell’identità digitale altrui, prevedendo in tali casi la pena della reclusione da due a sei anni (anziché quella da 6 mesi a 3 anni) e una multa da 600 fino a 3.000 euro.

La Corte si sofferma, inoltre, sull’inserimento nell’art. 24 bis del d.lgs. n. 231/2001 del reato di frode informatica aggravato dalla sostituzione dell’identità digitale, dei reati di indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento di cui all’art. 55 comma 9 del d.lgs. n. 231/2007, nonché dei delitti (ma non le contravvenzioni) in materia di violazione della privacy previsti dal d. lgs. n. 196/2003 e cioè le fattispecie di trattamento illecito dei dati (art. 167), di falsità nelle dichiarazioni e notificazioni al Garante (art. 168) e di inosservanza dei provvedimenti del Garante (art. 170). Al riguardo la Corte afferma che se l’inserimento tra i reati presupposto della responsabilità amministrativa degli enti dei primi due (reato di frode informatica aggravata dalla sostituzione dell’identità digitale e reati di indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento) non appare destinata ad assumere particolare rilevanza in sede applicativa, il terzo (delitti in materia di violazione della privacy) risulta invece di grande impatto, soprattutto per la configurazione della responsabilità da reato degli enti per l’illecito trattamento dei dati, violazione potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del d.lgs. n. 231/2001.

Uno dei primi effetti di questa modifica legislativa, infatti, consiste nell’obbligare le imprese a prevedere e implementare nelle policy interne le misure organizzative e di prevenzione per questi nuovi delitti. Tuttavia, poiché l’aspetto più importante riguarda proprio l’introduzione come reato presupposto per le imprese della violazione delle norme sulla privacy, ne deriva la necessità di adottare misure organizzative e tecnologiche per prevenire in particolare questa tipologia di reati tra i dipendenti.
In questo modo, la normativa sulla privacy, spesso considerata come un semplice adempimento formale e burocratico, ritorna al centro dell’attenzione del legislatore al fine di sensibilizzare titolari e responsabili poco attenti alle conseguenze e ai rischi che possono derivare da un trattamento non conforme ai dettami legislativi. Si ricorda, infatti, che le varie sanzioni accessorie, legate al mancato rispetto del d.lgs. 231/2001, possono comportare per l’impresa anche l’interdizione dall’esercizio dell’attività, la sospensione o revoca delle autorizzazioni, licenze o concessioni o il divieto di pubblicizzare beni o servizi.

Probabilmente, tutto ciò rafforzerà l’intento – già perseguito a livello europeo in tema di misure organizzative e tecniche in materia di privacy – di passare da un approccio “formalmente regolare” a un approccio “sostanzialmente regolare” per gli adempimenti di cui al Codice Privacy, nell’ottica di una vera e propria data protection compliance.
Per realizzare questo obiettivo, però, sarà necessario integrare l’eventuale modello organizzativo privacy già in uso con il modello organizzativo 231 adottato dall’azienda nell’ambito dei reati presupposto conosciuti (oltre che adottare un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nei modelli citati); ciò, naturalmente, comporterà la previsione di nuovi protocolli interni diretti a programmare la formazione e l’attuazione delle decisioni dell’ente (in relazione ai reati da prevenire) e nuovi flussi di informazione integrati tra l’Organismo di Vigilanza (OdV), il Privacy Officer (o il referente privacy aziendale) e la funzione di Internal Auditing, per consentire l’esercizio del controllo e delle verifiche interne in nome e per conto del Titolare (responsabile, ricordiamo, della culpa in vigilando) nei confronti di manager e dipendenti.

Alla luce di queste ultime novità, le aziende cha hanno abbandonato il DPS probabilmente potrebbero pentirsene, costituendo esso uno degli strumenti più idonei per tenere sotto controllo tutta la gestione degli adempimenti in ambito privacy e ridurre il rischio aziendale di essere non conformi alla normativa.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Responsabilità degli enti e nuovi reati privacy: necessario l’aggiornamento dei modelli organizzativi 231

Responsabilità degli enti e nuovi reati privacy: necessario l’aggiornamento dei modelli organizzativi 231

La autenticidad de las soluciones de IA: còmo garantizar CV seguros para nuestro futuro digital – Webinar

Lo ho-BIT – Andata e Ritorno

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco