D.Lgs. 231: ampliamento dei reati per i quali è prevista la responsabilità amministrativa delle persone giuridicheCon le modifiche al decreto legislativo 231 del 2001, secondo cui  l’ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio da persone che rivestono una posizione apicale o da loro sottoposti, introdotte dal D.L. 93/2013 anche per i delitti sulla privacy troverà applicazione il predetto decreto legislativo. Pertanto, con effetto dal 17 agosto 2013,  i delitti della privacy   si aggiungono ai reati che fanno scattare la responsabilità dell’ente prevista dal D.Lgs.. In particolare i nuovi reati, che faranno scattare la responsabilità di cui al D.Lgs 231, sono il trattamento illecito dei dati, la falsità nelle dichiarazioni al Garante, l’inosservanza dei provvedimenti del Garante. 

La responsabilità amministrativa delle persone giuridiche non trova applicazione qualora, prima della consumazione del reato, l’azienda abbia adottato ed attuato con efficienza modelli di organizzazione e di gestione idonei, di cui art. 6 del Dlgs 231,  a prevenire la realizzazione degli illeciti penali considerati.. Il meccanismo adottato nella norma è un’“inversione dell’onere della prova”. Per cui ai fini dell’esonero della responsabilità amministrativa dell’azienda titolare del trattamento di dati dovrà dimostrare di avere messo in campo tutte le misure di prevenzione idonee a evitare la commissione dei tre delitti privacy che sono indicati nel decreto 93/2013.Si segnala che, in mancanza di un modello adeguato, il Pm potrà, in via cautelare, emettere le sanzioni previste dal decreto 231. Nel D.Lgs 231 è possibile individuare due tipologie di sanzioni:

  • di tipo pecuniarie, le stesse sono quantificate in modo proporzionale alle capacità economiche e patrimoniali dell’azienda tenendo conto della gravità del fatto, del grado di responsabilità e dell’eventuale ravvedimento posto in essere;
  • di interdizione, quale ad esempio la sospensione o revoca di autorizzazioni o licenze, il divieto di pubblicizzare beni o servizi, sino all’interdizione temporanea dall’esercizio dell’attività. 
Sempre al fine di un “esonero” parziale o totale della responsabilità amministrativa l’azienda deve, come scritto prima, dimostrare di avere adottato un modello di organizzazione e gestione idoneo, per cui dovrà, con periodicità, effettuare un’analisi dei rischi ovvero delle attività nel cui ambito possono essere commessi i “delitti della privacy”, ponendo misure idonee a prevenirli. Sarà necessaria un’approfondita analisi dei processi e delle procedure per aiutarla a individuare competenze e ruoli in modo da poter correttamente delegare e responsabilizzare i singoli operatori. Altro importante aspetto del modello organizzativo e la parte che deve, al fini di consentire che il modello organizzativo abbia forza vincolante, occorre prevedere un sistema che disciplini e punisca chi non rispetta le regole della privacy e, soprattutto, che l’organismo di vigilanza (Odv) vigili sul funzionamento e l’osservanza anche delle parti che riguardano la privacy. L’adozione del modello organizzativo non è un obbligo normativo ma facoltativo, anche se in pratica, l’adozione di un modello organizzativo e la sua conformità spesso costituisce un presupposto necessario per partecipare a gare pubbliche o selezioni private, vista la crescente sensibilità dei committenti al rispetto di atteggiamenti aziendali anticrimine, da parte dell’intera filiera di cui essi sono parte. La dotazione di un buon sistema organizzativo sulla protezione dei dati costituisce un requisito che il mondo industriale in voga oramai a livello internazionale, anche per il rispetto di un generale principio di sana concorrenza.

I reati che fanno scattare la responsabilità amministrativa del D.Lgs. 231 non sono tutti i reati relativi alla privacy, infatti il D.L. 93 richiama solo i delitti, ovvero il trattamento illecito di dati, la falsità nelle dichiarazioni o notificazioni al Garante, l’inosservanza di provvedimenti del Garante. Il caso del trattamento illecito non dovrebbe porre troppo in allarme le aziende; ad esempio, avere trattato dati senza il necessario consenso sarà sì una condizione oggettiva di punibilità, ma si dovrà dimostrare anche che dal fatto ne sia derivata un’effettiva lesione all’interessato. Nelle aziende la mancanza di un buon modello organizzativo per la protezione dei dati, le ipotesi di false dichiarazioni e notificazioni al Garante suscitano le preoccupazioni maggiori.

Per l’inosservanza dei provvedimenti del Garante, vi sarà responsabilità amministrativa di cui al D.Lgs. 231 da parte dell’azienda che ometta di adempiere a un provvedimento dell’Authority che, ad esempio, abbia disposto il blocco di uno o più trattamenti o abbia prescritto misure necessarie a rendere il trattamento conforme. L’azienda non si potrà limitare a puri atteggiamenti formali, occorre invece che il modello organizzativo tenga in conto l’intero flusso di dati, nonché il loro utilizzo e custodia anche tramite enti terzi, garantendo un livello di sicurezza adeguata e la conformità rispetto alle finalità per cui l’informazione è stata raccolta.