Il trattamento illecito dei dati e la responsabilità dell’azienda

Tra le grandi novità legislative della scorsa estate spicca l’inserimento nel d.lgs. 231/01 del trattamento illecito di dati personali e di nuove ipotesi di delitti informatici.

Cosa significa e, soprattutto, quali conseguenze comporta tale novella?

Si ricorda che il d.lgs. 231/01 disciplina la responsabilità in capo alle persone giuridiche (in primis le società commerciali) per determinati reati commessi dai propri amministratori o dipendenti a vantaggio o nell’interesse della società stessa.

In virtù di tale normativa, pertanto, alla responsabilità individuale della persona fisica si aggiunge quella dell’ente, con conseguente applicazione di sanzioni pecuniarie e interdittive a volte molto pesanti (si pensi alla sospensione o alla revoca di autorizzazioni, licenze o concessioni; oppure al divieto di contrattare con la pubblica amministrazione; o ancora all’esclusione da agevolazioni, finanziamenti o contributi).

Per essere esonerata dalla suddetta responsabilità, la società deve dimostrare che:
a) l’organo dirigente ha adottato ed efficacemente attuato un modello di organizzazione e di gestione (M.O.G.) idoneo a prevenire reati come quello verificatosi;
b) il compito di verificare il funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento è stato affidato a un Organismo di Vigilanza (O.d.V.) dotato di autonomi poteri di iniziativa e di controllo;
c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
d) non vi è stata omessa o insufficiente controllo da parte dell’Organismo di Vigilanza.

Come accennato, la responsabilità dell’ente non si estende genericamente a tutti i reati previsti nel nostro ordinamento, bensì solo a quelli espressamente elencati nel d.lgs. 231/01 (i cosiddetti “reati presupposto ”), alcuni dei quali di indubbio interesse per chi si occupa di ICT.

Già con la legge 18 marzo 2008 n. 48 (che ratificava la Convenzione del Consiglio d’Europa sulla criminalità informatica firmata a Budapest il 23 novembre 2001) venne introdotto nel d.lgs. 231/01 l’art. 24 bis “delitti informatici e trattamento illecito di dati”: tale norma conteneva i cd. computer crimes (accesso abusivo al sistema informatico, intercettazione di comunicazione telematica, danneggiamento informatico, etc.

Ora con il recente D.L. 14 agosto 2013 n. 93 (in corso di conversione in Legge) tale art. 24 bis è stato aggiornato mediante l’inserimento delle seguenti fattispecie:

1) art. 640 ter comma 3 c.p. (relativo alla frode informatica aggravata dalla sostituzione dell’identità digitale);

2) art. 55, comma 9 d.lgs. 231/07
Chiunque, al fine di trarne profitto per sé o per altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, è punito con la reclusione da uno a cinque anni e con la multa da 310 a 1.550 euro. Alla stessa pena soggiace chi, al fine di trarne profitto per sé o per altri, falsifica o altera carte di credito o di pagamento o qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenti di provenienza illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi.

3) i delitti previsti nel d.lgs. 30 giugno 2003 n. 196 (il noto Codice della privacy)
Considerato che la norma si riferisce ai soli “delitti”, il richiamo è limitato ai seguenti articoli:
– art. 167 (Trattamento illecito di dati)
Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

– art. 168 (Falsità nelle dichiarazioni e notificazioni al Garante)
Chiunque, nelle comunicazioni di cui all’articolo 32-bis, commi 1 e 8, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.

– art. 170 (Inosservanza di provvedimenti del Garante)
Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.

Come riconosciuto dalla Corte di Cassazione nella Relazione n. III/01/2013 dello scorso 22 agosto, la novità legislativa risulta “di grande impatto, soprattutto per la configurazione della responsabilità da reato degli enti per l’illecito trattamento dei dati, violazione potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private”.

Si sottolinea che -fortunatamente, nell’ottica delle imprese- l’omessa adozione delle misure minime di sicurezza (ipotesi prevista dall’art. 169) non rientra tra i reati presupposto del d.lgs. 231/01 in quanto ipotesi di contravvenzione e non di delitto.

Al contrario i trattamenti illeciti di dati personali (cfr. il trattamento senza consenso da parte dell’interessato) se commessi nell’interesse o a vantaggio della società daranno luogo alla responsabilità 231/01.

Un esempio per chiarirne le conseguenze.
Alfa srl gestisce un laboratorio di analisi cliniche. Per risparmiare denaro e non perdere tempo Alfa srl non procede alla corretta distruzione dei dati sanitari mediante tritacarta, ma getta nei cassonetti la documentazione con i risultati delle analisi del sangue dei propri pazienti. Conseguentemente si diffonde la notizia che alcuni di tali pazienti risultano affetti da gravi patologie infettive.

Potranno sussistere le seguenti responsabilità:
a) responsabilità civile in capo ad Alfa srl per il danno cagionato ai pazienti, comprensivo anche di danno non patrimoniale (morale);
b) responsabilità penale in capo al legale rappresentante di Alfa srl e di eventuali responsabili del trattamento (pena della reclusione da uno a tre anni);
c) responsabilità 231/01 in capo ad Alfa srl in quanto il reato è stato commesso per un profitto della società (risparmiare i soldi dell’acquisto dei dispositivi tritacarta e del personale da destinare alla corretta distruzione dei documenti) con applicazione di
sanzione pecuniaria da 100 a 500 quote (l’importo di una quota va da € 250 a € 1.500 in base alle condizioni economiche e patrimoniali allo scopo di assicurare l’efficacia della sanzione);
sanzione interdittiva da 3 a 24 mesi;
confisca del profitto del reato;
pubblicazione della sentenza.

Come sopra accennato, al fine di evitare la responsabilità prevista dal d.lgs. 231/01 è essenziale che la società adotti un sistema di procedure aziendali idonee a prevenire il reato di trattamento illecito di dati personali (nel caso dell’esempio era necessaria una procedura per la corretta distruzione dei dati sensibili).

A ben vedere, se tale Modello di Organizzazione e Gestione viene impostato in modo opportuno, possono essere evitati i casi di trattamento illecito e, quindi, anche le suddette responsabilità penali e civili (se i documenti sanitari fossero stati tritati, non ci sarebbe stato né reato, né danno ai pazienti).

Si rileva, quindi, come a un anno e mezzo dall’abrogazione, a opera del D.L. 9 febbraio 2012 n. 5, della norma che imponeva il Documento Programmatico della Sicurezza (D.P.S.), il legislatore è intervenuto a tutela dei diritti dell’interessato, configurando a carico dei titolari del trattamento adempimenti più sostanziali che formali (il giudice che dovrà valutare l’idoneità del Modello non potrà limitarsi a un esame formale delle procedure).

Da ultimo, nell’ottica di un corretto trattamento dei dati personali, non si può non sottolineare in prospettiva il ruolo essenziale del Privacy Officer (ovvero il Responsabile della protezione dei dati) introdotto dalla proposta di Regolamento europeo in materia di privacy e data protection e figura chiave nella prevenzione dei reati in esame.

David D'Agostini

Avvocato, appassionato di diritto delle nuove tecnologie, proprietà intellettuale e industriale.

Lascia un commento