Brevi considerazioni a cura dell’Avv. Luca Degani sul tema della rilevanza dei delitti di privacy ai fini del d.lgs. 231/01 a seguito della mancata conversione del D.L. 93/2013.
Inversione di marcia per quanto riguarda la rilevanza dei delitti di privacy ai fini del d.lgs. 231/2001. I delitti privacy erano destinati ad entrare nel perimetro del decreto legislativo 231/2001.
Lo prevedeva il D.L. 93/2013, in vigore dal 17 agosto scorso, che avrebbe dovuto essere convertito in legge entro il 15 ottobre. Così non è stato.
Il comma 2 dell’articolo 9 del D.L. 93/2013 è stato soppresso dalla legge di conversione 119/2013. Le disposizioni prevedevano l’ingresso tra i “reati presupposto” inclusi nel D.lgs. 231/2001 anche dei delitti in materia di privacy (non le contravvenzioni), tra cui il trattamento illecito dei dati e le false comunicazioni al Garante.
I delitti in materia di privacy dunque non ingrossano le fattispecie penali attualmente previste dalla normativa sulla responsabilità amministrativa delle persone giuridiche per fatto di dipendenti e amministratori.
Se l’introduzione dei reati di frode informatica e di contraffazione di carte di credito non avrebbe avuto conseguenze operative importanti per le strutture, i delitti sulla privacy sarebbero stare di grande impatto, soprattutto per la configurazione della responsabilità per l’illecito trattamento dei dati. Tanto per fare qualche esempio, il mancato rispetto dei provvedimenti del Garante della privacy o la mancata acquisizione del consenso per il trattamento dei dati, o ancora la conservazione delle riprese di videosorveglianza per periodi superiori a 7 giorni sarebbero state violazioni potenzialmente in grado di interessare l’intera platea dei soggetti interessati dall’applicazione del d.lgs. 231/2001, con pesanti ricadute sulle penalità applicabili.
Senza un’adeguata prevenzione, che si sarebbe concretizzata nell’aggiornamento dei modelli organizzativi, gli eventuali illeciti dei vertici delle strutture per uno dei delitti previsti in materia di privacy avrebbero esposto la società a una sanzione da 100 a 500 quote. Considerato che una quota singola può variare da un minimo di 258 fino a un massimo di 1.549 euro, la sanzione minima avrebbe potuto oscillare tra 25.800 e 154.900 euro, mentre quella massima tra 129.000 e 774.500 euro.
Un dietrofront, quindi, che consente di evitare ulteriori adempimenti (costosi) e sanzioni alle strutture, già alle prese con il delicato aggiornamento dei modelli organizzativi per i precedenti reati entrati nella rete della «231».
Ultimi in ordine di tempo, ricordiamo, quelli collegati alla legge Severino sull’anticorruzione.
Le strutture, infatti, rispondono in giudizio se un soggetto operante al suo interno ha agito per corrompere amministratori, direttori generali, dirigenti preposti alla redazione dei documenti contabili, sindaci e liquidatori. La responsabilità scatta quando il soggetto che opera al suo interno ricopre la figura di corruttore e non anche di corrotto. Un illecito accertato in Tribunale comporta una sanzione pecuniaria dalle 200 alle 400 quote (vale a dire una penalità massima di circa 620mila euro).