PRIVACY - L'onda lunga del D.L.vo 231/2001 sul trattamento dei dati personali in Azienda
Ci risiamo. Come ogni estate, si amplia il novero dei reati che, se commessi nell'ambito dell'impresa, generano la responsabilità amministrativa aziendale in sede penale, ai sensi del D.L.vo n° 231/2001: le aziende risponderanno d'ora in poi ex D.L.vo n° 231/2001 anche per non aver adottato adeguate misure per prevenire i delitti ascrivibili ai propri dipendenti e ai vertici dell'impresa, commessi nel trattamento dei dati personali.
L'art. 9, co. 2, del Decreto Legge 14.08.2013 n° 93 (c.d. sul femminicidio), entrato in vigore il 17.08.2013, ha difatti ampliato il "catalogo" dei reati dalla cui commissione deriva la responsabilità della Società, sia nel caso in cui manchino i modelli preventivi, sia nell'ipotesi in cui essi siano stati redatti ma in modo incongruo.
La normativa sulla privacy, quindi, che aveva di recente subito un allentamento con l'abolizione dell'obbligo del D.p.s., torna in auge più che mai.
Se dunque un'Impresa è ancora priva di un valido "modello organizzativo" oppure ne ha predisposto tempo addietro uno rabberciato, che - come un colabrodo - fa acqua da tutte le parti, allora si attrezzi per correre ai ripari: con l'estensione del novero dei "reati–fonte", previsti dal D.L.vo n° 231/2001, anche ai delitti (non le contravvenzioni ex art. 169 e 171 T.U. Privacy) in materia di trattamento dei dati personali, bisogna necessariamente predisporre degli specifi protocolli interni anti–abusi, adottando un modello adeguato a precenire il compimento di reati di utilizzo improprio delle informazioni.
La sanzione pecuniaria comminata varia da 100 a 500 quote e, considerato che ciascuna di esse può essere compresa tra € 258 a € 1.549, appare evidente la gravità dell'apparato sanzionatorio predisposto dal legislatore dell'urgenza di ferragosto per questi violazioni delle regole di data protection sul "semplice" trattamento dati.
Questo il tenore della novella:
"Art. 9 - (omissis) 2. All'art. 24-bis, co. 1, del decreto legislativo 8 giugno 2001, n° 231, (omissis) dopo le parole: "codice penale" sono aggiunte le seguenti: "nonché dei delitti di cui (omissis) alla Parte III, Titolo III, Capo II del decreto legislativo 30 giugno 2003, n° 196".
Di conseguenza, d'ora innanzi le Imprese saranno chiamate anche a rispondere degli illeciti penali previsti e puniti dal Codice Privacy quale delitto e, segnatamente, quelli di cui gli artt. 167 (Trattamento illecito di dati), 168 (Falsità nelle dichiarazioni e notificazioni al Garante) e 170 (Inosservanza di provvedimenti del Garante).
L'aggiornamento, dunque, è destinato ad assumere particolare rilevanza in sede applicativa: l'aver addossato alle Aziende la nuova responsabilità da reato per l’illecito trattamento dei dati è di grande impatto, poiché interessa l’intera platea delle società commerciali e delle associazioni private assoggettate alla disciplina prevista dal D.L.vo n° 231/01.
Anche perchè, oltre alla vera e propria sanzione pecuniaria, nei casi di condanna (per uno dei delitti indicati nel co. 1 dell'art. 24-bis) si applicheranno all'Azienda anche le severe "sanzioni interdittive" (cfr. co. 4, primo periodo, dell'art. 24-bis del D.L.vo n° 231/01) per gli illeciti amministrativi dipendenti da reato che, nella fattispecie, saranno le seguenti:
* (lett. a) l'interdizione dall'esercizio dell'attività,
* (lett. b) la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell'illecito,
* (lett. e) il divieto di pubblicizzare beni o servizi.