I nuovi reati inseriti nell’art. 24bis del D.lgs.231/2001
Il catalogo dei reati presupposto della responsabilità amministrativa degli enti di cui al D.lgs. 231/2001 (“Decreto 231”) è stato ulteriormente ampliato, nello scorso mese di agosto, dal Decreto Legge n. 93 del 14 agosto 2013 (“Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province”) entrato in vigore il 17 agosto 2013 (G.U. n. 191 del 16/08/2013). Il comma 2 dell’art. 9 del suddetto Decreto Legge ha infatti modificato l’art. 24bis del Decreto 231 (già rubricato “Delitti informatici e trattamento illecito di dati”, ma che in realtà non prevedeva, fino alla novella in argomento, alcun reato in materia di privacy) introducendovi i seguenti reati:
- frode informatica con l’aggravante della sostituzione dell’identità digitale (nuova fattispecie criminosa, procedibile d’ufficio, inserita nell’art. 640ter del codice penale dal comma 1 del medesimo art. 9);
- indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento, di cui all’art. 55, comma 9 del D.lgs. n. 231/2007 (“Decreto Antiriciclaggio”);
- delitti in materia di violazione della privacy previsti nella Parte III,Titolo III, Capo II del D. Lgs. n. 196/2003 (“Codice Privacy”) e cioè le fattispecie di trattamento illecito di dati (art. 167), di falsità nelle dichiarazioni e notificazioni al Garante (art. 168) e di inosservanza di provvedimenti del Garante (art. 170). Restano in pratica esclusi dal Decreto 231 i soli illeciti penali costituenti contravvenzioni(artt.169 e 171 del Codice Privacy, rispettivamente, omessa adozione delle misure minime di sicurezza e violazione delle disposizioni di cui agli articoli 113,comma 1, e 114).
Le sanzioni
Le sanzioni applicabili all’ente in relazione alla commissione dei delitti di cui sopra sono le seguenti:
sanzioni pecuniarie : da cento a cinquecento quote,dunque da un minimo di 25.800 Euro a un massimo di 774.500 Euro (art. 24bis,comma 1, Decreto 231);
sanzioni interdittive: interdizione dall’esercizio dell’attività;
sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito; divieto di pubblicizzare beni o servizi ( art. 24bis, comma 4, Decreto 231, che rinvia all’art.9, comma 2, lettere a), b) ed e) del medesimo).
Impatto per gli enti
Tra i nuovi reatipresupposto inseriti nell’art. 24bis del Decreto 231 quelli che certamente comportano il più rilevante impatto per la grande maggioranza degli enti collettivi sono quelli in materia di privacy.
Come anche rilevato a tal riguardo dalla Corte di Cassazione nella Relazione n. III/01/2013 del 22.8.2013 di interpretazione e commento al DecretoLegge 14 agosto 2013, n. 93, la responsabilità da reato degli enti per l’illecito trattamento di dati è “… violazione potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del d.lgs. n. 231/2001.”
Occorre dunque che gli enti che hanno adottato (o intendono adottare) il Modello di organizzazione e di gestione ex art. 6 del Decreto 231 (“MOG”) al fine di evitare di incorrere nella responsabilità amministrativa connessa alla commissione degli ormai numerosissimi reati previsti nel Decreto 231, rivedano i presidi e i protocolli adottati a salvaguardia delle aree di attività aziendale ove potrebbero in teoria essere commessi i nuovi reati introdotti dal DecretoLegge n.93/2013 (che dovrà essere convertito in legge entro il 15 ottobre 2013).
Tale aggiornamento (o implementazione) del MOG è da indirizzare in particolare nei confronti degli strumenti, dei protocolli e delle attività di formazione, di monitoraggio e di vigilanza che presidiano i rischi di commissione dei reati in materia di trattamento dei dati personali e di rapporti con il Garante della privacy.
(Diana Strazzulli – d.strazzulli@lascalaw.com)