News - 03/09/2013

Privacy - Punibile l’impresa anche per i reati contro la privacy

Aggiunta anche un’ulteriore aggravante nel reato di frode informatica (art. 640 ter c.p.)

Il Dl 14/8/2013, n. 93 (cd. DL di Ferragosto) contenente disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere prevede, all’art. 9, una serie di modifiche normative. L’art. 9, al comma 1, prevede una modifica al codice penale ovvero l’inserimento di un ulteriore aggravante nel reato di frode informatica (art. 640 ter c.p.) e l’introduzione nella legge n. 231 del 2001 sulla responsabilità penale delle persone giuridiche, tra i reati cd. presupposti (art. 24 bis), dei delitti contro la privacy previsti dal Dlgs. n. 196/2003, del delitto di indebito utilizzo e falsificazione di carte di credito previsto dall’art. 55, comma 9, del Dlgs. n. 231 del 21.11.2007, nonché dell’aggravante sopra menzionata di cui al comma 3 del delitto di frode informatica.

La nuova aggravante dell’art. 640 ter c.p. consiste nel commettere il fatto con “sostituzione dell’identità digitale in danno di uno o più soggetti”. A prescindere da una certa ambiguità e imprecisione della locuzione appare di tutta evidenza che insieme al delitto di cui all’art. 55 del Dlgs. n. 231 del 21.11.2007, queste due norme, salvo piccoli aggiustamenti dei Modelli Organizzativi (soprattutto in taluni contesti), non determinano grandi stravolgimenti dei processi interni aziendali né grandi complicazioni sotto il profilo operativo.

Diverso invece è il discorso relativamente ai delitti (restano escluse le contravvenzioni) in materia di violazione della privacy previsti dal d. lgs. n. 196/2003 e cioè le fattispecie di trattamento illecito dei dati (art. 167), di falsità nelle dichiarazioni e notificazioni al Garante (art. 168) e di inosservanza dei provvedimenti del Garante (art. 170).

Questi delitti sono, per loro struttura, più facilmente configurabili in tutti quei casi nei quali gli enti si trovano, per ragioni di business, a trattare (vedi definizione art. 4 codice privacy) i dati delle persone fisiche o ad avere rapporti con l’Autorità Garante per la protezione dei dati personali.

A prescindere dall’eventuale illiceità delle condotte poste in essere dall’azienda e quindi dalla configurabilità in concreto dei delitti sopra menzionati, l’ingresso di queste norme nell’art. 24 bis della legge n. 231 è di grande impatto soprattutto perché impegna le aziende a valutare anche queste ulteriori fonti di rischio pena gravi sanzioni penali e amministrative per dirigenti e impresa.

E’ di tutta evidenza che gli enti sono chiamate da domani a prevedere e ad aggiornare i modelli organizzativi (M.O.) adeguandoli alle nuove disposizioni e ai nuovi rischi informatici in funzione di prevenzione e di tutela. Ai medesimi adempimenti sono chiamati ancora una volta i membri degli O.D.V. ormai sempre più spesso costretti a misurarsi con problemi attinenti al cybercrime, alla sicurezza informatica e alla sicurezza dei dati e delle informazioni.