Società: nuove responsabilità per i delitti in tema di privacy, sostituzione di identità digitale e carte di credito falsificate. Modelli organizzativi 231 da aggiornare.

La responsabilità amministrativa delle società e degli enti (ai sensi e per gli effetti del D.Lgs. 231/01 e successive modifiche ed integrazioni) è stata estesa grazie all’art. 9 c. 2 DL 93/13 anche ai delitti in tema di privacy, frode informatica e carte di credito falsificate.

In pratica le società dovranno d’ora in poi dimostrare di aver adottato un modello organizzativo tale da impedire o limitare che i loro dipendenti violino la privacy, si sostituiscano ad identità digitali altrui o utilizzino o falsifichino carte di credito.

In tema di privacy in particolare, ex artt. 167, 168 e 170 del DLgs. 196/2003, rientrano nella responsabilità amministrativa della società e degli enti il trattamento illecito dei dati, la falsità nelle dichiarazioni e notificazioni al Garante nonché l’inosservanza dei provvedimenti del Garante.

Si evidenzia che in tema di trattamento illecito di dati personali, il Testo Unico sulla privacy Italiano, prevede che, salvo che il fatto costituisca più grave reato:
1) chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, proceda al trattamento di dati personali in violazione di quanto disposto dagli art. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, debba essere punito, se dal fatto derivi “nocumento”, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi;
2) chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, proceda al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, venga punito, se dal fatto derivi “nocumento”, con la reclusione da uno a tre anni.
Il concetto di “nocumento” dunque è essenziale come ribadito nella sentenza di Cassazione Sezione Terza Penale, Sentenza 24 marzo 2011, n. 18908 in quanto “in assenza della verificazione dell’altrui nocumento, derivante dal fatto, non sussistono gli estremi del reato”.
In tale accezione, secondo diversi orientamenti giurisprudenziali, il nocumento sarebbe da intendersi “come perdita patrimoniale o di mancato guadagno derivante dalla circolazione non autorizzata di dati personali”, e non sempre “esclusivamente riferibile a quello derivato alla persona fisica o giuridica cui si riferiscono i dati, ma anche a quello causato a soggetti terzi quale conseguenza dell’illecito trattamento” quando si concretizzi in un pregiudizio sostanziale alla parte offesa.

In tema di frode informatica è stato aggiunta la fattispecie della sostituzione dell’identità digitale a danno di uno o più soggetti (ex 640–ter c. ter del codice penale), prevedendo da due a sei anni di reclusione e da 600 a 3.000 euro di multa per il compimento di tale delitto.

Si segnala infine che la Corte di Cassazione, con relazione n. III/01/2013 del 22 agosto 2013 ha apportato esegesi significative sugli aggiornamenti effettuati dal DL 93/13 ed in particolare mentre ritiene che l’aggiornamento sul concetto di frode informatica e l’inserimento della falsificazione delle carte di credito (indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento – ex articolo 55 comma 9 del Dlgs 231/2007) siano in sostanza fattispecie operativamente meno comuni nella vita societaria, per le imprese l’impatto della della responsabilità da reato per l’illecito trattamento dei dati personali risulta invece essere particolarmente rilevante.
Sono previste infatti anche le sanzioni interdittive:
– dell’interdizione dall’esercizio dell’attività;
– della sospensione o revoca di autorizzazione, licenze o concessioni funzionali alla commissione dell’illecito;
– del divieto di pubblicizzare beni e servizi.

Le società dunque dovranno aggiornare i propri modelli organizzativi ai fini della L. 231/01 aggiornandoli in particolare alla rischiosità derivante dalle violazioni in tema di privacy.

Anche per le società quotate in borsa dunque i principi generali di controllo interno internazionalmente noti e riepilogati nella valutazione del rischio “Enterprise Risk Management” emanati dalla Commissione Americana “Coso” dovranno essere riletti ed aggiornati nell’introduzione di queste importanti novità nelle normativa italiana, per determinare il “risk appetite” e valutare il proprio allineamento con il profilo di rischio che caratterizza la stessa società.