COCUZZA & ASSOCIATI
La rilevanza a fini 231 dei delitti in materia di privacy
di Maurizio Arena
I delitti in tema di privacy (artt. 167-172 Codice privacy) non possono essere ascritti in quanto tali ad una persona giuridica, non essendo previsti dal d.lg. 231 quali reati presupposto ex artt 24 e seguenti.
Tuttavia, essi possono acquisire rilevanza indiretta ai sensi del d.lg. 231, in due ipotesi.
Innanzitutto, essi possono costituire reati-scopo di un’associazione per delinquere (questa invece reato-presupposto ai sensi del d.lg. 231).
Per tale via potrebbe essere contestato all’ente il delitto associativo finalizzato, ad esempio, al trattamento illecito di dati personali (tre o più persone che stabilmente collaborano per la commissione di tale delitto).
Sto parlando di scenario possibile, tralasciando in questa sede il tema della fondatezza di tale addebito, come è noto parecchio osteggiata perché si risolverebbe nell’aggiramento del principio di tassatività dei reati-presupposto (Cass., VI, 24 gennaio 2014 n. 363).
In secondo luogo, i delitti in tema di privacy (in particolare il trattamento illecito di dati personali) potrebbero procurare un profitto o, almeno, un risparmio di spesa all’ente.
Ebbene: se tali proventi venissero occultati o successivamente impiegati in attività lecite, verrebbero integrati i delitti di riciclaggio (o autoriciclaggio o c.d. reimpiego).
Si tratterebbe, quindi, di reati previsti dal d.lg. 231, che avrebbero ad oggetto proventi di un reato invece non previsto in quella sede.
Sulla questione si consideri che, di recente, la Cassazione ha ritenuto configurabile a carico di un ente l’autoriciclaggio dei proventi di un’estorsione (altro reato non presupposto) commessa dal datore di lavoro in danno di alcuni dipendenti (Cass., II, 7 giugno 2018 n. 25979).
La prevenzione dei reati informatici
Va inoltre aggiunto che il sistema di organizzazione, gestione e controllo in tema di privacy (con le importanti novità conseguenti all’entrata in vigore del GDPR) impatta in maniera sensibile sulla prevenzione dei reati informatici (presenti nel d.lg. 231 sin dal 2008).
Sotto questo profilo trattasi di sistema che va opportunamente richiamato nel (e coordinato con il) Modello organizzativo, con particolare riguardo alle eventuali certificazioni (ad esempio: ISO 27001) e alla figura dell’Amministratore di sistema.
Il trattamento di dati personali da parte dell’OdV
Nello svolgimento delle proprie funzioni l’OdV tratta dati personali, in ipotesi anche sensibili (si pensi a quelli giudiziari). In particolare, ma non solo, nella gestione del whistleblowing. Resta ancora aperta la questione circa la posizione giuridica, a questi fini, dell’OdV: è Titolare o Responsabile del trattamento (quest’ultima resta – per quanto consta – la soluzione più diffusa)?
I rapporti tra DPO e OdV
Il Data Protection Officer è, senza alcun dubbio, un interlocutore importante dell’OdV, nell’ambito del sistema dei flussi informativi previsti nel Modello organizzativo.
Mi sembra problematico, invece, il suo inserimento nell’OdV collegiale (e, a maggior ragione, la sua designazione ad OdV monocratico) alla luce dei compiti che gli spettano: egli costituisce punto di contatto con il Garante ed è direttamente accessibile dagli interessati.
Ma, soprattutto, il DPO deve monitorare le modalità di trattamento da parte del Titolare e del Responsabile e, quindi, dovrebbe monitorare anche il trattamento effettuato dall’OdV.
ti potrebbe interessare
NetRiver: crescita straordinaria e innovazione continua nel 2024
NetRiver, azienda milanese con oltre 16 anni di esperienza come partner tecnologico e outsourcer di servizi IT, è lieta di annunciare un risultato di crescita eccezionale registrato nel...
La rilevanza delle procedure di notifica transnazionale nella nomina degli amministratori: analisi della risoluzione del 19 marzo 2024 della Direzione generale spagnola
Pavia e Ansaldo Studio Legale Avv. Chiara Scarpelli Con la risoluzione del 19 marzo 2024, la Direzione generale della sicurezza giuridica e della pubblica fede ha chiarito la procedura...
La Corte d’Appello di Roma sulle Società Mutue Assicuratrici, una attesa ma ultimativa conferma.
Studio Nunziante Magrone Avv. Marco Cosentino La Corte d’Appello di Roma con la sentenza 6215/2024 ha recentemente confermato importanti principi giuridici riguardanti la natura e il...