Consulenza o Preventivo Gratuito

Privacy, paga pure l'impresa

del 31/08/2013
di: di Antonio Ciccia
Privacy, paga pure l'impresa
Se il manager o il dipendente viola la privacy paga anche l'impresa. Per i reati di trattamento illecito dei dati, di falsita nelle dichiarazioni-notificazioni al Garante e di inosservanza dei provvedimenti del Garante scatta la responsabilità amministrativa degli enti ai sensi del decreto legislativo 231/2001; responsabilità che non è, invece, prevista per il reato di violazione delle misure di sicurezza. Nessun rischio per gli enti pubblici.

Il decreto-legge n. 93/2013 (dedicato in gran parte alla repressione del cosiddetto «femminicidio») inserisce alcuni reati previsti dal codice della privacy nell'elenco dei reti presupposto della responsabilità amministrativa delle imprese.

Si aggiunge, dunque, un altro livello sanzionatorio. Per il trattamento illecito dei dati personali, ad esempio, sono previste sanzioni penali per il colpevole (persona fisica) e conseguenti sanzioni amministrative previste dal dlgs 231/2001, e anche sanzioni amministrative a carico del trasgressore e del responsabile solidale ai sensi del codice della privacy (articolo 162).

Ma vediamo in che cosa consiste la novità del decreto-legge.

L'articolo 9 del provvedimento di urgenza inserisce i delitti di cui alla parte III, titolo III, capo II del codice della privacy (dlgs 196/2003) tra i reati presupposto della responsabili amministrativa degli enti (a seguito di reato commesso da manager o dipendenti) .

Le novità sono state illustrate anche da una relazione della Corte di cassazione (n. III-01-13), in cui si legge che il decreto 93/2013 ha provveduto ad inserire, all'articolo 24 bis del dlgs 231/2001, i delitti (ma non le contravvenzioni) in materia di violazione della privacy previsti dal dlgs 196/2003: la modifica riguarda, dunque, i delitti di trattamento illecito dei dati (articolo 167), di falsità nelle dichiarazioni e notificazioni al Garante (articolo 168) e di inosservanza dei provvedimenti del Garante (articolo 170). Per la cassazione, tra l'altro, la responsabilità delle imprese per i reati di privacy risulta invece di grande impatto, soprattutto per la configurazione della responsabilità da reato degli enti per l'illecito trattamento dei dati, violazione potenzialmente in grado di interessare l'intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del dlgs 231/2001.

In sostanza se il soggetto in posizione apicale o un dipendente di una società trattano dati senza il consenso (ricorrendo gli altri elementi previsti dall'articolo 167 del codice della privacy), a pagare sarà anche la società.

Lo stesso vale per l'ipotesi in cui si siano inviate al garante notificazioni inveritiere o informazioni false, così come nel caso si sia omesso di osservare provvedimenti del garante: a pagare è sia la persona fisica autore dell'illecito sia l'ente cui la stessa appartiene.

Le imprese rischiano sanzioni pecuniarie da 100 a 500 quote e cioè da 25.800 a 774.500 euro. Si consideri, infatti, che per l'articolo 10 del dlgs 231/2001, l'importo di una quota va da un minimo di euro 258 a un massimo di euro 1.549.

A questo punto le imprese per tutelarsi devono procedere a nuovi adempimenti.

In particolare le imprese devono adeguare al nuovo catalogo di reati presupposto della sanzione amministrativa i modelli organizzativi adottati in osservanza di quanto previsto dal decreto legislativo 231/2001.

La responsabilità delle imprese per i reati commessi nel suo interesse o a suo vantaggio da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale e anche da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; la medesima responsabilità ricorre se i reati presupposto sono commessi da persone sottoposte alla direzione o alla vigilanza.

Si scinde, invece, la responsabilità e l'impresa non subisce conseguenze se i responsabili hanno agito nell'interesse esclusivo proprio o di terzi. Quindi le imprese devono rinnovare i modelli organizzativi e le procedure di vigilanze idonee a prevenire la commissione dei reati all'interno dell'organizzazione. In mancanza si riterrà che le violazioni sono riconducibili a una politica d'impresa e quindi anche l'ente sarà soggetto a sanzioni.

Le sanzioni riguardano, comunque, solo il settore privato, in quanto il dlgs 231/2001 non si applica allo Stato, agli enti pubblici territoriali, agli altri enti pubblici non economici e agli enti che svolgono funzioni di rilievo costituzionale (articolo 1). Inoltre sono escluse sanzioni per le imprese in caso di violazioni delle misure di sicurezza previste dal codice della privacy (articolo 169).

vota