News #37: Sanzione privacy in arrivo per TikTok; quante proposte di legge “digital”​ in UE; intanto la Commissione taglia il budget dei Garanti.

  • PRIVACY

FONDI UE, UN ALTRO NO –  Nonostante la sensibilità collettiva in materia di protezione dei dati personali divenga di giorno in giorno più alta – così come in crescita sono i dati relativi alle violazioni della normativa in materia – la Commissione Europea ha di recente #negato, per la seconda volta, l’approvazione del #budget prospettico presentato da EDPS ed EDPB. A tale atteggiamento di chiusura le Autorità hanno risposto inviando una lettera aperta al Presidente del Parlamento e al Consiglio europeo, nella quale hanno concentrato le loro preoccupazioni tanto in relazione alla tutela dei diritti dei cittadini in materia quanto sulla stessa credibilità del GDPR.

ORA TOCCA A TIKTOK – La DPC, Autorità garante irlandese, ha recentemente presentato ai propri omologhi europei il progetto di decisione relativo alla #indagine sui trattamenti di dati personali dei minori effettuati da TikTok. Come per le precedenti decisioni (ad esempio, Facebook e Instagram) che riguardano colossi mondiali dei social network, anche in questo caso il percorso per giungere ad una valutazione è dovuto passare dalla #Irlanda, dove anche TikTok ha eletto di avere la propria sede UE, ed anche in questo caos sta richiedendo molto tempo per giungere ad un punto fermo. Si deve al contempo notare il cambio di passo che la Commissioner Helen Dixon ha impresso recentemente, dopo le pesanti critiche piovute addosso all’Autorità locale da parte di altri garanti UE.

G7 DELLE AUTORITA’ PRIVACY – Gli scorsi 7 e 8 settembre si è tenuto a Bonn il secondo #appuntamento del “G7” delle Autorità per la protezione dei dati personali. Sotto la presidenza del Commissario Federale tedesco per la protezione dei dati e la libertà di informazione, i Garanti di sette tra i sistemi socio-economici più importanti al mondo (Francia, Germania, Canada, Gran Bretagna, Italia, USA e Giappone) si sono riuniti per discutere di tutte le questioni, tecnologiche e normative, inerenti al “DFFT” (Data Free Flows with Trust). Al centro del dibattito la delicata questione del #trasferimento #internazionale di dati e, soprattutto, l’Intelligenza Artificiale. A tal proposito il Garante italiano – in persona del Vice Presidente Ginevra Cerrina Feroni – ha proposto ai colleghi di definire un codice etico e culturale in materia di IA, al fine di evitare che le nuove tecnologie connesse all’Intelligenza Artificiale possano sfociare in forme di sorveglianza massiva finalizzati a controllare e manipolare il comportamento degli individui.

  • 231

PRESCRIZIONE DEL REATO PRESUPPOSTO – La Suprema Corte di Cassazione ha stabilito (con la recente sentenza n. 30685/2022, consultabile gratuitamente per gli iscritti all’associazione AODV231) che l’intervenuta prescrizione del reato presupposto #non #incide – in alcun modo – sulla cognizione del giudice in ordine alla responsabilità dell’ente che dalla commissione del reato abbia, in ogni caso, tratto un #beneficio o un #vantaggio.

  • MERCATI DIGITALI

DMA E’ LEGGE – Il Consiglio e il Parlamento hanno firmato il Digital Markets Act, che diviene così ufficialmente legge in Unione Europea. I #gatekeepers sono avvisati: il mercato digitale UE dovrà diventare sempre più competitivo ed equilibrato (almeno nelle intenzioni della normativa), grazie a meccanismi di divieti di pratiche scorrette e diritti aumentati per i cittadini.

CYBER RESILIENCE ACT – Lo scorso 15 settembre la Commissione europea ha annunciato di aver presentato una proposta per una nuova legge in materia di #cybersicurezza: il Cyber Resilience Act. Con l’obiettivo di tutelare consumatori ed imprese da prodotti inadeguati, la legge – qualora approvata – introdurrebbe nuovi requisiti di sicurezza informatica per tutti i prodotti con elementi digitali.

MEDIA FREEDOM ACT – Alle altre novità si aggiunge anche la proposta di regolamento della Commissione UE destinata a proteggere #pluralismo e #indipendenza dei media nel territorio dell’Unione: tra le tante previsioni, il #divieto di “spyware” contro i giornalisti. Intanto, dopo un primo tentativo fallito nel 2018, si è avuta notizia di una seconda iterazione – giunta al traguardo – del “Codice Europeo contro la Disinformazione”, che costituisce un laboratorio di “co-regolamentazione” dedicato a toccare differenti settori: oltre a quello dell’informazione-disinformazione, infatti, si occupa ad esempio di hate speech e disciplina pubblicitaria. Approfondisce il tema il Prof. Oreste Pollicino su lavoce.info, qui.

GOOGLE CONDANNATA – Il Tribunale dell’UE ha deciso: Google condannata a pagare (poco più di) 4 milioni di euro. La decisione chiude un capitolo apertosi nel 2018, quando  la Commissione ha sanzionato la società per #abuso di #posizione #dominante nei confronti di aziende concorrenti, produttrici di dispositivi mobili. Sebbene la recente decisione sia leggermente più favorevole dal punto di vista economico (la sanzione viene infatti “scontata” per circa 200 mila euro) resta ferma la delusione del colosso di Mountain View, che sperava di veder chiusa la questione con l’annullamento totale della sentenza.

  • NEWS DAL MONDO

USA – In occasione del forum pubblico per la sorveglianza commerciale e la sicurezza dei dati – indetto dall Federal Trade Commission e tenutosi lo scorso 8 settembre – l’Electronic Privacy Information Center (EPIC) ha sollecitato la FTC ad adottare una regola in materia di minimizzazione dei dati. L’esortazione si è inserita all’interno di un più vasto discorso pronunciato dal Vice Presidente dell’EPIC, Caitriona Fitzgerald, che ha sostanzialmente manifestato le proprie considerazioni in merito al preoccupante “stato di salute” del sistema privacy statunitense.

ALBANIA/MALTA – L’Ufficio albanese del Commissario per l’informazione e la protezione dei dati (IDP) ha annunciato la firma di un accordo di cooperazione con l’omologo maltese. Scopo dell’accordo, approfondire la conoscenza reciproca e gettare le basi per una migliore collaborazione anche dal punto di vista dello scambio di informazioni.

TANZANIA – La proposta di legge privacy locale è stata sottoposta al Parlamento per approvazione: in caso di successo, proteggerà gli utenti dei servizi di comunicazione online, fatti oggetto dal testo normativo di particolari garanzie e tutele.

SPAGNA – L’AEPD (autorità locale) ha lanciato lo scorso 14 settembre un tool di valutazione del rischio derivante dal trattamento di dati personali, in lingua spagnola: tramite esso, i titolari potranno anche misurare la necessità di effettuare DPIA e assumere misure di contenimento e sicurezza adeguate. Maggiori informazioni qui.

INDONESIA – Anche il paese del sud-est asiatico si avvicina all’approvazione di una normativa locale in materia di data protection (il “PDP Bill”) che al momento risulta approvata dalla Camera dei Rappresentanti con alcune modifiche del Ministro della Comunicazione. Se ne attende ora l’avanzamento in plenaria e la successiva ratifica in legge.

News #36: il Garante boccia l’Ecosistema dei Dati Sanitari; multa salata per Instagram; battaglia (persa) in Giappone per il marchio Gucci.

  • PRIVACY

ECOSISTEMA DATI SANITARI – Il Garante ha recentemente bocciato lo schema di decreto – proposto congiuntamente da Ministero della salute e Ministero per l’innovazione tecnologica e digitale – che include la realizzazione di una nuova banca dati denominata “EDS” (Ecosistema Dati Sanitari). Essa, prevista dalla riforma del Fascicolo Sanitario Elettronico, comporterebbe infatti la #duplicazione di tutti i dati già presenti nel FSE, finendo così per diventare la più grande banca dati di informazioni sanitarie mai creata in Italia. Proprio in virtù delle tipologie di dati coinvolti e del numero di soggetti interessati (si tratterebbe by default di un trattamento sistematico su larga scala) il Garante si è dimostrato molto scrupoloso: ben venga insomma introdurre nuovi strumenti in grado di agevolare lo sviluppo dei servizi sanitari, se nel costante rispetto dei diritti fondamentali delle persone.

CORTE DEI CONTI SOTTO ATTACCO? – Anche la Corte dei Conti pare essere finita nel mirino degli hacker. Secondo alcune indiscrezioni, diversi giudici sono stati raggiunti da un messaggio tramite l’app WhatsApp, apparentemente proveniente dal numero di un collega. Il messaggio, che aveva l’aria di una innocua catena di Sant’Antonio, si è in realtà rivelata invece un’operazione di #phishing, che ha consentito ai cybercriminali di accedere a tutto quanto contenuto nei cellulari dei giudici della Corte. Dopo un’attenta bonifica dei cellulari colpiti dall’attacco, tutto è tornato sotto controllo. Resta, tuttavia, un problema di sicurezza: nel caso in cui dei giudici dovessero usare (o continuare ad usare) WhatsApp per le loro comunicazioni professionali, in quanto più celere rispetto allo scambio di e-mail, le loro comunicazioni rimarrebbero potenzialmente esposte ad ulteriori attacchi.

MULTA PER INSTAGRAM – A seguito di un’istruttoria durata oltre due anni, la Commissione irlandese per la protezione dei dati (DPC) ha imposto ad Instagram una #sanzione di ben 405 milioni di euro (la più alta finora imposta ad una società del gruppo Meta da parte della DPC) per violazione delle norme europee in materia di protezione dei dati personali dei #minorenni. Secondo le motivazioni del Garante irlandese, riportate da Euractiv, Instagram avrebbe consentito a utenti di età compresa tra i 13 ed i 17 anni di aprire e gestire account aziendali, con la conseguenza che i dati personali di minori sono stati resi pubblici, senza che gli stessi ne fossero effettivamente consapevoli.

LE RISORSE DEI GARANTI UE – L’EDPB ha pubblicato ieri, 5 settembre, una “overview” delle risorse di cui ciascuna Autorità nazionale è dotata, sia dal punto di vista economico che di personale a disposizione. Alcuni #spunti interessanti: (i) un tendenziale, seppur minimo incremento dei budget economici a disposizione delle Autorità tra il 2020 e il 2022; (ii) questi budget sono considerati dal 77% delle Autorità come #insufficienti – con la sorprendente eccezione del Garante nostrano; (iii) anche le risorse umane a disposizione tendono all’incremento, non venendo però considerate adeguate alle numerose attività in corso (ad esempio, per l’Italia, lo staff previsto è di 200 persone, a fronte di 139 operatori attualmente presenti). Nel paper sono riportati anche i grafici comparativi dei dati presenti, insieme ad altri spunti molto interessanti.

  • 231

FATTURE INESISTENTI – In materia di dichiarazione fraudolenta mediante fatture per operazioni inesistenti è necessario provare la fittizietà del soggetto formalmente emittente, nel caso in cui si tratti di una società appartenente al Gruppo. È quanto stabilito dalla Corte di Cassazione lo scorso 5 settembre, con la pronuncia delle #sentenze (consultabili gratuitamente per gli iscritti all’associazione AODV231)  n. 32505, n. 32506 e n. 32507. Secondo i giudici di Piazza Cavour, l’eterodirezione da parte della capogruppo non è un elemento di per sé sufficiente per sostenere la fittizietà della controllata e, di conseguenza, qualificare come inesistenti le fatture emesse da quest’ultima.

BANCA DATI ANTIRICICLAGGIO – Uno schema di legge proposto dal Ministero dell’economia e delle finanze (MEF) si propone di aggiornare la legge antiriciclaggio con l’introduzione di un articolo 34-bis istituendo una banca dati informatica centralizzata, previo parere dell’Autorità Garante per la protezione dei dati. Ne riporta diffusamente Maurizio Arena nella sua newsletter n. 14, qui.

  • MERCATI DIGITALI

GUCCI vs CUGGL – Gucci e CUGGL come Davide e Golia. La storica casa di moda italiana perde una importantissima #battaglia contro una piccola (e finora) poco conosciuta start-up giapponese. A scatenare il caso, la comparsa sul mercato di una t-shirt dove una scritta viene oscurata da una striscia di vernice che, in concreto, non permette di distinguere se il testo riporti la scritta “GUCCI” o “CUGGL”. A decidere le sorti dello scontro è stato l’Ufficio brevetti giapponese (JPO), il quale ha #respinto l’opposizione al marchio proveniente dalla maison fiorentina. Le probabilità che un consumatore si confonda e scambi le t-shirt a marchio CUGGL per autentiche Gucci sono, a detta del JPO, davvero molto basse. Vedere questo articolo e la foto qui di seguito per credere (e valutare).

LEGA VS. FACEBOOK – Nel nuovo millennio, si sa, le battaglie elettorali si combattono sui social. Ma c’è chi fa di più, decidendo di combattere addirittura “contro i social”. Un gruppo di parlamentari della Lega ha infatti deciso di presentare un esposto ad #AGCOM (Autorità per le garanzie nelle comunicazioni) contro Facebook. Il motivo, presentato a supporto dell’esposto, è il seguente: il social avrebbe, del tutto arbitrariamente, reso particolarmente difficoltosa (ed in alcuni casi, addirittura, oscurato) la circolazione dei loro post e contenuti elettorali. Al momento, tuttavia, Meta fa sapere che nessuna problematica è stata riscontrata. 

LA DEFINIZIONE DI “METAVERSO” – Il dizionario Merriam-Webster ha introdotto una definizione di Metaverso, che riportiamo in originale: “a persistent virtual environment that allows access to and interoperability of multiple individual virtuan realities“. Primo utilizzo riportato? #1992.

  • NEWS DAL MONDO

BELGIO – Rinviata davanti alla Corte Europea di Giustizia la controversia sul Transparency and Consent Framework di IAB Europe, utilizzato come standard negli ultimi anni per la gestione dei #cookie. Nei mesi scorsi, lo ricordiamo, l’Autorità belga di protezione dei dati personali aveva sanzionato pesantemente IAB Europe per non conformità alla normativa europea, ponendo in grande difficoltà tutti gli operatori che avevano aderito e implementato lo standard. Ne riporta Luiz Alberto Montezuma in questo post.

GERMANIA – L’ondata generata dalla sentenza “Schrems II” – con cui è venuto meno il Privacy Shield, l’accordo per gli scambi UE-USA di dati personali – pare non essersi ancora fermata. Con una recente decisione, la Camera degli Appalti del Baden-Württemberg ha stabilito che anche il mero accesso dall’estero ai dati personali equivale ad un trasferimento. L’interpretazione – evidentemente estensiva – del concetto è stata possibile a fronte della inesistenza, nel corpo del Regolamento UE 2016/679, di una definizione di “trasferimento”.

UK – L’Autorità per la protezione dei dati inglese (ICO) ha recentemente pubblicato una bozza di guida sulle tecnologie per il miglioramento della privacy (PETs) con l’obiettivo di aiutare le organizzazioni a sfruttare il potenziale dei dati mediante un approccio basato sulla privacy by design (dunque, protezione dei dati sin dalla fase della progettazione).

SPAGNA – Il Garante spagnolo (AEPD) ha pubblicato, lo scorso 6 settembre, una guida per tutti coloro che andranno a ricoprire, nei centri educativi, il ruolo di Coordinatore per il benessere e la protezione degli studenti – nuova figura introdotta dalla Legge organica n.8/2021 per la protezione dei bambini e degli adolescenti contro la violenza. Tra le funzioni proprie del Coordinatore, promuovere la comunicazione immediata tra centro educativo e Agenzia, in tutte quelle situazioni che possono verosimilmente comportare un trattamento illecito dei dati personali dei minori. L’AEPD, nella battaglia per la protezione dei minori, ha  anche messo a disposizione un canale prioritario per la segnalazione di materiale pornografico o violento su internet, di cui si richiede l’immediata rimozione.

USA – Proseguono gli studi legislativi verso il mondo digitale, questa settimana con importanti aggiornamenti dalla Federal Trade Commission che ha pubblicato una proposta di legge, e poi ora attende dagli stakeholder commenti entro il 21 ottobre prossimo.

News #32: i chiarimenti di INL sulla Trasparenza; data breach per Twilio; nuovi incentivi per la gestione dei rifiuti elettronici in azienda.

  • PRIVACY

D. LGS. TRASPARENZA – L’Ispettorato Nazionale Lavoro (“INL”) ha emanato una circolare, d’intesa con il Ministero del Lavoro, che contiene le “prime indicazioni di carattere operativo” sulla interpretazione di alcuni passaggi dell’ormai famoso D.Lgs. 104/2022, che è entrato in vigore lo scorso 13 agosto. Tra i numerosi spunti – tutti da verificare nella pratica – rileva la possibilità di avvalersi del “mezzo elettronico” per tutte le comunicazioni da effettuare a favore dei lavoratori (informative, istruzioni, ecc.). In relazione alla norma ed ai “nuovi” adempimenti privacy introdotti, segnaliamo poi l’interessante spunto di analisi offerto da Antonio Ciccia Messina su LinkedIn, qui.

UE-GIAPPONE – L’EDPS (European Data Protection Supervisor) ha annunciato di aver emesso un parere circa la possibilità che, nell’esecuzione di un partenariato UE-Giappone, vengano trasferiti anche flussi di dati personali. Sebbene il Giappone sia già dal 2019 considerato un “paese adeguato”, l’EDPS ha espresso il suo parere in termini di necessità di ulteriori e specifici negoziati. In particolare, l’obiettivo sarebbe quello di prevedere – seppur limitatamente a casi espressamente giustificati – l’adozione di misure che comportino la conservazione dei dati nell’ambito dell’UE o, comunque, dello Spazio Economico Europeo (SEE).

CNIL VS. CRITEO – Sebbene non sia ancora stata comminata alcuna sanzione definitiva, la notizia è già diventata virale: il CNIL avrebbe in serbo per il colosso Criteo una sanzione di ben 65 milioni di dollari. L’accusa sarebbe quella di aver violato il GDPR e, più nello specifico, di aver effettuato attività di tracciamento e profilazione in mancanza di una base giuridica valida. Nei giorni scorsi l’Autorità francese – così come prescritto dalla normativa vigente – ha informato Criteo dell’andamento della denuncia a proprio carico. Rimaniamo ora in attesa della definitiva decisione sul caso.

DATA BREACH IN TWILIO – Il sito ufficiale del fornitore di servizi di comunicazione con base USA (SMS automation in particolare) ha rilasciato una news sul proprio blog in cui riporta di aver subito un “social engineering attack” che ha compromesso dati di dipendenti e clienti, scoperto in data 4 agosto. I clienti coinvolti hanno ricevuto una e-mail di alert con una serie di istruzioni e chiarimenti ulteriori.

  • D.LGS. 231

ANTICORRUZIONE – L’Autorità Anticorruzione italiana (ANAC) ha recentemente lanciato un nuovo portale per fornire ai cittadini degli indicatori “oggettivi” al fine di valutare l’intensità del rischio di verificazione di eventi corruttivi. Attraverso il portale – denominato “Misura le corruzione” – l’utente potrà valutare il rischio di ciascuna città o provincia italiana. Tre le macro aree tematiche individuate: indicatori di contesto, rischio corruttivo negli appalti e rischi a livello comunale.

AMBIENTE E RIFIUTI DIGITALI – Pubblicato di recente in Gazzetta Ufficiale il Decreto del Ministero della Transizione Ecologica che mira ad incentivare l’introduzione volontaria dei sistemi certificati di gestione ambientale disciplinati dal Reg. UE (CE) 2009/1221. Si prevede un contributo sino a 15 mila euro per consulenza e attività di certificazione, qualora non si disponga ancora di tali sistemi di gestione.

  • MERCATI DIGITALI

MEDIASET VS. VIMEO – Notizie di stampa riportano che anche il giudizio di appello nella controversia in materia di copyright tra il colosso italiano e la piattaforma Vimeo è andato a favore della prima: confermata la sanzione da 8,5 milioni di euro per violazione dei diritti d’autore su migliaia di filmati tratti da programmi televisivi della media company. La decisione si innesta in un solco già ampiamente tracciato a livello europeo.

GOOGLE E LA TRASPARENZA – Sarà lanciata a breve anche in Italia la funzione “Informazioni su questo risultato”, con cui la big di Mountain View punta a rafforzare la sua “operazione trasparenza” chiarendo all’utente le ragioni per cui vengono mostrati certi risultati nella ricerca sul web. Si segnala, in proposito, anche una e-mail inviata da Google ai propri utenti non paganti (account free) in cui viene ricordato che i servizi offerti sono gratuiti propri grazie alla pubblicità con cui la big tech si finanzia.

WHATSAPP E LA PRIVACY – Con un annuncio tramite Facebook, Mark Zuckerberg ha dichiarato l’arrivo di nuove funzioni “privacy” all’interno del popolare sistema di messaggistica immediata, tra cui il divieto di effettuare screenshot delle chat istantanee e la possibilità di uscire “silenziosamente” dai gruppi.

MUSK-TWITTER – Elon Musk ha venduto azioni di Tesla per un ammontare complessivo di quasi 7 miliardi di dollari. Secondo indiscrezioni, la decisione sarebbe strettamente correlata al caso Twitter: temendo un eventuale giudizio contrario nella causa contro il social network, Musk starebbe cominciando a trovare i fondi necessari per l’acquisto dello stesso, nel caso in cui gli esiti dovessero rivelarsi per lui sfavorevoli.

  • NEWS DAL MONDO

RUSSIA – Il prossimo 1 settembre entreranno in vigore in Russia nuove disposizioni in materia di trattamento di dati personali. Lo scorso 11 agosto il Roskomnadzor, Servizio federale per la supervisione delle comunicazioni, della tecnologia, dell’informazione e delle comunicazioni, ha reso disponibile una sintesi delle imminenti modifiche legislative. Tra le nuove previsioni, l’obbligo di comunicazione di fughe di dati e la previsione di pene più severe in caso di trattamento illegale, da considerarsi come vero e proprio “atto criminale”.

FRANCIA – L’Autorità garante per la protezione dei dati francese (CNIL) ha recentemente pubblicato degli strumenti didattici indirizzati al settore sportivo non agonistico, finalizzati a garantire il rispetto della normativa privacy dettata dal GDPR. Tra gli obiettivi dichiarati dell’Autorità, quello di fornire i medesimi strumenti anche per il settore professionistico.

BANGLADESH – Il Dipartimento delle tecnologie, dell’informazione e della comunicazione bengalese ha emanato un progetto di legge in materia di protezione dei dati, il cui ambito di applicazione territoriale si espanderà anche oltre i confini del Bangladesh. Come specificamente dichiarato nel corpo della bozza, la normativa non si applicherà al trattamento di dati anonimi, crittografati e pseudonimizzati.

AUSTRALIA – Sono al vaglio del governo locale le ipotesi di riforma del “Privacy Act 1988”, nell’ottica di tenere in considerazione la legislazione europea (GDPR in particolare) come standard di trasparenza ed efficacia a cui ispirarsi: l’OIAC, commissioner locale simile alle nostre autorità garanti, ha espresso un dettagliato parere in proposito.

SINGAPORE – L’autorità locale per la trasparenza monetaria (MAS) ha pubblicato un paper sull’analisi del rischio operazionale delle terze parti, all’esito di una approfondita ispezione di diverse banche aventi sede nel territorio. Interessanti i controlli e le indicazioni di governance formulate, specifiche per il settore bancario.

News #31: la Corte UE “estende”​ i dati sensibili; sciarpe “smart”​ allo stadio; nel patteggiamento 231 l’ente non paga le spese processuali.

  • PRIVACY

MATOMO, GA4 E I LORO FRATELLI – Mentre i dubbi continuano riguardo a Google Analytics 4 e alla sua (improbabile, a quanto pare) conformità al GDPR, salvo cambiamenti, emergono informazioni interessanti sui suoi competitor. Tra di essi Matomo, che – avendo avuto grande esposizione mediatica – sta venendo analizzato con sempre maggiore attenzione, e che presenta anch’esso potenziali profili di rischio a seguito del (dichiarato) utilizzo di soluzioni cloud offerte da Amazon Web Services (tramite la controllata neozelandese), in particolare per l’offerta di strumenti di CDN.

LA CGUE INTERPRETA I DATI PARTICOLARI – Una recentissima decisione dell’alta Corte UE (C-184/20) riguardo ad un caso lituano sembra aver aperto la strada per una interpretazione molto ampia di cosa costituisca un “dato particolare” ai sensi del GDPR. In particolare, la decisione ha ad oggetto i cosiddetti “dati inferiti”, cioè quelli derivati da altri dati personali: anche il dato derivato, insomma, è “particolare” se rivela – come nel caso di specie – un orientamento sessuale (o rientra comunque nella casistica di cui all’art. 9 GDPR). Tempi duri per servizi online come quelli di dating, di salute, o di pubblicità su temi “sensibili”?

BLOCKCHAIN VS. GDPR – Un report pubblicato da Bloomberg pone dei seri – e molto interessanti – quesiti sulla convivenza tra i diritti esercitabili in base alla normativa europea e la sostanziale “eternità” delle informazioni immagazzinate attraverso la blockchain, soprattutto riguardo a diritti di rettifica e “oblio”. Non solo: l’incertezza legale può arrivare a riguardare anche il concetto di “dati crittografati”, che con la blockchain rende complesso concedere uno dei diritti fondamentali, quello di accesso.

SCIARPA SMART – Ha fatto notizia l’avvio di una fase di test della “smart scarf” da parte del team inglese del Manchester City, che raccoglie dati utilizzando una serie di sensori a contatto con il collo e le spalle del tifoso che la indossa. Molto interessante come il club abbia rilevato i momenti di maggior interesse, emozione e coinvolgimento dei tifosi oggetto del pilota, lungo il corso dei 90 minuti di partita, tra cui il battito cardiaco e la temperatura corporea.

  • D. LGS. 231

PATTEGGIAMENTO – Con una recentissima sentenza (n. 30610 dello scorso 3 agosto, consultabile gratuitamente per gli iscritti all’associazione AODV231) la Suprema Corte di Cassazione ha stabilito che, in caso di patteggiamento, l’ente non può essere condannato al pagamento delle spese processuali. Secondo l’orientamento dei giudici di Piazza Cavour, infatti, l’istituto della applicazione della pena previsto per le persone giuridiche non è perfettamente sovrapponibile a quello previsto per le persone fisiche (che non prevede il beneficio dell’esenzione dalle spese).

WHISTLEBLOWING –  Lo scorso 2 agosto la Camera dei Deputati ha approvato in via definitiva il Disegno di Legge recante la delega al Governo per poter – finalmente – recepire anche all’interno del nostro ordinamento la Direttiva UE 2019/1937 (cd. Direttiva Whistleblowing). La Direttiva, come è ormai noto, avrebbe dovuto essere recepita in tutti gli Stati Membri entro il 21 dicembre dello scorso anno, tuttavia moltissimi sono stati i Paesi che – proprio come l’Italia –  non hanno provveduto nei termini stabiliti. Aggiunto il tassello del voto della Camera, non ci resta che aspettare il Decreto Legislativo dell’Esecutivo.

MALVERSAZIONE – Ai fini della sussistenza del reato di malversazione (di cui all’art.316-bis c.p.) non è necessario che il finanziamento sia erogato dallo Stato, essendo sufficiente che il denaro sia concesso in presenza di una garanzia pubblica. A stabilirlo è la Cassazione (con la sentenza  n. 28416 dello scorso 19 luglio).

RAPPRESENTANZA PROCESSUALE DELL’ENTE –  La Corte di Cassazione ha recentemente stabilito (con la sentenza n. 28963) che gli amministratori indagati o imputati per il reato-presupposto non possono rappresentare l’ente in giudizio. A fondamento di tale decisione, la Corte ribadisce il tenore dell’articolo 39 del Decreto 231, secondo il quale l’ente non può partecipare al procedimento per il tramite del proprio rappresentante, nel caso in cui questi risulti coinvolto in prima persona nello stesso. Una tale inderogabile previsione è necessaria per assicurare e garantire pienamente il diritto di difesa della persona giuridica.

  • MERCATI DIGITALI

YOUTUBE-AGCOM – L’Autorità per le garanzie nelle comunicazioni ha recentemente sanzionato Youtube (di proprietà di Google) per ben 750 mila euro. Alla base del provvedimento la diffusione, da parte della piattaforma, di pubblicità del gioco d’azzardo, comportamento vietato dall’art. 9 del Decreto Dignità (D.L. 87/2018).

AMAZON COMPRA ROOMBA – Il colosso di Jeff Bezos ha annunciato di aver acquisito la casa produttrice di iRobot, l’aspirapolvere auto-gestito tra i più diffusi nel mondo, così rafforzando la sua posizione di fornitore di beni, oltre che di servizi. Non va dimenticato, tra l’altro, che il Roomba mappa la geometria di casa per fornire il miglior servizio, conoscendo così – di fatto – dove e come viviamo.. al centimetro.

PROCESSO PENALE TELEMATICO – Il Consiglio dei Ministri ha approvato il Decreto Legislativo che dà il via alle tecnologie informatiche nel settore penale, intervenendo ad esempio su notificazioni per via telematica e trasmissione dei fascicoli tra gli uffici giudiziari, evitando così che tali adempimenti impieghino mesi o anni, come oggi.

  • NEWS DAL MONDO

RUSSIA – Anche WhatsApp finisce nel mirino del Roskomnadzor, il Servizio federale per la supervisione delle comunicazioni, delle tecnologie, dell’informazione e dei mass media. Così come era successo ad altri big del settore digitale, anche WhatsApp viene sanzionato per non aver conservato all’interno del territorio federale russo una copia della documentazione attestante che il trattamento dei dati dei cittadini russi fosse avvenuto sul territorio dello stato.

REPUBBLICA CECA – L’UOOU (Ufficio per la protezione dei dati personali ceco) ha inflitto, lo scorso 1 agosto, una pesante ammenda nei confronti del Ministero dell’Interno locale per violazione della “Legge sulla polizia” nazionale. In particolare, è stato sanzionato il trattamento di dati sanitari (e, dunque, particolari) caricati dai cittadini su una app dedicata alla quarantena.

BASSA SASSONIA – L’Autorità garante della Bassa Sassonia ha recentemente inflitto una salata sanzione (per ben 900 mila euro) a un istituto di credito per aver trattato dati personali senza avere a supporto una base giuridica sufficiente. In particolare, l’ente sanzionato avrebbe tratto dati personali – addirittura anche di ex clienti – senza consenso, sulla sola base dell’insufficiente legittimo interesse.

INDIA – A seguito di una mozione alla Camera bassa, riporta Data Guidance, il Governo locale ha cancellato il “data protection bill” del 2019, mentre è in corso di diffusione per pubblica consultazione la nuova norma che lo andrà a sostituire.

Organismo di Vigilanza: compiti, requisiti e responsabilità

L’organismo di vigilanza è un organo introdotto nel nostro ordinamento dal D. Lgs. 231/ 2001– che lo scorso 8 giugno ha compiuto 21 anni, diventando così maggiorenne in tutti gli stati del mondo – istituito al fine di vigilare sulla corretta applicazione del modello di organizzazione, gestione e controllo (cd. MOGC) e dei protocolli in esso previsti, in tutti quei casi in cui gli operatori imprenditoriali decidano di dotarsene.

È importante ricordare, infatti, che l’adozione del modello di organizzazione e gestione e la correlata istituzione di un organismo di vigilanza (anche “OdV”) sono rimesse alla facoltà di ciascuna entità produttiva; il legislatore lascia dunque loro piena libertà di decidere se equipaggiarsi o meno di questi strumenti di compliance.

L’OdV riveste nel panorama aziendale un ruolo centrale ed insostituibile: soltanto laddove questo funzioni in maniera corretta – attraverso una scrupolosa attività di vigilanza sull’osservazione del modello e di aggiornamento dello stesso, ove necessario – la società che lo ha nominato sarà in grado di ottenere l’esimente prevista dall’art. 6 del Decreto 231 in relazione ai reati-presupposto commessi da soggetti operanti al suo interno.

Cosa ci dice l’articolo 6

L’art. 6 comma 1, lettere b) e d) del D. Lgs 231/2001 stabilisce che l’ente può essere esonerato dalla responsabilità conseguente alla commissione di illeciti da parte di un dipendente – apicale o sottoposto – se:

  • prova che “il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” e
  • non vi è stata omessa o insufficiente vigilanza da parte dell’organismo”.

Già dai primi articoli il Decreto esprime in maniera chiara ed evidente la necessità che il modello, una volta adottato, non rimanga relegato allo stato di mero adempimento formale.

La corretta attuazione del MOGC passa, come è evidente, inevitabilmente attraverso una costante attività di controllo e vigilanza dei protocolli e delle procedure in esso previste, nonché di adeguamento laddove le stesso dovessero risultare in corso d’opera inadeguate al perseguimento degli obiettivi di tutela fissati dalla normativa 231.

Affinché tali attività vengano svolte nel migliore dei modi dall’OdV, la legge richiede la sussistenza nei suoi (o nel suo, a seconda dei casi) membri di particolari requisiti.

Composizione: monocratica o collegiale?

La legge non fornisce precise indicazioni per quanto concerne la composizione dell’OdV; agli operatori del settore è dunque demandata la scelta di optare tra un organismo monocratico o collegiale.

Sebbene la scelta sia sostanzialmente libera, è prassi consolidata quella di optare per un organismo collegiale (formato da componenti interni o esterni all’ente), soprattutto nelle strutture aziendali di grandi dimensioni e maggiormente articolate.

In questi casi, se l’ente ha natura di società di capitali, l’art. 6 del Decreto 231 comma 4 bis, il ruolo di OdV può essere ricoperto dal collegio sindacale, dal consiglio di sorveglianza e dal comitato per il controllo della gestione.

La scelta deve, in altre parole, sempre rispecchiare la complessità delle attività che l’organismo è chiamato a gestire: se optare per un Organismo di Vigilanza monocratico risulterebbe delicato e foriero di problematiche per una multinazionale, potrebbe certamente essere la soluzione ottimale per una piccola impresa in cui l’organizzazione interna non è particolarmente strutturata.

Proprio per tali ragioni, l’art. 6 comma 4 prevede la possibilità che nelle piccole imprese sia addirittura lo stesso organo dirigente a ricoprire il ruolo di OdV.

Requisiti

In considerazione delle delicate funzioni che la legge demanda alla competenza dell’Organismo di Vigilanza, si richiedere che i suoi membri siano dotati di particolari requisiti, elaborati dalla giurisprudenza sulla base di quanto espresso nel decreto 231.

Autonomia e indipendenza: la posizione dell’organismo di vigilanza deve essere tale da garantire un’azione di controllo autonoma, ossia svincolata da ogni forma di condizionamento proveniente da componenti dell’ente, in particolare dall’organo dirigente (che, al contrario, è uno dei soggetti controllati).

L’organismo deve inoltre essere personalmente ed economicamente indipendente: non deve cioè versare in condizioni di conflitto di interesse, nemmeno potenziali.

È chiaro che, quanto più l’organismo sia composto da soggetti estranei all’organizzazione, tanto maggiore sarà il suo grado di autonomia ed indipendenza globale.

A livello giurisprudenziale si è poi consolidata una posizione per cui, perché possa parlarsi di autonomia ed indipendenza dell’organismo deputato alla vigilanza del modello 231, non debba sussistere alcun tipo di sovrapposizione tra soggetto controllato e organo controllante.

Tale principio è stato messo nero su bianco anche nelle sentenze che hanno definito il caso (tragicamente famoso) dell’incidente avvenuto nello stabilimento torinese delle acciaierie Thyssenkrupp.

Professionalità: tale requisito, (elaborato da Tribunale di Napoli con sentenza del 26 giugno 2007) richiede che l’OdV sia dotato di specifiche competenze e conoscenze tecniche idonee a garantire un controllo adeguato.

Visti gli evidenti punti di contatto della normativa 231 con elementi di diritto penale, uno dei componenti dell’OdV dovrebbe preferibilmente essere un esperto della materia.

• Continuità di azione: l’OdV deve essere strutturato in maniera tale da garantire una attività di controllo costante e continuata, tale da garantire modifiche puntuali al modello ogni qual volta ciò risulti necessario in relazione a quello che è lo sviluppo della realtà aziendale che il modello è chiamato a regolare.

Compiti e responsabilità

I poteri, i compiti e le responsabilità affidati dalla normativa vigente alle cure dell’OdV sono tutti indirizzati alla prevenzione della commissione di reatipresupposto da parte dell’organizzazione che lo ha nominato e si sostanziano essenzialmente in attività tipo consultivo, proposito e di impulso, tra cui (a titolo esemplificativo e non esaustivo):

  • vigliare sulla corretta applicazione del modello;
  • curare l’aggiornamento e l’implementazione dello stesso, ove necessario;
  • verificare la diffusione del modello in ambito aziendale;
  • analizzare i flussi informativi;
  • svolgere audit.

_________________

Immagine di Agence Olloweb ottenuta grazie a Unsplash

Non adottare il modello 231 è sinonimo di responsabilità per l’ente? La Cassazione risponde

Il modello di organizzazione e gestione (cd. MOG) previsto dal D. Lgs. 231/2001 è un importantissimo strumento di compliance aziendale, costituito da un insieme di protocolli che, se adottati dall’azienda e correttamente applicati, consentono di ridurre sensibilmente il rischio che i soggetti aziendali – apicali e/o sottoposti – commettano, nell’interesse o a beneficio dell’azienda stessa, illeciti penali.

Se, tuttavia, a fronte di una corretta predisposizione e attuazione del modello, un soggetto operante in ambito aziendale dovesse finire per commettere comunque uno degli illeciti (cd. reati-presupposto) indicati dal Decreto 231, il modello finirebbe allora per assolvere ad un’altra sua importantissima funzione tipica: quella cioè di esimere l’azienda dalla responsabilità amministrativa conseguente alla realizzazione del reato.

Appare allora chiaro che il modello risulta effettivamente efficace soltanto laddove scrupolosamente costruito – in seguito ad una precisa individuazione delle possibili aree di rischio relative alle attività aziendali – e applicato con coerenza e diligenza, non producendo alcun effetto benefico (né in termini di prevenzione di reati né in termini di esimente per la stessa azienda) nel caso in cui lo stesso dovesse rimanere relegato allo stadio di mero adempimento formale.

Se dunque la “nuda e cruda” adozione del modello non è di per sé sufficiente a fondare una legittima causa di esclusione di responsabilità per l’ente, è invece possibile affermare che la mancata adozione dello stesso possa fondare, sic et simpliciter, la responsabilità dello stesso?

Con una recentissima sentenza, la Cassazione scioglie il nostro dubbio.

Il fatto e le decisioni di merito

Il 14 aprile 2011 una donna rimaneva ferita ad una mano durante lo svolgimento della sua attività lavorativa, a causa di un incidente avvenuto durante l’interazione con un macchinario aziendale.

Con sentenza dell’11 gennaio 2021, la Corte di Appello di Venezia confermava la decisione del Tribunale di Vicenza, ascrivendo in capo all’ente una responsabilità amministrativa di cui al Decreto 231 in relazione all’art. 25-septies comma 3, in seguito alla riconosciuta responsabilità dei soggetti apicali in ordine alla commissione del reato-presupposto di lesioni personali colpose (art. 590, comma 3 c.p.), aggravato dalla violazione di norme prevenzionistiche.

I motivi della Corte veneziana erano sostanzialmente i seguenti:

  • l’azienda non si era opportunamente dotata di un modello corredato da apposite previsioni in materia di sicurezza sul lavoro;
  • il vantaggio conseguito dall’azienda si sostanziava nel risparmio si spesa in termini di tempo lavorativo da dedicare alla sua predisposizione ed attuazione;
  • l’azienda, non essendosi dotata di un modello, non aveva di conseguenza previsto un organismo di vigilanza che potesse monitorare lo stato dei macchinari.

La decisione della Cassazione

Con la sentenza n. 18413 dello scorso 10 maggio (consultabile per gli iscritti all’associazione Aodv), la Suprema Corte accoglie il ricorso dell’azienda, cassando con rinvio la decisione della Corte d’Appello.

Di seguito le perplessità della Corte e i motivi del rigetto.

1.Non appare chiaro il profilo di responsabilità dell’ente

La Corte d’Appello aveva fondato l’affermazione di responsabilità dell’ente sul presupposto della mancata adozione di un modello di organizzazione e gestione e, di conseguenza, sull’assenza di un organo di vigilanza deputato alla verifica dei sistemi di sicurezza dei macchinari.

Tali presupposti sono stati reputati insufficienti dalla Suprema Corte, posto che “la mancanza [del modello], di per sé, non può implicare un automatico addebito di responsabilità”.

2.È necessaria sussistenza di una colpa di organizzazione, con conseguente onere probatorio dell’accusa

Ribadendo alcuni concetti cardine della responsabilità amministrativa delineata dal Decreto 231, la Corte ha ripreso un concetto squisitamente giurisprudenziale (espresso nella sentenza n. 32899/2021 della stessa corte) di cd. colpa di organizzazione, concetto sostanzialmente assimilabile alla colpa della persona fisica autrice di un reato.

Tale colpa di organizzazione, che si concretizza nel dato di fatto di “non aver predisposto un insieme di accorgimenti preventivi idonei ad evitare la commissione di reati del tipo di quello realizzatosi” deve essere provata dall’accusa.

Più nello specifico, è necessario che (i) venga accertata la responsabilità penale della persona fisica che agisce nell’ambito di una organizzazione aziendale e (ii) che vengano individuati dei collegamenti tra il reato stesso e il concreto interesse dell’azienda.

In altri termini, è possibile affermare la responsabilità dell’ente soltanto a condizione che l’elemento finalistico della condotta dell’agente rispecchi unpreciso assetto organizzativo negligente dell’impresa.

La Corte veneziana, tuttavia, non è stata in grado di soffermarsi adeguatamente, nella propria decisione, sulla sostanza di tale colpa di organizzazione.

3.Contraddizioni insite alla sentenza di merito

La Corte, infine, ha ravvisato contraddizioni e discordanze sia di ordine fattuale che, più specificamente, giuridico.

Riguardo alle omissioni e violazioni delle norme prevenzionistiche e di sicurezza negli ambienti di lavoro, la Corte sottolinea che “gli aspetti che riguardano le dotazioni di sicurezza e i controlli riguardanti il macchinario specifico sul quale si è verificato l’infortunio, attengono essenzialmente a profili di responsabilità del soggetto datore di lavoro.

Tali profili, continua la Corte, nulla hanno a che vedere con l’elemento “colpa di organizzazione” : più correttamente, la responsabilità ricade allora esclusivamente sui soggetti apicali autori del reato-presupposto.

In merito alla doglianza inerente alla mancata previsione di un organismo di vigilanza, il giudice di merito ha poi dimostrato di non aver correttamente compreso la previsione di cui all’art. 6 del Decreto 231; questo, infatti, attribuisce all’Organismo di vigilanza il compito di sorvegliare e verificare la funzionalità e l’osservanza dei modelli richiamati dallo stesso articolo, e non di certo lo stato di manutenzione dei macchinari.

***

Restiamo allora in attesa di una nuova pronuncia della Corte territoriale, in cui i principi enunciati dalla giurisprudenza di legittimità dovranno essere calati nel caso concreto.

Vi terremo aggiornati.

___________________________________________

Photo by Tingey Injury Law Firm on Unsplash

Novità 231 dell’ultimo triennio

Nel corso degli ultimi anni il D.lgs. 231/2001 (“Decreto 231”), è stato oggetto di alcuni rilevanti interventi integrativi, dal punto di vista del catalogo dei reati presupposto: nella sua prima versione, infatti, il Decreto 231 contemplava solo disposizioni previste dai trattati e dalle convenzioni di cui la legge di delega costituiva ratifica e attuazione.

Ad oggi, invece, l’elenco delle basi si è ampliato notevolmente, giungendo all’art. “25-duodevicies”, ovvero in italiano il numero “diciotto” (letteralmente “due da venti” dal latino).

L’effetto risultante è quindi quello di aver trasformato oggi il Decreto 231 da disciplina volta a punire i c.d. “corporate crimes” ad una norma di ampio, amplissimo raggio, in cui sono confluiti gli illeciti più diversi.

I reati contro la Pubblica Amministrazione (novità 2019)

Nella sua prima versione, l’art. 25 del Decreto 231 introduceva la responsabilità dell’ente in relazione ai reati di corruzione e concussione commessi da soggetti apicali o in posizione subordinata, nell’interesse o a vantaggio dell’ente.

La legge n. 190/2012 (“Legge Anticorruzione”) ha modificato per la prima volta l’art. 25 del Decreto 231, inserendo nella rubrica della norma anche il reato di “induzione indebita a dare o a promettere utilità” e ha aggiunto la relativa disposizione ai reati presupposto, l’art. 319-quater del Codice penale.

Dalla Legge Anticorruzione è nata l’Autorità Nazionale Anticorruzione (“ANAC”), chiamata a definire a livello nazionale gli obiettivi per lo sviluppo della strategia di prevenzione della corruzione, ai quali devono conformarsi, a livello locale, le singole amministrazioni.

Successivamente, l’art. 25 del Decreto 231 è stato oggetto di un ulteriore intervento ad opera della Legge n. 3/2019 (“Legge spazzacorrotti”), che ha introdotto tra i reati presupposto anche il “traffico di influenze illecite” (art. 346-bis) e ha inasprito le sanzioni interdittive originariamente previste.

Nella prospettiva di conformarsi alle disposizioni innovative contenute nella “Direttiva PIF” (n. 2017/1371), il D. Lgs. 75/2020 ha apportato ulteriori novità al Decreto 231, prevedendo un inasprimento delle pene e un’estensione dell’area di punibilità per alcuni reati quando dalla loro commissione derivi una lesione degli interessi finanziari dell’Unione europea. Si è inoltre introdotta la punibilità a titolo di tentativo, nell’ipotesi di atti compiuti anche nel territorio di un altro Stato membro e finalizzati all’evasione dell’IVA per un valore non inferiore a 10 milioni di Euro. Non meno importante è stato il notevole ampliamento dei reati presupposto in materia di pubbliche forniture, di frode in agricolture e di contrabbando nei casi in cui da essi derivi un danno agli interessi finanziari dell’Unione europea.

Gli interventi legislativi che si sono succeduti nel tempo sono stati ispirati in particolare dall’esigenza di fornire una risposta alle istanze di contrasto alla “mala gestio” provenienti dall’opinione pubblica, e finalizzati a contrastare un fenomeno corruttivo che, a sistema, si rappresentava come sempre più diffuso e contiguo alla criminalità organizzata.

I reati tributari e il recepimento della direttiva PIF (novità 2019)

L’inclusione degli illeciti tributari nell’elenco dei reati presupposto è avvenuta ad opera del Decreto Legge n. 124 del 26 ottobre 2019 (“Decreto Fiscale”), a seguito di due ordini di ragioni: nazionale e sovranazionale.

Dal primo punto di vista, la giurisprudenza iniziava a manifestare l’ipotesi che i reati tributari dovessero comunque essere oggetto di monitoraggio, in quanto rientranti fra i delitti non colposi dai quali l’autoriciclaggio può trarre origine. I reati tributari erano potenzialmente idonei, infatti, a generare la responsabilità dell’ente nella misura in cui rappresentavano presupposto del delitto di associazione a delinquere, frequentemente di natura transnazionale.

Dalla prospettiva sovranazionale, l’Unione europea, con la Direttiva (UE) n. 2017/1371 relativa alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale (“Direttiva PIF”), ha chiesto agli Stati membri di includere nella normativa nazionale (e quindi per noi nel Decreto 231) anche reati che ledono gli interessi dell’Unione europea, tra i quali le c.d. “frodi IVA”.

L’art. 6 della Direttiva PIF, in particolare, imponeva agli Stati membri di adottare le misure necessarie affinché le persone giuridiche possano essere ritenute responsabili dei reati commessi a loro vantaggio da qualsiasi soggetto che detenga una posizione qualificata in seno alla persona giuridica stessa.

La conversione in legge, con modificazioni, del Decreto Fiscale (avvenuta con Legge 157 del 24 dicembre 2019) ha quindi introdotto nel Decreto 231 l’art. 25-quinquiesdecies, includendo tutte le fattispecie tributarie di maggiore gravità, tra le quali, dichiarazioni fraudolente, emissione di fatture false, occultamento o distruzione dei documenti contabili e sottrazione fraudolenta al pagamento delle imposte.

I reati relativi a strumenti di pagamento “cashless” (novità 2021)

Nel solco di attuazione della Direttiva (UE) n.2019/713 relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti, l’art. 1 del D. Lgs. 184/2021, ha introdotto la nozione di strumenti di pagamento “cashless” o, in altri termini, diversi dai contanti.

La tematica ha un perimetro molto vasto e riguarda tutti i mezzi che permettono di gestire flussi monetari in formato elettronico. Sono compresi in questa ottica anche nuovi canali, ad esempio le applicazioni che consentono l’utilizzo di carte elettroniche prepagate, carte carburante, ticket per i pasti.

I reati presupposto introdotti sono relativi ad alcune condotte determinate, contemplate nelle fattispecie di seguito esposte.

In primo luogo, l’art. 493-ter del Codice Penale incrimina la condotta di chi, con la finalità di trarne un profitto, utilizza, non essendone titolare, carte di pagamento o ogni altro strumento di pagamento diverso dai contanti: la disposizione punisce anche chi falsifica o altera gli strumenti di pagamento cashless o possiede, cede o acquisisce strumenti di provenienza illecita o comunque falsificati o alterati.

L’art. 493-quater del Codice Penale incrimina invece la produzione e varie condotte di “trasferimento” che siano volte a procurare per sé o per altri apparecchiature, dispositivi o programmi informatici che, per le proprie caratteristiche tecniche, siano costruiti principalmente per commettere reati riguardanti gli strumenti di pagamento diversi dai contanti. Infine, è rilevante l’art. 640-ter del Codice Penale per l’ipotesi aggravata della frode informatica che realizzi un trasferimento di denaro, di valore monetario o di valuta virtuale.

Infine, è rilevante l’art. 640-ter del Codice Penale per l’ipotesi aggravata della frode informatica che realizzi un trasferimento di denaro, di valore monetario o di valuta virtuale.

I reati “contro i beni culturali” (novità 2022)

Il 22 marzo 2022 è stata pubblicata in Gazzetta Ufficiale la Legge 9 marzo 2022, n. 22 recante le disposizioni in materia di reati contro il patrimonio culturale.

L’intenzione della norma è quella di rafforzare gli strumenti di tutela di categorie di beni di rilevante interesse sociale, artistico e culturale, con l’inserimento di alcuni delitti contro tale patrimonio tra i reati presupposto della responsabilità amministrativa degli enti.

La riforma integra, in particolare, il catalogo dei reati presupposto con l’inserimento di due nuovi articoli: l’articolo 25-septiesdecies in tema, proprio, di delitti contro il patrimonio culturale; e l’art. 25-duodevicies in materia di riciclaggio di beni culturali e devastazione e saccheggio di beni culturali e paesaggistici.

Le disposizioni prevedono l’applicazione all’ente della sanzione pecuniaria da cinquecento a mille quote nel caso in cui l’ente, o una sua unità organizzativa, venga stabilmente utilizzato allo scopo unico o prevalente di consentire o agevolare la commissione di tali delitti; si può applicare, in questo caso, anche la sanzione dell’interdizione dall’esercizio dell’attività, che rientra tra le “sanzioni interdittive” previste dal Decreto 231 e che sono considerate univocamente dalla dottrina fra le più impattanti sull’ente e sulla sua attività economica.

___________________________________________

Photo by Patrick Tomasso on Unsplash

Quadro delle recenti novità in materia di Whistleblowing

Il tema delle segnalazioni interne in materia di illeciti commessi nell’esercizio dell’impresa è di grande rilevanza oggi nel panorama della compliance aziendale, costituendo uno strumento di emersione di comportamenti spesso trascurati o ignorati: la sua normazione genera al contempo rilevanti e spinose questioni di bilanciamento tra l’autonomia dell’esercizio dell’azione economica privata e la protezione degli interessi pubblici, oltre che di privacy e protezione degli individui segnalanti.

Breve panorama del concetto e della normativa italiana di rilievo

Il concetto di “Whistleblower” (letteralmente: “colui che soffia il fischietto”) entra per la prima volta nel linguaggio e nel panorama giuridico italiano con la Legge n. 190/2012, la c.d. “Anticorruzione” che, tramite aggiunta dell’art. 54-bis nel corpo del D.Lgs. 165/2001, introduce nel nostro ordinamento la figura del dipendente pubblico “segnalatore di illeciti”. Qualche anno più tardi la Legge n. 179/2017 va a modificare il D.Lgs. 231/2001, offrendo così anche al settore privato una base giuridica su cui costruire il proprio sistema interno di segnalazione degli illeciti.
Con la Direttiva 1937/2019 l’UE ha, di recente, inteso fissare i punti fondamentali per garantire ai “segnalatori di illeciti” uno standard minimo di tutela in ambito comunitario. Vengono quindi posti in capo ad ogni Stato Membro obblighi e divieti mirati a far adottare , entro il termine del 17 dicembre 2021, un adeguato sistema di segnalazione degli illeciti in grado di proteggere il segnalante da tutte le conseguenze negative che potrebbero insorgere a seguito della sua azione, e ciò tanto per il settore pubblico quanto per quello privato.

I requisiti fissati dalla Direttiva e le prospettive di recepimento

Innanzitutto, anche per il settore privato (a partire da una soglia minima di 50 dipendenti) diviene obbligatorio dotarsi di un sistema di prevenzione degli illeciti conseguenti alla violazione del diritto comunitario.
In questo senso, ciò che per l’Italia rappresenta ancora oggi l’eccezione- ci si riferisce infatti a quegli enti che abbiano volontariamente adottato i modelli di organizzazione previsti dal Decreto 231 e limitatamente ai reati da questo previsti- diverrà quindi (e finalmente) la regola.

Viene poi predisposto un ventaglio più ampio di soggetti che possono godere delle garanzie della Direttiva una volta coinvolti nel “processo di segnalazione”. Superata la dicotomia apicali-sottoposti, si aprono le porte a segnalazioni di soggetti che in modi diversi ed in diversa misura entrano in contatto con l’ente. Basti pensare che, a titolo esemplificativo, può assumere la qualifica di segnalante anche colui che non ha ancora cominciato un rapporto di lavoro con l’ente, perché il processo di selezione è ancora in corso.

Appare qui evidente l’intenzione del legislatore comunitario di assicurarsi che anche le violazioni commesse nelle fasi prodromiche all’instaurazione del rapporto di lavoro non rimangano impunite.

Ai fini della segnalazione, la Direttiva non richiede poi l’effettiva commissione di un illecito- così come previsto dalla L. n. 179/2017 e dal D.Lgs. 231/2001- ma soltanto il sussistere nel denunciante del “ragionevole motivo” di ritenere che le informazioni denunciate rispondano al vero e all’interesse pubblico.

Novità anche per quanto riguarda i canali di segnalazione.

Se il legislatore italiano non entra attualmente nel merito delle scelte operative, limitandosi a richiedere che i canali predisposti siano genericamente idonei a garantire la riservatezza (e non anche l’anonimato) dell’identità del denunciante, il legislatore comunitario si rivela più puntuale, richiedendo la implementazione di canali interni ed esterni all’ente, ai quali si affianca il canale pubblico, c.d. “public disclosure”.

La Direttiva lascia comunque libero il denunciante nella scelta del canale, sebbene incoraggi alle segnalazioni interne, soprattutto nei casi di più semplice risoluzione.

Molto importante anche la questione privacy.

La Direttiva prevede che qualsiasi trattamento di dati personali effettuato in occasione della Direttiva stessa debba svolgersi nel rispetto del Regolamento 2016/679 e della Direttiva 2016/680 (per il trattamento di dati con finalità di polizia).

L’obiettivo è quindi quello di scongiurare quanto più possibile il rischio che la segnalazione diventi l’occasione per una violazione della privacy; inoltre, viene espressamente sancito che non vadano raccolti e trattati dati eccedenti o non pertinenti rispetto ad una specifica segnalazione, e – laddove raccolti o trattati – essi vengano prontamente cancellati.

I ritardi nel recepimento della Direttiva

Benché la legge di delegazione europea n. 53/2021 rechi indicazioni per il recepimento della c.d. “Direttiva Whistleblowing”, l’Italia tutta è ancora in attesa di azioni concrete da parte del Governo.

Se indubbiamente molte sono state le “distrazioni” in questi ultimi due anni, a partire dalla pandemia fino alla questione del Colle, è tuttavia opportuno chiedersi quante e quali di queste siano effettivamente in grado di giustificare l’inerzia dell’Esecutivo su un tema particolarmente sensibile come quello della segnalazione di comportamenti illeciti all’interno delle società di capitali.

Ciò è particolarmente rilevante quando entra in gioco la vita umana, come nel caso tristemente noto della Funivia del Mottarone: è di dominio pubblico, infatti, la notizia per cui un ex dipendente avrebbe subito minacce di licenziamento per aver denunciato, molto tempo prima dell’incidente, problemi tecnici alla cabina poi coinvolta nella strage.

_________________________________________________________

Photo by Geron Dison on Unsplash

La 231 si applica anche alle società unipersonali

Con la recente sentenza n. 45100 del 6 dicembre 2021, la Sesta Sezione penale della Corte di Cassazione ha preso posizione sulla spinosa questione dell’applicabilità alle società unipersonali del D. Lgs. 231/2001.

La Suprema Corte è stata chiamata ad esprimersi su una decisione del Tribunale di Pescara che, a sua volta, si era pronunciato su un caso di corruzione perpetrato da un funzionario comunale.

Discostandosi da quanto deciso dal Gip, che aveva emesso ordinanza di misura cautelare attraverso la quale era vietato a tre S.r.l. di contrattare con la Pubblica Amministrazione, il Giudice di merito annullava la predetta ordinanza, ritenendo che le disposizioni di cui al D. Lgs. 231/2001 non potessero essere applicate alle tre S.r.l. sanzionate proprio in quanto società individuali e, quindi, per loro natura estranee all’ambito applicativo della norma.

La decisione della Corte e la distinzione tra società unipersonale e individuale

La Cassazione, nell’annullare l’ordinanza del Tribunale di Pescara, ha insistito nel differenziare le società unipersonali da quelle individuali, le quali ultime – sole – non potendo essere considerate alla stregua di enti sono da escludersi dall’applicabilità delle disposizioni del D. Lgs. 231/2001.

In particolare, secondo i Giudici della Corte, la società unipersonale incarna invece un soggetto unico e distinto dal suo socio persona fisica, dotata quindi di una personalità autonoma da quella di quest’ultimo: gli Ermellini si occupano tra l’altro di indicare gli specifici requisiti in presenza delle quali la società unipersonale possa rispondere ai sensi del D.  Lgs. 231/2001.

Innanzitutto, la questione non si pone nei casi di società unipersonale partecipata da una società di capitali o di società unipersonali la cui complessità renda evidente l’esistenza di un centro di imputazione di interessi giuridici autonomo e indipendente rispetto a quello facente capo al singolo socio.

La Suprema Corte sottolinea poi che, nell’ambito di realtà di più piccole dimensioni, occorre invece effettuare un accertamento puntuale finalizzato ad individuare se sussistano i requisiti per affermare la responsabilità dell’ente riguardo alla società unipersonale a responsabilità limitata.

Ricadute pratico – operative sull’attività di compliance.

La Corte di Cassazione, alla luce di tutto quanto sopra esposto, ha concluso dunque evidenziando l’esigenza di un accertamento in concreto “del se, in presenza di una società unipersonale a responsabilità limitata, vi siano i presupposti per affermare la responsabilità dell’ente; un accertamento che non è indissolubilmente legato solo a criteri quantitativi, cioè alle dimensioni della impresa, di tipologia della struttura organizzativa della società, quanto, piuttosto, a criteri funzionali, fondati sulla impossibilità di distinguere un interesse dell’ente da quello della persona fisica che lo governa, e, dunque, sulla impossibilità d configurare una colpevolezza normativa dell’ente – di fatto inesigibile – disgiunta da quello dell’unico socio”.

Tale accertamento si basa sulla possibilità – o meno – di distinguere l’interesse dell’ente da quello della persona fisica che se ne occupa: sulla base di ciò si individuerà la configurabilità della colpevolezza normativa dell’ente, disgiunta da quella dell’unico socio.

Determinante sarà il criterio individuato dal D. Lgs. 231/2001, e, in particolare dall’art. 5, in base al quale si distingue tra interesse della Società e interesse della persona fisica. Ne deriva che, qualora si provi che la persona fisica abbia commesso l’illecito nell’interesse esclusivo proprio o di terzi, non vi può essere responsabilità dell’ente.

Secondo quanto stabilito dalla Corte, qualora il reato compiuto dalla persona fisica non sia riconducibile alla persona giuridica in quanto inesistente l’interesse dell’ente, non sarà necessario nemmeno verificare se sussista un vantaggio dello stesso.

Si tratta, quindi, di un’approfondita operazione che richiede un’attenta analisi dell’organizzazione della società, delle attività concretamente poste in essere, delle dimensioni dell’impresa, dei rapporti tra socio unico e società, dell’esistenza di un interesse sociale e del suo effettivo perseguimento.

Da un lato, vanno evitate eventuali violazioni del principio del “ne bis in idem” sostanziale, che si realizzerebbero imputando alla persona fisica un cumulo di sanzioni punitive per lo stesso fatto. D’altra parte, la Cassazione censura quelle situazioni in cui la persona fisica si sottragga alla responsabilità patrimoniale illimitata, costituendo una società unipersonale a responsabilità limitata, ma, al tempo stesso, eviti l’applicazione del D. Lgs. 231/2001, sostenendo di essere un’impresa individuale. Il fenomeno è quello della creazione di persone giuridiche di ridottissime dimensioni allo scopo di frammentare e polverizzare i rischi economici e “normativi”.

Il “caporalato” come reato presupposto ex D.Lgs. 231/2001

Una riflessione sui presidi in grado di prevenire la commissione del reato di “caporalato” e il relativo contenuto (necessario) del Modello di Organizzazione, Controllo e Gestione redatto ai sensi del D. Lgs. 231/2001.

Il caporalato come fenomeno attuale – i “riders”

Ha avuto ampia eco mediatica l’avvio di un’indagine dalla Procura milanese in materia di sicurezza sul lavoro, immigrazione irregolare e casi di caporalato, riguardo all’attività dei c.d. “riders”, quei fattorini che, attraverso società di intermediazione, si occupano di consegnare cibo ovvero altri articoli a domicilio per conto di grandi aziende di distribuzione. 

Come è noto, per caporalato si intendeil fenomeno sociale, sempre più diffuso su tutto il territorio nazionale, dell’intermediazione illecita e sfruttamento del lavoro”. 

Si tratta di una realtà particolarmente diffusa nel settore della produzione agricola e che, spesso, vede il coinvolgimento di associazioni di stampo mafioso, associazioni dedite al traffico di esseri umani ed allo sfruttamento dell’immigrazione clandestina.

Nel contesto di tale indagine, la Sezione misure di prevenzione del Tribunale di Milano ha disposto, tra l’altro, l’amministrazione giudiziaria ex art. 34 del Codice antimafia della filiale italiana dell’Azienda oggetto di indagine, proprio per caporalato.

Ciò che, in questa sede, rileva è che, tra le varie verifiche effettuate dagli inquirenti, vi è stata quella finalizzata ad individuare l’esistenza del modello organizzativo ex D.Lgs. n. 231/2001 e specificamente – ove pure esistente – la sua idoneità a prevenire il reato ipotizzato, ex art. 603-bis c.p.

Si può, dunque, attualmente parlare di caporalato quando vi è una abituale retribuzione dei lavoratori in modo palesemente difforme da quanto previsto dai contratti collettivi nazionali ovvero, in ogni caso, troppo esiguo rispetto alla quantità di lavoro prestato, ovvero il mancato rispetto della normativa relativa all’orario di lavoro o alle ferie o, ancora, della normativa riguardante la sicurezza sul luogo di lavoro, soprattutto nel caso in cui il lavoratore sia costretto a lavorare in situazioni di degrado.

Le modifiche introdotte con la Legge 29 ottobre 2016, n. 199 e il “nuovo” art. 603 bis c.p.

Per inquadrare normativamente la fattispecie, va ricordato che con la Legge 29 ottobre 2016, n. 199, recante «Disposizioni in materia di contrasto ai fenomeni del lavoro nero, dello sfruttamento del lavoro in agricoltura e di riallineamento retributivo nel settore agricolo» sono state introdotte rilevanti novità relativamente alla lotta al caporalato.

Con la suddetta Legge sono state, infatti, inserite garanzie per la tutela della dignità dei lavoratori, in particolare quelli agricoli, attraverso la riformulazione della fattispecie di cui all’ articolo 603-bis c.p.

Inoltre, dato particolarmente rilevante in questa sede, con la Legge n. 199 del 29 ottobre 2016, Il Legislatore inserisce il reato di caporalato nel catalogo dei reati presupposto previsti dal D.Lgs 231/2001.

Il 18 ottobre 2016, con la legge n° 199, è stato completamente riscritto l’art. 603 bis del Codice Penale.

La principale novità consiste nella individuazione, come autore del reato di “caporalato”, anche del datore di lavoro che ponga in essere una condotta di sfruttamento del lavoratore, e non più soltanto dell’intermediario.

In secondo luogo non si fa più riferimento ai requisiti dello stato di necessità del lavoratore ed alla violenza, minaccia o intimidazione, che limitavano i confini dell’elemento oggettivo del reato.

Si può, dunque, attualmente parlare di caporalato quando vi è una abituale retribuzione dei lavoratori in modo palesemente difforme da quanto previsto dai contratti collettivi nazionali ovvero, in ogni caso, troppo esiguo rispetto alla quantità di lavoro prestato, ovvero il mancato rispetto della normativa relativa all’orario di lavoro o alle ferie o, ancora, della normativa riguardante la sicurezza sul luogo di lavoro, soprattutto nel caso in cui il lavoratore sia costretto a lavorare in situazioni di degrado.

Le ricadute pratiche sul modello organizzativo, di gestione e di controllo ex D.Lgs. 231/2001

Il reato di caporalato, nella nuova formulazione dell’articolo 603-bis c.p., rivela, alla luce della disciplina “231” prevista per l’azienda, una stretta correlazione con i contenuti del modello di organizzazione e gestione di cui la stessa dovrebbe dotarsi preventivamente.

Le società – ed in particolare quelle di media e piccola dimensione – sono, pertanto, chiamate a dotarsi di un Modello organizzativo ex D. Lgs. 231/2001, finalizzato ad individuare e prevenire le condotte illecite di cui all’art. 603-bis c.p.

Tra l’altro, il reato di caporalato ben può vedere, nella medesima vicenda criminale, il concorso materiale o formale di alcuni reati già precedentemente considerati presupposto ex D.Lgs. 231/2001 come, ad esempio, il delitto di “Impiego di cittadini di paesi terzi il cui soggiorno è irregolare” (articolo 25-duodecies), che potrebbe concorrere nell’ipotesi in cui l’impresa utilizzatrice occupasse alle proprie dipendenze lavoratori stranieri privi di permesso di soggiorno, sottoponendoli alle condizioni di sfruttamento di cui al 603-bis, ovvero al contestuale concorso del reato di “Omicidio colposo” o “lesioni colpose gravi o gravissime” (articolo 25-septies), qualora si determinasse anche un evento lesivo, oppure la morte del lavoratore straniero privo di permesso di soggiorno, impiegato dall’impresa utilizzatrice in condizioni di sfruttamento. Inoltre, nel quadro criminogeno così dipinto, tutt’altro che inverosimile, il caporalato ben potrebbe configurarsi come uno tra i reati-scopo dei “delitti di criminalità organizzata” di cui all’articolo 24-ter, D. Lgs. 231/2001, commessi anche con i caratteri della transnazionalità, tra cui, “Associazione per delinquere” ed “Associazioni di tipo mafioso anche straniere”.

O, ancora, si pensi alla riduzione o mantenimento in schiavitù o in servitù (600 c.p.), alla tratta di persone (601 c.p.), all’acquisto e alienazione di schiavi (602 c.p.).

Alla luce del quadro dei reati presupposto evidenziati sopra, i processi più delicati saranno, senz’altro:

1) il processo di ricerca, assunzione e inserimento del personale e il processo di gestione dei fornitori: occorre porre attenzione sugli aspetti retributivi, sulle ferie e sui turni di riposo. I lavoratori dovranno essere inquadrati con contratti che rispettino almeno le condizioni di lavoro e il salario minimo dell’ultimo contratto collettivo nazionale CCNL sottoscritto.

2) Il processo di individuazione dei fornitori: nell’ambito degli accordi commerciali con gli stessi, occorrerà esigere la trasmissione di tutta la documentazione che possa risultare utile alla verifica del rispetto della normativa da parte dei partner commerciali, in particolare della clausola relativa all’obbligo di rispettare il Modello Organizzativo ed il proprio Codice Etico.

3) Il processo relativo alla sicurezza sui luoghi di lavoro, soprattutto in merito alla conformità delle procedure previste dal Modello rispetto alla normativa prevenzionistica, in particolare di cui al D. Lgs. n. 81/2008, cosiddetto testo unico sicurezza sul lavoro.

________________________________________________________

Photo by Taha on Unsplash