News #40: arriva un nuovo accordo USA-UE sui dati (parte speciale!); norme sul whistleblowing; il TAR annulla la sanzione AGCM ad Amazon e Apple 

Immagine di copertina di Justin Luebke grazie a Unsplash.

SPECIALE DATA TRANSFER USA-UE

Per quanto sia ormai cosa nota – che si trascina da tempo senza particolari novità utili – la questione del “trasferimento di dati” tra UE e USA e le sue ricadute sull’utilizzo dei servizi forniti dalle società americane è giunta questa settimana ad un importante punto di #svolta.

Abbiamo quindi preparato un breve focus delle risorse ad oggi disponibili, per capire meglio cosa sta accadendo: seguiranno approfondimenti specifici man mano che la “novità” sarà commentata dagli attori in campo – incluso, e certo non ultimo, Max #Schrems, che ha già manifestato dubbi sul “passo in avanti” compiuto dall’amministrazione Biden e che #vigilerà con occhio attento sulle “svolte” della legislazione in materia di data protection.

Il nuovo E.O. di Biden

Il 7 ottobre il Presidente USA ha firmato un “Executive Order” (E.O.) finalizzato a consentire l’implementazione del nuovo EU-US Data Privacy Framework (“DPF”): in un fact sheet la Casa Bianca ha pubblicato i contenuti cardine di questa importante decisione, che mira a consentire all’Unione Europea (e nello specifico alla Commissione) di pronunciarsi nuovamente sulla #adeguatezza degli Stati Uniti d’America rispetto al libero flusso di dati personali sulle sponde dell’atlantico. L’annullamento del precedente Privacy Shield nel 2020, infatti – ad opera della sentenza #SchremsII – aveva reso complesso, e a tratti impossibile (vedi vicenda Google Analytics), utilizzare strumenti forniti da soggetti americani o comunque collegati a società USA-based.

Q&A pubblicato dalla Commissione UE

Al di qua dell’oceano, l’Unione Europea non si è fatta trovare impreparata. Lo stesso giorno la Commissione UE ha pubblicato una pagina di domande & risposte in cui dettaglia perchè, dopo l’annuncio congiunto del 25 marzo scorso, questo E.O. è un passo nella direzione di un nuovo accordo. In particolare:

  • sono previste salvaguardie di legittimità verso l’accesso ai dati personali da parte delle agenzie federali USA, con limiti legati alla necessità e proporzione di tutela di reali e legittimi interessi pubblici;
  • è previsto un meccanismo giudiziale di diversi livelli, a tutela di lamentele e situazioni limite (o in violazione della normativa), che include una corte dotata di poteri.

Cosa succede ora?

Al momento, nulla di significativo per l’uso di #GoogleAnalytics o di altri tool a matrice USA: come chiarisce anche il fact sheet della Commissione UE, al momento deve essere valutata l’adeguatezza dell’E.O. di Biden per arrivare ad una nuova decisione sui flussi di dati personali USA-UE, oltre che un nuovo “schema di certificazione” emesso dal Dipartimento del Commercio USA che stabilisca i requisiti per le società USA.

Certamente, l’uso delle clausole contrattuali tipo (“SCC”) e degli altri meccanismi già in vigore resta valido, e andrà rivalutato alla luce della situazione aggiornata: ci si chiede se può considerarsi ora meno rischioso il trasferimento di dati verso gli USA, dopo che l’E.O. ha superato (almeno in parte) i dubbi riguardanti il FISA 702 e l’E.O. 12333 al centro della sentenza Schrems II di annullamento del Privacy Shield.

Commenti a caldo

Non sono mancate le reazioni a questo importante annuncio: forse la più rilevante – e facile da prevedere – è stata quella di Max Schrems che, con la sua no-profit “NOYB” (None Of Your Business) ha pubblicato un primo articolo di revisione in cui propende per la non sufficienza di questo E.O. rispetto alle necessità poste dal diritto UE per una decisione di adeguatezza che sia solida ed effettiva. Segnaliamo anche una revisione “strutturata” del testo dell’E.O. sempre prodotta da NOYB, molto interessante.

A quando la decisione di adeguatezza?

Probabilmente non prima di alcuni mesi, dato che è necessario il parere – non vincolante – dell’EDPB (garanti europei riuniti) e dei singoli Stati Membri: NOYB ipotizza la primavera 2023, mentre l’annuncio di marzo poneva il prossimo autunno come la deadline sperata.

  • PRIVACY & CYBERSECURITY

MESE EUROPEO DELLA CYBERSECURITY – La ricorrenza rappresenta un’occasione per affinare la percezione dei #rischi connessi agli attacchi informatici, migliorando gli strumenti per difendersi. Gli esperti sottolineano ormai costantemente l’importanza di disporre di #backup dei propri dispositivi (“business continuity”, “disaster recovery”), e la sicurezza delle credenziali di autenticazione usate; ancora, il mese della cybersecurity è un buon momento per dare un’occhiata a #report come il Rapporto Clusit 2022, che mostra come phishing e ransomware siano fra le tecniche più utilizzate per gli attacchi.

CORTE DI GIUSTIZIA E DANNI PRIVACY NON MATERIALI – E’ stata di recente pubblicata l’opinione dell’Avvocato Generale della CGUE riguardo al caso (austriaco) C-300/21 di valutazione dell’automatismo, o meno, dei danni immateriali generati da una violazione del GDPR, di cui all’art. 82. In estrema sintesi, il parere propende per un diniego di ogni automatismo e una necessità di provare in concreto un effettivo danno per la persona, evitando qualunque presunzione o impostazione predefinita che superi il caso di volta in volta all’attenzione del giudice.

  • 231

WHISTLEBLOWING – Il prossimo 10 dicembre è una #data da tenere a mente per la compliance 231: il Governo sarà tenuto entro quel termine a rivedere la normativa in materia di #whistleblowing per adeguarla a quanto previsto dalla Direttiva UE 2019/1937 sulla protezione delle persone che segnalano violazioni del diritto dell’Unione. Tra le novità che il Governo potrebbe introdurre nel recepire la normativa europea è compresa la #estensione dell’ambito applicativo del whistleblowing ad altri settori, quali la protezione dei dati personali, la sicurezza informatica e la sicurezza dei prodotti e dei trasporti.

  • MERCATI DIGITALI

TAR DEL LAZIO ANNULLA SANZIONE ANTITRUST  Con la sentenza n. 12507/2022 il TAR del Lazio (Sezione Prima) ha annullato le sanzioni comminate ad Amazon e ad Apple dall’Autorità Garante della Concorrenza e del Mercato (“AGCM”). All’esito del procedimento I842 (“VENDITA PRODOTTI APPLE E BEATS SU AMAZON MARKETPLACE”), le società avevano ricevuto, rispettivamente, sanzioni per 114.681.657 Euro e 58.592.754 Euro, per aver stipulato un’intesa ritenuta anticoncorrenziale e contestata in violazione dell’art. 101 TFUE. L’intesa era volta a riservare la vendita di prodotti Apple/Beats (prodotti Apple), tramite il #marketplace di Amazon agli Apple Premium Resellers, e riguardava una clausola del contratto stipulato tra Apple e Amazon nel 2018 che aveva l’obiettivo di contrastare la contraffazione presente nel marketplace online e, in particolare, in quello di Amazon. Le #censure proposte dalle ricorrenti – (1) tardività dell’avvio del procedimento; (2) violazione del contraddittorio in relazione alle informazioni rilevanti per la sua difesa; (3) irragionevolezza del termine a difesa – sono state accolte dal TAR del Lazio, che ha annullato i provvedimenti sanzionatori dell’AGCM.

DOCUMENTO CONTRO LA CONTRAFFAZIONE ONLINE – In occasione della settimana Anticontraffazione 2022, il 4 ottobre il Ministero dello Sviluppo economico ha presentato un documento programmatico condiviso, oltre che con società quali Amazon, Alibaba, Ebay, Meta, Google Italy, Yoox, Tik Tok, anche con il Movimento italiano genitori (“MOIGE”) e con l’Associazione per la tutela della proprietà intellettuale INDICAM. La finalità del programma è quella di tutelare i consumatori e le imprese dalla #contraffazione sul mercato online, notevolmente cresciuta durante il periodo Covid.

OPEN TERMS ARCHIVE  Un software gratuito e open source realizzato dal team dell’Ufficio dell’Ambasciatore francese per gli affari digitali. Il suo codice sorgente può essere liberamente riutilizzato e costruito, a condizione che i miglioramenti siano resi disponibili alla comunità alle stesse condizioni. Il suo funzionamento prevede che i #testilegali di un servizio online vengano riportati e poi tracciati da parte di collaboratori volontari che, più volte al giorno, li scaricano e archiviano e, quando sono individuati cambiamenti, li registrano e li espongono.

TWITTER-MUSK SAGA – Continuiamo con gli aggiornamenti sulla vicenda: il processo al momento è stato #sospeso per tre settimane, durante le quali saranno svolti dei negoziati volti a trovare un accordo transattivo e a consentire di concludere l’acquisto di Twitter da parte del magnate sudafricano. Entro il prossimo 28 ottobre sapremo di più.

  • NEWS DAL MONDO

UK – Annunciato dal nuovo Segretario di Stato per il Digitale, la Cultura i Media e lo Sport un “nuovo approccio” al trattamento dei dati che vorrebbe prendere una direzione divergente rispetto al GDPR e alla normativa attualmente in vigore, lo “UK GDPR”. #Preoccupante, a detta di molti commentatori, che in una fase così complessa a livello internazionale si decida di modificare nuovamente il framework operativo per un paese così importante, mettendo in pericolo anche la decisione di adeguatezza (provvisoria) emessa dalla Commissione UE.

USA  Il 4 ottobre 2022 la Casa Bianca ha un dato avvio a un progetto per una Carta dei diritti dell’intelligenza artificiale, che ruota intorno a #cinque #principi per la progettazione, l’uso e l’implementazione di sistemi automatizzati volti a proteggere il pubblico americano: (i) Sistemi sicuri ed efficaci; (ii) Protezioni contro la discriminazione algoritmica; (iii) Privacy dei dati; (iv) Avviso e spiegazione; (v) Alternative umane, considerazione e ripiego.

ARIZONA  Google LLC e il Procuratore Generale dell’Arizona hanno raggiunto un #accordo per 85 milioni di dollari a conclusione del processo per pratiche ingannevoli e sleali nei confronti degli utenti. Google LLC raccoglieva, senza consenso, i loro dati sulla posizione personale monitorando gli smartphone, anche quando i consumatori avevano disabilitato la cronologia delle posizioni.

INDIA – Sarà la sessione invernale del parlamento locale a valutare la #nuovanormativa (revisionata) in materia di data protection: lo ha annunciato il governo alla Suprema Corte indiana.

News #39: un nuovo passo verso il flusso di dati USA-UE; norme in arrivo per in ambito cyber resilience e AI; cambiano ancora alcuni reati 231

Immagine di copertina di Photoholgic grazie a Unsplash.

PRIVACY & CYBERSECURITY

VERSO UN NUOVO PRIVACY SHIELD – Politico ha riportato, nei giorni scorsi, che la Casa Bianca potrebbe #pubblicare l’atteso Executive Order a firma del Presidente Biden riguardo ai trasferimenti transatlantici di dati durante la prossima settimana. Nelle intenzioni dell’amministrazione federale USA, infatti, l’ordine del Presidente dovrebbe iniziare a porre le basi per una #soluzione alle problematiche che da diverso tempo vedono contrapposte le norme e i principi fondanti del GDPR rispetto alle pratiche di #sorveglianza negli Stati Uniti poste in essere dalle agenzie federali. Max Schrems ha già annunciato che, con NOYB, valuterà a fondo e con grande rigore questa novità: staremo a vedere.

PIANO ISPETTIVO DEL GARANTE ITALIANO – Pubblicato nei giorni scorsi il piano di ispezioni e attività per il periodo luglio-dicembre 2022: figura, in primo piano, l’attività in merito al tema “Google Analytics” (e non poteva essere diversamente), oltre a verifiche in ambito dati personali particolari (GreenPass, siti di incontro, intelligenza artificiale).

CONSIP E ACCORDI CYBERSECURITY – CONSIP procede con nuovi accordi e iniziative per la #digitalizzazione della Pubblica Amministrazione, con un’attenzione particolare ai servizi di sicurezza. Tra le varie opzioni messe a disposizione dal nuovo contratto figurano il “Security Operation Center”, che garantirà la corretta operatività dei sistemi attraverso la prevenzione, la gestione e la risoluzione di #criticità di sicurezza; il “Next Generation Firewall”, che consente il filtraggio del traffico di rete interno ed esterno, limitando o bloccando gli accessi non autorizzati e i malware; il “Web Application Firewall”, che abilita il monitoraggio e il blocco del traffico di un servizio Web, proteggendo gli enti pubblici dagli attacchi incorporati nei dati trasmessi dalle applicazioni online.

CYBER RESILIENCE ACT – E’ stata pubblicata la proposta di Regolamento (i cui aggiornamenti sono disponibili su questo sito dedicato) sulla #cybersecurity dei prodotti digitali (“European Cyber Resilience Act”). Lo scopo della normativa è migliorare la percezione della cybersecurity nelle varie fasi dello sviluppo di un prodotto. Fra i risultati attesi figurano, in particolare: un miglioramento della sicurezza dei prodotti con elementi digitali sin dalla progettazione e fase di sviluppo e durante l’intero ciclo di vita; la garanzia di un #framework di cybersecurity che faciliti la conformità per i produttori di hardware e software; un miglioramento della #trasparenza delle proprietà di sicurezza dei prodotti con elementi digitali.

TIKTOK: TRATTATIVE, SANZIONI E MODIFICHE PRIVACY – La piattaforma TikTok, della società di Pechino “ByteDance”, sta attuando importanti revisioni in tema di privacy. Già da due anni sono in corso trattative con gli Stati Uniti d’America, che avevano ordinato alla società cinese una cessione di TikTok, nel timore che i dati degli utenti americani potessero entrare nella disponibilità del governo comunista cinese. ByteDance, assicurando di poter soddisfare le preoccupazioni per la sicurezza nazionale degli Stati Uniti, apporterà modifiche alla sicurezza e alla governance dei dati nella piattaforma senza che la società madre debba venderla. Al di qua dell’oceano, la Information Commissioner’s Office britannica (“ICO”) ha inviato un avviso di intenti a TikTok, prospettando una sanzione di 27 milioni di sterline, per violazioni della legge sulla protezione dei dati del Regno Unito verificatesi tra il 2018 e il 2020. Nel frattempo, TikTok ha introdotto il tasto “Non mi piace” per manifestare dissenso nei confronti di un commento: una novità che nata con l’intento di aiutare a individuare commenti inappropriati, dando voce ai riscontri diretti degli utenti.

IL GARANTE E LE TELEFONATE INDESIDERATE – Pubblicato sul sito del Garante italiano (qui) un modulo standard per segnalare all’Autorità la violazione della recentissima normativa in materia di Registro Pubblico delle Opposizioni: in questo modo qualunque cittadino potrà informare l’Autorità della ricezione di telefonate indesiderate.

  • 231

INTEGRAZIONE AL D.LGS. 75/2020 – Il Consiglio dei Ministri, nella seduta del 28 settembre, ha approvato il decreto correttivo del D.Lgs 75/2020, prevedendo delle #specifiche in tema di: (1) appropriazione indebita da parte del funzionario pubblico; (2) congelamento e confisca degli strumenti e dei proventi dei reati o di beni di valore corrispondente; (3) indebita percezione di erogazioni a carico totale o parziale del Fondo europeo agricolo di garanzia e del Fondo europeo agricolo per lo sviluppo rurale; (4) reati concernenti le dichiarazioni IVA. Il Comunicato stampa della seduta è disponibile a questo link, mentre la relazione tecnica del Governo è disponibile a quest’altro link.

NON MIGLIORA L’APPORTO DELLE PA ALL’ANTIRICICLAGGIO – Secondo l’analisi di alcuni esperti, l’Unità di Informazione Finanziaria (“UIF”) ha rilevato una debolezza della Pubblica Amministrazione nel controllo dei reati di #riciclaggio che riguardano anche il nuovo canale di finanziamenti aperto dal #PNRR. Non sono soddisfacenti, tra le altre cose, la percentuale molto bassa di PA iscritte al portale Infostat-Uif e la scarsa segnalazione di situazioni di #rischio. Il documento di approfondimento dei Quaderni nell’antiriciclaggio è disponibile a questo link.

  • MERCATI DIGITALI

IDENTITA’ DIGITALE EUROPEA – Il Consiglio dei ministri dell’Unione europea, attualmente presieduto dalla Repubblica Ceca, ha formulato – come riporta Euractiv nella propria newsletter – una nuova versione del testo sull’Identità Digitale Europea. Oltre ai temi centrali dell’interazione con le altre normative, dell’uso offline del servizio e della relativa certificazione, dal punto di vista della protezione dei dati personali saranno assicurati metodi di protezione e di identificazione degli utenti, tra i quali l’autenticazione ad almeno due fattori e la minimizzazione dei dati attraverso la divulgazione selettiva.

DISSENSO SULLA LEGGE EUROPEA PER l’IA – Alcune associazioni europee del settore #software hanno chiesto all’Unione europea di eliminare i piani per includere la regolamentazione dell’IA generica, compresa l’elaborazione del linguaggio naturale e i chatbot, nel suo nuovo atto sull’IA, descrivendolo come un #allontanamento fondamentale dal suo obiettivo originale. Le associazioni hanno esortato le istituzioni dell’Unione europea a respingere le recenti aggiunte alla legge che includono la regolamentazione dell’IA generica e mantenere un #approccio basato sul rischio. La richiesta è disponibile a qui.

EURO DIGITALE – Il Presidente della Banca federale tedesca ha suggerito alle istituzioni economiche e finanziarie europee la possibilità di adottare una moneta unica europea digitale. L’idea era già stata considerata da parte della Banca Centrale europea, ma non è priva di rischi e necessita un’analisi adeguata. Lo scenario finanziario potrebbe, infatti, essere dominato da una valuta digitale dominante, e per scongiurare questo pericolo – afferma Fabio Panetta, membro del comitato esecutivo della Banca Centrale europea – bisogna prendersi tutto il tempo necessario.

UN PRIME DAY IN PIU’- Oltre al Prime Day di Amazon, organizzato a luglio, l’azienda proporrà altri due giorni di sconti il prossimo mese: anche l’11 e il 12 ottobre saranno offerte merci a prezzo scontato ai clienti Prime. È la prima volta in cui l’evento viene organizzato due volte l’anno. Questo ulteriore Prime Day può essere interpretato come un segnale di rallentamento degli scambi commerciali della piattaforma, dovuto alla recente crisi: risulta, infatti, che anche altre aziende stanno cercando di contrastare gli effetti di rallentamento dei commerci.

  • NEWS DAL MONDO

NORVEGIA – La Commissione per la Privacy, a seguito del mandato ricevuto dal Governo nel 2020, ha presentato il 26 settembre 2022 un report sulla situazione della data protection nel Paese: l’Autorità Garante locale (“Datatilsynet”) ha accolto con favore il resoconto e ne ha esposto i punti chiave in una rassegna stampa (il report, solo in norvegese, è disponibile a questo link).

USA – La Commissione Federale per le Comunicazioni (“FCC”) statunitense ha firmato dei protocolli d’intesa (“Memorandum of Understanding” o “MoU”) con l’agenzia nazionale brasiliana delle telecomunicazioni e l’Autorità nazionale rumena per promuovere la collaborazione fra i Paesi nella lotta contro le comunicazioni telefoniche indesiderate. Qui il comunicato stampa. 

BELGIO – La Corte d’Appello Belga ha proposto un rinvio di interpretazione alla la Corte di Giustizia dell’Unione europea avente ad oggetto il Transparency and Consent Framework (“TCF”), sviluppato da IAB, una società di pubblicità digitale. La Corte d’Appello, a seguito di numerose denunce e di un’indagine avviata dal Garante, ha chiesto se un TC-String, cioè un codice contenente la decisione di consenso dell’utente, sia un dato personale e quale sia la natura dei contitolari del trattamento. In attesa della pronuncia della Corte di Giustizia dell’Unione europea, il rinvio della Corte d’Appello Belga è disponibile a questo link.

News #38: Google Analytics bocciato anche in Danimarca; focus su 231 e infortuni sul lavoro; concorrenza e GDPR si intrecciano in UE

Immagine di copertina di David Köhler grazie a Unsplash.

PRIVACY

DANIMARCA –  Datatilsynet, autorità danese in materia di protezione dei dati personali, si è allineata con una recentissima pronuncia alle posizioni di altre autorità europee (tra le altre quelle di Austria, Francia e Italia) propendendo per la #illegalità di Google Analytics alla luce dei trattamenti effettuati che comportano, costantemente, un trasferimento di dati personali verso paesi non adeguati. Anche le società danesi si trovano dunque al fatidico bivio: implementare misure aggiuntive, allo scopo di rendere “legale” lo strumento (come, ad esempio, la psedunimizzazione), o smettere definitivamente di utilizzarlo. In aggiunta, l’autorità si è soffermata anche sulle misure tecniche previste per GA4, sostenendo che a prima analisi esse siano comunque #inadeguate a garantire trattamenti corretti.

ELEZIONI – Il Garante per la protezione dei dati personali ha inviato una richiesta urgente di chiarimenti a Facebook in merito alle attività da questa intraprese in occasione delle elezioni politiche dello scorso 25 settembre. La piattaforma aveva infatti iniziato una campagna – nei confronti dei soli utenti maggiorenni – volta a disincentivare l’astensionismo ed invogliare i suoi utenti al voto. Tuttavia, memore della sanzione comminata per lo scandalo “Cambridge Analytica” e del progetto “Candidati” avviato per le scorse elezioni politiche del 2018, il Garante preferisce vederci chiaro: le informazioni relative agli  orientamenti politici, infatti, rientrano nel novero dei dati personali “particolari”di cui all’art. 9 GDPR.

PLENARIA EDPB – Durante l’ultima riunione plenaria, il Comitato Europeo per la Protezione dei Dati (EDPB) ha discusso e pubblicato tre interessanti documenti: (1) la lettera aperta sul rifiuto di approvazione del proprio budget 2023 da parte della Commissione (di cui abbiamo già dato conto nella newsletter #37); (2) uno statement sul “EU Police Cooperation Code” (molto critico e che richiede interventi); (3) un parere molto interessante sul “European Privacy Seal”, schema di certificazione inoltrato da un ente tedesco (tra l’altro, uno dei primissimi): l’EDPB non sembra particolarmente positivo sul sistema proposto, sollevando diversi punti critici e individuando numerosi aspetti da migliorare. Al garante locale – tedesco – l’ultima parola.

RIFORMA PROCESSO PENALE – Il Garante per la protezione dei dati personali ha recentemente dato il proprio via libera alla riforma del processo penale (cd. #riformaCartabia), fornendo al contempo importanti suggerimenti in materia di protezione dei dati personali. In ragione della natura dei dati coinvolti – trattasi infatti di dati giudiziari, dunque particolari ex art. 9 GDPR – si è resa evidente la necessità di maggiori tutele. Tra i suggerimenti, la sottrazione delle notificazioni avvenute tramite annunci su internet alla indicizzazione sui motori di ricerca (con relativa fissazione del termine massimo di presenza del contenuto online) e due nuove forme di diritto all’oblio: la prima, che agisce in maniera preventiva, finalizzata a garantire la deindicizzazione dei provvedimenti giudiziari in modo tale da impedire – a monte – che nomi di imputati e indagati siano  oggetto di ricerca, e la seconda, che agisce invece ex post, consentirebbe ai soggetti coinvolti di richiedere la deindicizzazione dei propri dati personali dai provvedimenti.  

DATA RETENTION – Lo scorso 20 settembre la Corte di Giustizie dell’Unione Europea (CGUE) ha emesso la propria decisione nelle cause riunite C-793/19 e C-794/19 (rispettivamente SpaceNet e Telekom Deutschland). Con la sentenza la Corte ha ribadito che non è consentita, alla luce della legge dell’Unione, una conservazione generalizzata e indiscriminata dei dei dati relativi al traffico e all’ubicazione delle telecomunicazioni dei clienti, salvo che in caso di grave minaccia alla sicurezza nazionale. La decisione pare dunque mettere il bastone tra le ruote alla #TKG, la legge tedesca in materia di telecomunicazioni, che prescrive proprio tale obbligo agli operatori del settore della comunicazione elettronica.

  • 231

INFORTUNISTICA – Con la sentenza n. 33976 (consultabile gratuitamente per gli iscritti all’associazione AODV231) la Corte di Cassazione è tornata a pronunciarsi in materia di morte e lesioni del lavoratore. Nel caso sottoposto all’attenzione della Corte, un lavoratore aveva riportato gravi lesioni in seguito ad una scivolata causata dal pavimento bagnato (cadendo aveva infatti inserito la mano all’interno di una vasca di raccolta dell’uva, priva della prescritta griglia di protezione). Respingendo il ricorso presentato dalla società e dal suo presidente e confermando le condanna nei loro confronti, i giudici di piazza Cavour hanno stabilito che ai fini dell’esclusione del vantaggio non rileva che il risparmio di spesa sia esiguo rispetto alla capacità patrimoniale della società. Infatti, sebbene un esiguo risparmio di spesa può in via generale escludere la responsabilità dell’ente, si richiede che tale risparmio di spesa non  insista su un’area di rischio di rilievo.

INFORTUNISTICA/2 – Con la sentenza n. 34943 dello scorso 21 settembre la Corte di Cassazione ha stabilito che una società non risponde del reato di lesioni colpose commesso dal soggetto responsabile del servizio di prevenzione e protezione aziendale.  La scriminante opera nei confronti dell’ente alla duplice condizione che (i) il fatto sia imputabile ad una figura sottoposta alla direzione dei vertici, e che (ii) l’ente abbia in precedenza adottato un modello di organizzazione, gestione e controllo (cd. MOGC). Infatti, quando una fattispecie criminosa sia ascrivibile ad un soggetto sottoposto, l’adozione di un modello libera la società da ogni responsabilità 231 anche nel caso in cui il reato si sia reso possibile dalla violazione degli obblighi di direzione che gravano sui vertici.

AUTORICICLAGGIO – Affinché possa configurarsi il reato di autoriciclaggio è necessario che la condotta, nell’esatto momento della sua esecuzione, sia concretamente idonea a ostacolare la provenienza illecita dei beni. In tal senso si è pronunciata la Corte di Cassazione con sentenza n. 32571 (consultabile gratuitamente per gli iscritti all’associazione AODV231). Il criterio da seguire, dunque, per una corretta individuazione della condotta dissimulatoria è quella della idoneità ex ante.

  • MERCATI DIGITALI

CONCORRENZA E GDPR – Lo scorso 20 settembre l’avvocato generale della Corte di Giustizia dell’Unione, Athanasios Rantos, ha emesso un importantissimo parere circa la possibilità che una Autorità garante della concorrenza possa legittimamente pronunciarsi in merito al rispetto o alla violazione del GDPR. Il parere, che si inserisce in un contesto più ampio – la causa intentata da Meta Platforms Inc. nei confronti della Bundeskartellamt, autorità per la concorrenza tedesca – stabilisce che sebbene non sia compito di un’autorità garante della concorrenza pronunciarsi sul rispetto del GDPR, è sua facoltà (seppur in via meramente incidentale) valutare se le pratiche commerciali poste in essere dagli operatori del settore siano compatibili col Regolamento. Secondo l’avvocato generale, infatti, il fatto che una pratica sia conforme o meno al GDPR è un importante indizio per stabilire se la pratica in questione costituisca una violazione delle regole della concorrenza.

CYBERSECURITY – Per contrastare il numero sempre in crescita di attacchi hacker – soprattutto nei confronti di istituzioni statali – il D.L. n.115/22 (cd. Decreto Aiuti) ha introdotto  la possibilità di compiere operazioni cibernetiche offensive. La possibilità di ricorrere a tale strumento, previsto come extrema ratio, è attribuita esclusivamente al corpo dei servizi segreti e a due condizioni: che ci si trovi in una situazione di crisi o emergenza (con potenziali risvolti sulla sicurezza nazionale) e che, appunto, non sia possibile fronteggiare diversamente la situazione, ad esempio attraverso azioni di mera resilienza.

  • NEWS DAL MONDO

STATE OF PRIVACY ’22 – Ha avuto risonanza mondiale l’evento organizzato dal Garante italiano a Napoli, in cui si sono riuniti i principali stakeholder in materia di protezione dei dati, organizzati in tavoli tematici dedicati alle più importanti sfide del presente e del futuro di questo settore. Si attende ora, dopo gli annunci di comunicazione, la pubblicazione dei lavori e dei risultati di questi incontri, al di là delle immagini dei partecipanti.

FATCA e GDPR – Fabien Lehagre, presidente della Association des Américans Accidentels il cui scopo è difendere i cittadini (americani non) dagli effetti dannosi derivanti dalla extraterritorialità della legge americana, ha recentemente inoltrato una lettera al presidente dell’EDPB con lo scopo sollecitare i Garanti europei ad effettuare una valutazione di compatibilità tra gli accordi sottoscritti dagli stati membri con gli Stati Uniti – c.d. FATCA (Foreign Account Tax Compliance Act) – e il GDPR. Tali accordi, finalizzati a identificare tutte le persone soggette all’imposizione fiscale statunitense che detengono conti in Europa, inevitabilmente comportano un trasferimento di dati. Indispensabile, dunque, valutare caso per caso la compatibilità del FATCA, soprattutto a fronte delle ormai note complicazioni in materia di trasferimenti di dati verso gli USA. Al momento,tuttavia, solamente il garante slovacco ha effettuato una seria valutazione, finendo per dichiarare l’accordo non adeguato alle garanzie richieste dall’art. 46 GDPR. 

GERMANIA – L’ufficio federale tedesco per la sicurezza delle informazioni (“BSI”) ha pubblicato una guida per la gestione della cybersecurity da parte delle piccole e medie imprese, destinato a supportare con un approccio “easy-to-use” il miglioramento delle infrastrutture e l’organizzazione a tutela verso attacchi dall’esterno.

ROMANIA – Il Garante rumeno (ANSPDCP) ha irrogato una sanzione di circa 40mila lei (equivalenti a 8 mila euro) un responsabile del trattamento gestore di una piattaforma immobiliare per divulgazione non autorizzata di dati personali riconducibili a quasi 200mila interessati. Alla base della sanzione, dunque, la mancata implementazione da parte del responsabile delle misure tecniche ed organizzative necessarie per garantire un adeguato livello di sicurezza dei dati personali.

HONG KONG – Il Garante per la protezione dei dati personali di Hong Kong (PCPD) ha recentemente annunciato di aver effettuato un arresto nei confronti di un sospettato del reato di doxxing. Secondo le informazioni attualmente a disposizione, l’imputato – per lungo tempo dipendente e collaboratore del denunciante – avrebbe diffuso illecitamente informazioni personali dell’ex socio, anche a mezzo di manifesti affissi sui muri dell’edificio degli uffici. L’imputato, attualmente in custodia, rischia una multa di 1 milione di HKD (parti a poco più di 120 mila euro) e la reclusione per cinque anni: il reato di doxxing – ossia la diffusione pubblica di dati personali e privati al fine di arrecare un danno all’interessato – è infatti considerato (a buona ragione) particolarmente grave. 

BERLINO – Il Commissario di Berlino, autorità locale in materia privacy, ha inflitto una sanzione di oltre 500 mila euro ad una società per violazione del GDPR, riferisce DataGuidance. La sanzione si ricollega al conflitto di interessi emerso in seguito alla nomina del responsabile della protezione dei dati personali: dalle indagini è infatti emerso che il responsabile della protezione dei dati già ricopriva il ruolo di amministratore di due società del medesimo gruppo – società che, in concreto, aveva il compito di trattare dati personali proprio per conto della società sanzionata, nella quale l’amministratore era chiamato a svolgere le funzioni di DPO. 

News #37: Sanzione privacy in arrivo per TikTok; quante proposte di legge “digital”​ in UE; intanto la Commissione taglia il budget dei Garanti.

Immagine di copertina di Fauzan Saari grazie a Unsplash.

PRIVACY

FONDI UE, UN ALTRO NO –  Nonostante la sensibilità collettiva in materia di protezione dei dati personali divenga di giorno in giorno più alta – così come in crescita sono i dati relativi alle violazioni della normativa in materia – la Commissione Europea ha di recente #negato, per la seconda volta, l’approvazione del #budget prospettico presentato da EDPS ed EDPB. A tale atteggiamento di chiusura le Autorità hanno risposto inviando una lettera aperta al Presidente del Parlamento e al Consiglio europeo, nella quale hanno concentrato le loro preoccupazioni tanto in relazione alla tutela dei diritti dei cittadini in materia quanto sulla stessa credibilità del GDPR.

ORA TOCCA A TIKTOK – La DPC, Autorità garante irlandese, ha recentemente presentato ai propri omologhi europei il progetto di decisione relativo alla #indagine sui trattamenti di dati personali dei minori effettuati da TikTok. Come per le precedenti decisioni (ad esempio, Facebook e Instagram) che riguardano colossi mondiali dei social network, anche in questo caso il percorso per giungere ad una valutazione è dovuto passare dalla #Irlanda, dove anche TikTok ha eletto di avere la propria sede UE, ed anche in questo caos sta richiedendo molto tempo per giungere ad un punto fermo. Si deve al contempo notare il cambio di passo che la Commissioner Helen Dixon ha impresso recentemente, dopo le pesanti critiche piovute addosso all’Autorità locale da parte di altri garanti UE.

G7 DELLE AUTORITA’ PRIVACY – Gli scorsi 7 e 8 settembre si è tenuto a Bonn il secondo #appuntamento del “G7” delle Autorità per la protezione dei dati personali. Sotto la presidenza del Commissario Federale tedesco per la protezione dei dati e la libertà di informazione, i Garanti di sette tra i sistemi socio-economici più importanti al mondo (Francia, Germania, Canada, Gran Bretagna, Italia, USA e Giappone) si sono riuniti per discutere di tutte le questioni, tecnologiche e normative, inerenti al “DFFT” (Data Free Flows with Trust). Al centro del dibattito la delicata questione del #trasferimento #internazionale di dati e, soprattutto, l’Intelligenza Artificiale. A tal proposito il Garante italiano – in persona del Vice Presidente Ginevra Cerrina Feroni – ha proposto ai colleghi di definire un codice etico e culturale in materia di IA, al fine di evitare che le nuove tecnologie connesse all’Intelligenza Artificiale possano sfociare in forme di sorveglianza massiva finalizzati a controllare e manipolare il comportamento degli individui.

  • 231

PRESCRIZIONE DEL REATO PRESUPPOSTO – La Suprema Corte di Cassazione ha stabilito (con la recente sentenza n. 30685/2022, consultabile gratuitamente per gli iscritti all’associazione AODV231) che l’intervenuta prescrizione del reato presupposto #non #incide – in alcun modo – sulla cognizione del giudice in ordine alla responsabilità dell’ente che dalla commissione del reato abbia, in ogni caso, tratto un #beneficio o un #vantaggio.

  • MERCATI DIGITALI

DMA E’ LEGGE – Il Consiglio e il Parlamento hanno firmato il Digital Markets Act, che diviene così ufficialmente legge in Unione Europea. I #gatekeepers sono avvisati: il mercato digitale UE dovrà diventare sempre più competitivo ed equilibrato (almeno nelle intenzioni della normativa), grazie a meccanismi di divieti di pratiche scorrette e diritti aumentati per i cittadini.

CYBER RESILIENCE ACT – Lo scorso 15 settembre la Commissione europea ha annunciato di aver presentato una proposta per una nuova legge in materia di #cybersicurezza: il Cyber Resilience Act. Con l’obiettivo di tutelare consumatori ed imprese da prodotti inadeguati, la legge – qualora approvata – introdurrebbe nuovi requisiti di sicurezza informatica per tutti i prodotti con elementi digitali.

MEDIA FREEDOM ACT – Alle altre novità si aggiunge anche la proposta di regolamento della Commissione UE destinata a proteggere #pluralismo e #indipendenza dei media nel territorio dell’Unione: tra le tante previsioni, il #divieto di “spyware” contro i giornalisti. Intanto, dopo un primo tentativo fallito nel 2018, si è avuta notizia di una seconda iterazione – giunta al traguardo – del “Codice Europeo contro la Disinformazione”, che costituisce un laboratorio di “co-regolamentazione” dedicato a toccare differenti settori: oltre a quello dell’informazione-disinformazione, infatti, si occupa ad esempio di hate speech e disciplina pubblicitaria. Approfondisce il tema il Prof. Oreste Pollicino su lavoce.info, qui.

GOOGLE CONDANNATA – Il Tribunale dell’UE ha deciso: Google condannata a pagare (poco più di) 4 milioni di euro. La decisione chiude un capitolo apertosi nel 2018, quando  la Commissione ha sanzionato la società per #abuso di #posizione #dominante nei confronti di aziende concorrenti, produttrici di dispositivi mobili. Sebbene la recente decisione sia leggermente più favorevole dal punto di vista economico (la sanzione viene infatti “scontata” per circa 200 mila euro) resta ferma la delusione del colosso di Mountain View, che sperava di veder chiusa la questione con l’annullamento totale della sentenza.

  • NEWS DAL MONDO

USA – In occasione del forum pubblico per la sorveglianza commerciale e la sicurezza dei dati – indetto dall Federal Trade Commission e tenutosi lo scorso 8 settembre – l’Electronic Privacy Information Center (EPIC) ha sollecitato la FTC ad adottare una regola in materia di minimizzazione dei dati. L’esortazione si è inserita all’interno di un più vasto discorso pronunciato dal Vice Presidente dell’EPIC, Caitriona Fitzgerald, che ha sostanzialmente manifestato le proprie considerazioni in merito al preoccupante “stato di salute” del sistema privacy statunitense.

ALBANIA/MALTA – L’Ufficio albanese del Commissario per l’informazione e la protezione dei dati (IDP) ha annunciato la firma di un accordo di cooperazione con l’omologo maltese. Scopo dell’accordo, approfondire la conoscenza reciproca e gettare le basi per una migliore collaborazione anche dal punto di vista dello scambio di informazioni.

TANZANIA – La proposta di legge privacy locale è stata sottoposta al Parlamento per approvazione: in caso di successo, proteggerà gli utenti dei servizi di comunicazione online, fatti oggetto dal testo normativo di particolari garanzie e tutele.

SPAGNA – L’AEPD (autorità locale) ha lanciato lo scorso 14 settembre un tool di valutazione del rischio derivante dal trattamento di dati personali, in lingua spagnola: tramite esso, i titolari potranno anche misurare la necessità di effettuare DPIA e assumere misure di contenimento e sicurezza adeguate. Maggiori informazioni qui.

INDONESIA – Anche il paese del sud-est asiatico si avvicina all’approvazione di una normativa locale in materia di data protection (il “PDP Bill”) che al momento risulta approvata dalla Camera dei Rappresentanti con alcune modifiche del Ministro della Comunicazione. Se ne attende ora l’avanzamento in plenaria e la successiva ratifica in legge.

News #36: il Garante boccia l’Ecosistema dei Dati Sanitari; multa salata per Instagram; battaglia (persa) in Giappone per il marchio Gucci.

Immagine di copertina di Surendran MP grazie a Unsplash.

PRIVACY

ECOSISTEMA DATI SANITARI – Il Garante ha recentemente bocciato lo schema di decreto – proposto congiuntamente da Ministero della salute e Ministero per l’innovazione tecnologica e digitale – che include la realizzazione di una nuova banca dati denominata “EDS” (Ecosistema Dati Sanitari). Essa, prevista dalla riforma del Fascicolo Sanitario Elettronico, comporterebbe infatti la #duplicazione di tutti i dati già presenti nel FSE, finendo così per diventare la più grande banca dati di informazioni sanitarie mai creata in Italia. Proprio in virtù delle tipologie di dati coinvolti e del numero di soggetti interessati (si tratterebbe by default di un trattamento sistematico su larga scala) il Garante si è dimostrato molto scrupoloso: ben venga insomma introdurre nuovi strumenti in grado di agevolare lo sviluppo dei servizi sanitari, se nel costante rispetto dei diritti fondamentali delle persone.

CORTE DEI CONTI SOTTO ATTACCO? – Anche la Corte dei Conti pare essere finita nel mirino degli hacker. Secondo alcune indiscrezioni, diversi giudici sono stati raggiunti da un messaggio tramite l’app WhatsApp, apparentemente proveniente dal numero di un collega. Il messaggio, che aveva l’aria di una innocua catena di Sant’Antonio, si è in realtà rivelata invece un’operazione di #phishing, che ha consentito ai cybercriminali di accedere a tutto quanto contenuto nei cellulari dei giudici della Corte. Dopo un’attenta bonifica dei cellulari colpiti dall’attacco, tutto è tornato sotto controllo. Resta, tuttavia, un problema di sicurezza: nel caso in cui dei giudici dovessero usare (o continuare ad usare) WhatsApp per le loro comunicazioni professionali, in quanto più celere rispetto allo scambio di e-mail, le loro comunicazioni rimarrebbero potenzialmente esposte ad ulteriori attacchi.

MULTA PER INSTAGRAM – A seguito di un’istruttoria durata oltre due anni, la Commissione irlandese per la protezione dei dati (DPC) ha imposto ad Instagram una #sanzione di ben 405 milioni di euro (la più alta finora imposta ad una società del gruppo Meta da parte della DPC) per violazione delle norme europee in materia di protezione dei dati personali dei #minorenni. Secondo le motivazioni del Garante irlandese, riportate da Euractiv, Instagram avrebbe consentito a utenti di età compresa tra i 13 ed i 17 anni di aprire e gestire account aziendali, con la conseguenza che i dati personali di minori sono stati resi pubblici, senza che gli stessi ne fossero effettivamente consapevoli.

LE RISORSE DEI GARANTI UE – L’EDPB ha pubblicato ieri, 5 settembre, una “overview” delle risorse di cui ciascuna Autorità nazionale è dotata, sia dal punto di vista economico che di personale a disposizione. Alcuni #spunti interessanti: (i) un tendenziale, seppur minimo incremento dei budget economici a disposizione delle Autorità tra il 2020 e il 2022; (ii) questi budget sono considerati dal 77% delle Autorità come #insufficienti – con la sorprendente eccezione del Garante nostrano; (iii) anche le risorse umane a disposizione tendono all’incremento, non venendo però considerate adeguate alle numerose attività in corso (ad esempio, per l’Italia, lo staff previsto è di 200 persone, a fronte di 139 operatori attualmente presenti). Nel paper sono riportati anche i grafici comparativi dei dati presenti, insieme ad altri spunti molto interessanti.

  • 231

FATTURE INESISTENTI – In materia di dichiarazione fraudolenta mediante fatture per operazioni inesistenti è necessario provare la fittizietà del soggetto formalmente emittente, nel caso in cui si tratti di una società appartenente al Gruppo. È quanto stabilito dalla Corte di Cassazione lo scorso 5 settembre, con la pronuncia delle #sentenze (consultabili gratuitamente per gli iscritti all’associazione AODV231)  n. 32505, n. 32506 e n. 32507. Secondo i giudici di Piazza Cavour, l’eterodirezione da parte della capogruppo non è un elemento di per sé sufficiente per sostenere la fittizietà della controllata e, di conseguenza, qualificare come inesistenti le fatture emesse da quest’ultima.

BANCA DATI ANTIRICICLAGGIO – Uno schema di legge proposto dal Ministero dell’economia e delle finanze (MEF) si propone di aggiornare la legge antiriciclaggio con l’introduzione di un articolo 34-bis istituendo una banca dati informatica centralizzata, previo parere dell’Autorità Garante per la protezione dei dati. Ne riporta diffusamente Maurizio Arena nella sua newsletter n. 14, qui.

  • MERCATI DIGITALI

GUCCI vs CUGGL – Gucci e CUGGL come Davide e Golia. La storica casa di moda italiana perde una importantissima #battaglia contro una piccola (e finora) poco conosciuta start-up giapponese. A scatenare il caso, la comparsa sul mercato di una t-shirt dove una scritta viene oscurata da una striscia di vernice che, in concreto, non permette di distinguere se il testo riporti la scritta “GUCCI” o “CUGGL”. A decidere le sorti dello scontro è stato l’Ufficio brevetti giapponese (JPO), il quale ha #respinto l’opposizione al marchio proveniente dalla maison fiorentina. Le probabilità che un consumatore si confonda e scambi le t-shirt a marchio CUGGL per autentiche Gucci sono, a detta del JPO, davvero molto basse. Vedere questo articolo e la foto qui di seguito per credere (e valutare).

LEGA VS. FACEBOOK – Nel nuovo millennio, si sa, le battaglie elettorali si combattono sui social. Ma c’è chi fa di più, decidendo di combattere addirittura “contro i social”. Un gruppo di parlamentari della Lega ha infatti deciso di presentare un esposto ad #AGCOM (Autorità per le garanzie nelle comunicazioni) contro Facebook. Il motivo, presentato a supporto dell’esposto, è il seguente: il social avrebbe, del tutto arbitrariamente, reso particolarmente difficoltosa (ed in alcuni casi, addirittura, oscurato) la circolazione dei loro post e contenuti elettorali. Al momento, tuttavia, Meta fa sapere che nessuna problematica è stata riscontrata. 

LA DEFINIZIONE DI “METAVERSO” – Il dizionario Merriam-Webster ha introdotto una definizione di Metaverso, che riportiamo in originale: “a persistent virtual environment that allows access to and interoperability of multiple individual virtuan realities“. Primo utilizzo riportato? #1992.

  • NEWS DAL MONDO

BELGIO – Rinviata davanti alla Corte Europea di Giustizia la controversia sul Transparency and Consent Framework di IAB Europe, utilizzato come standard negli ultimi anni per la gestione dei #cookie. Nei mesi scorsi, lo ricordiamo, l’Autorità belga di protezione dei dati personali aveva sanzionato pesantemente IAB Europe per non conformità alla normativa europea, ponendo in grande difficoltà tutti gli operatori che avevano aderito e implementato lo standard. Ne riporta Luiz Alberto Montezuma in questo post.

GERMANIA – L’ondata generata dalla sentenza “Schrems II” – con cui è venuto meno il Privacy Shield, l’accordo per gli scambi UE-USA di dati personali – pare non essersi ancora fermata. Con una recente decisione, la Camera degli Appalti del Baden-Württemberg ha stabilito che anche il mero accesso dall’estero ai dati personali equivale ad un trasferimento. L’interpretazione – evidentemente estensiva – del concetto è stata possibile a fronte della inesistenza, nel corpo del Regolamento UE 2016/679, di una definizione di “trasferimento”.

UK – L’Autorità per la protezione dei dati inglese (ICO) ha recentemente pubblicato una bozza di guida sulle tecnologie per il miglioramento della privacy (PETs) con l’obiettivo di aiutare le organizzazioni a sfruttare il potenziale dei dati mediante un approccio basato sulla privacy by design (dunque, protezione dei dati sin dalla fase della progettazione).

SPAGNA – Il Garante spagnolo (AEPD) ha pubblicato, lo scorso 6 settembre, una guida per tutti coloro che andranno a ricoprire, nei centri educativi, il ruolo di Coordinatore per il benessere e la protezione degli studenti – nuova figura introdotta dalla Legge organica n.8/2021 per la protezione dei bambini e degli adolescenti contro la violenza. Tra le funzioni proprie del Coordinatore, promuovere la comunicazione immediata tra centro educativo e Agenzia, in tutte quelle situazioni che possono verosimilmente comportare un trattamento illecito dei dati personali dei minori. L’AEPD, nella battaglia per la protezione dei minori, ha  anche messo a disposizione un canale prioritario per la segnalazione di materiale pornografico o violento su internet, di cui si richiede l’immediata rimozione.

USA – Proseguono gli studi legislativi verso il mondo digitale, questa settimana con importanti aggiornamenti dalla Federal Trade Commission che ha pubblicato una proposta di legge, e poi ora attende dagli stakeholder commenti entro il 21 ottobre prossimo.

News #32: i chiarimenti di INL sulla Trasparenza; data breach per Twilio; nuovi incentivi per la gestione dei rifiuti elettronici in azienda.

Immagine di copertina di Ray Hennessy grazie a Unsplash.

  • PRIVACY

D. LGS. TRASPARENZA – L’Ispettorato Nazionale Lavoro (“INL”) ha emanato una circolare, d’intesa con il Ministero del Lavoro, che contiene le “prime indicazioni di carattere operativo” sulla interpretazione di alcuni passaggi dell’ormai famoso D.Lgs. 104/2022, che è entrato in vigore lo scorso 13 agosto. Tra i numerosi spunti – tutti da verificare nella pratica – rileva la possibilità di avvalersi del “mezzo elettronico” per tutte le comunicazioni da effettuare a favore dei lavoratori (informative, istruzioni, ecc.). In relazione alla norma ed ai “nuovi” adempimenti privacy introdotti, segnaliamo poi l’interessante spunto di analisi offerto da Antonio Ciccia Messina su LinkedIn, qui.

UE-GIAPPONE – L’EDPS (European Data Protection Supervisor) ha annunciato di aver emesso un parere circa la possibilità che, nell’esecuzione di un partenariato UE-Giappone, vengano trasferiti anche flussi di dati personali. Sebbene il Giappone sia già dal 2019 considerato un “paese adeguato”, l’EDPS ha espresso il suo parere in termini di necessità di ulteriori e specifici negoziati. In particolare, l’obiettivo sarebbe quello di prevedere – seppur limitatamente a casi espressamente giustificati – l’adozione di misure che comportino la conservazione dei dati nell’ambito dell’UE o, comunque, dello Spazio Economico Europeo (SEE).

CNIL VS. CRITEO – Sebbene non sia ancora stata comminata alcuna sanzione definitiva, la notizia è già diventata virale: il CNIL avrebbe in serbo per il colosso Criteo una sanzione di ben 65 milioni di dollari. L’accusa sarebbe quella di aver violato il GDPR e, più nello specifico, di aver effettuato attività di tracciamento e profilazione in mancanza di una base giuridica valida. Nei giorni scorsi l’Autorità francese – così come prescritto dalla normativa vigente – ha informato Criteo dell’andamento della denuncia a proprio carico. Rimaniamo ora in attesa della definitiva decisione sul caso.

DATA BREACH IN TWILIO – Il sito ufficiale del fornitore di servizi di comunicazione con base USA (SMS automation in particolare) ha rilasciato una news sul proprio blog in cui riporta di aver subito un “social engineering attack” che ha compromesso dati di dipendenti e clienti, scoperto in data 4 agosto. I clienti coinvolti hanno ricevuto una e-mail di alert con una serie di istruzioni e chiarimenti ulteriori.

  • D.LGS. 231

ANTICORRUZIONE – L’Autorità Anticorruzione italiana (ANAC) ha recentemente lanciato un nuovo portale per fornire ai cittadini degli indicatori “oggettivi” al fine di valutare l’intensità del rischio di verificazione di eventi corruttivi. Attraverso il portale – denominato “Misura le corruzione” – l’utente potrà valutare il rischio di ciascuna città o provincia italiana. Tre le macro aree tematiche individuate: indicatori di contesto, rischio corruttivo negli appalti e rischi a livello comunale.

AMBIENTE E RIFIUTI DIGITALI – Pubblicato di recente in Gazzetta Ufficiale il Decreto del Ministero della Transizione Ecologica che mira ad incentivare l’introduzione volontaria dei sistemi certificati di gestione ambientale disciplinati dal Reg. UE (CE) 2009/1221. Si prevede un contributo sino a 15 mila euro per consulenza e attività di certificazione, qualora non si disponga ancora di tali sistemi di gestione.

  • MERCATI DIGITALI

MEDIASET VS. VIMEO – Notizie di stampa riportano che anche il giudizio di appello nella controversia in materia di copyright tra il colosso italiano e la piattaforma Vimeo è andato a favore della prima: confermata la sanzione da 8,5 milioni di euro per violazione dei diritti d’autore su migliaia di filmati tratti da programmi televisivi della media company. La decisione si innesta in un solco già ampiamente tracciato a livello europeo.

GOOGLE E LA TRASPARENZA – Sarà lanciata a breve anche in Italia la funzione “Informazioni su questo risultato”, con cui la big di Mountain View punta a rafforzare la sua “operazione trasparenza” chiarendo all’utente le ragioni per cui vengono mostrati certi risultati nella ricerca sul web. Si segnala, in proposito, anche una e-mail inviata da Google ai propri utenti non paganti (account free) in cui viene ricordato che i servizi offerti sono gratuiti propri grazie alla pubblicità con cui la big tech si finanzia.

WHATSAPP E LA PRIVACY – Con un annuncio tramite Facebook, Mark Zuckerberg ha dichiarato l’arrivo di nuove funzioni “privacy” all’interno del popolare sistema di messaggistica immediata, tra cui il divieto di effettuare screenshot delle chat istantanee e la possibilità di uscire “silenziosamente” dai gruppi.

MUSK-TWITTER – Elon Musk ha venduto azioni di Tesla per un ammontare complessivo di quasi 7 miliardi di dollari. Secondo indiscrezioni, la decisione sarebbe strettamente correlata al caso Twitter: temendo un eventuale giudizio contrario nella causa contro il social network, Musk starebbe cominciando a trovare i fondi necessari per l’acquisto dello stesso, nel caso in cui gli esiti dovessero rivelarsi per lui sfavorevoli.

  • NEWS DAL MONDO

RUSSIA – Il prossimo 1 settembre entreranno in vigore in Russia nuove disposizioni in materia di trattamento di dati personali. Lo scorso 11 agosto il Roskomnadzor, Servizio federale per la supervisione delle comunicazioni, della tecnologia, dell’informazione e delle comunicazioni, ha reso disponibile una sintesi delle imminenti modifiche legislative. Tra le nuove previsioni, l’obbligo di comunicazione di fughe di dati e la previsione di pene più severe in caso di trattamento illegale, da considerarsi come vero e proprio “atto criminale”.

FRANCIA – L’Autorità garante per la protezione dei dati francese (CNIL) ha recentemente pubblicato degli strumenti didattici indirizzati al settore sportivo non agonistico, finalizzati a garantire il rispetto della normativa privacy dettata dal GDPR. Tra gli obiettivi dichiarati dell’Autorità, quello di fornire i medesimi strumenti anche per il settore professionistico.

BANGLADESH – Il Dipartimento delle tecnologie, dell’informazione e della comunicazione bengalese ha emanato un progetto di legge in materia di protezione dei dati, il cui ambito di applicazione territoriale si espanderà anche oltre i confini del Bangladesh. Come specificamente dichiarato nel corpo della bozza, la normativa non si applicherà al trattamento di dati anonimi, crittografati e pseudonimizzati.

AUSTRALIA – Sono al vaglio del governo locale le ipotesi di riforma del “Privacy Act 1988”, nell’ottica di tenere in considerazione la legislazione europea (GDPR in particolare) come standard di trasparenza ed efficacia a cui ispirarsi: l’OIAC, commissioner locale simile alle nostre autorità garanti, ha espresso un dettagliato parere in proposito.

SINGAPORE – L’autorità locale per la trasparenza monetaria (MAS) ha pubblicato un paper sull’analisi del rischio operazionale delle terze parti, all’esito di una approfondita ispezione di diverse banche aventi sede nel territorio. Interessanti i controlli e le indicazioni di governance formulate, specifiche per il settore bancario.

News #31: la Corte UE “estende”​ i dati sensibili; sciarpe “smart”​ allo stadio; nel patteggiamento 231 l’ente non paga le spese processuali.

Immagine di copertina di Kalen Emsley grazie a Unsplash

  • PRIVACY

MATOMO, GA4 E I LORO FRATELLI – Mentre i dubbi continuano riguardo a Google Analytics 4 e alla sua (improbabile, a quanto pare) conformità al GDPR, salvo cambiamenti, emergono informazioni interessanti sui suoi competitor. Tra di essi Matomo, che – avendo avuto grande esposizione mediatica – sta venendo analizzato con sempre maggiore attenzione, e che presenta anch’esso potenziali profili di rischio a seguito del (dichiarato) utilizzo di soluzioni cloud offerte da Amazon Web Services (tramite la controllata neozelandese), in particolare per l’offerta di strumenti di CDN.

LA CGUE INTERPRETA I DATI PARTICOLARI – Una recentissima decisione dell’alta Corte UE (C-184/20) riguardo ad un caso lituano sembra aver aperto la strada per una interpretazione molto ampia di cosa costituisca un “dato particolare” ai sensi del GDPR. In particolare, la decisione ha ad oggetto i cosiddetti “dati inferiti”, cioè quelli derivati da altri dati personali: anche il dato derivato, insomma, è “particolare” se rivela – come nel caso di specie – un orientamento sessuale (o rientra comunque nella casistica di cui all’art. 9 GDPR). Tempi duri per servizi online come quelli di dating, di salute, o di pubblicità su temi “sensibili”?

BLOCKCHAIN VS. GDPR – Un report pubblicato da Bloomberg pone dei seri – e molto interessanti – quesiti sulla convivenza tra i diritti esercitabili in base alla normativa europea e la sostanziale “eternità” delle informazioni immagazzinate attraverso la blockchain, soprattutto riguardo a diritti di rettifica e “oblio”. Non solo: l’incertezza legale può arrivare a riguardare anche il concetto di “dati crittografati”, che con la blockchain rende complesso concedere uno dei diritti fondamentali, quello di accesso.

SCIARPA SMART – Ha fatto notizia l’avvio di una fase di test della “smart scarf” da parte del team inglese del Manchester City, che raccoglie dati utilizzando una serie di sensori a contatto con il collo e le spalle del tifoso che la indossa. Molto interessante come il club abbia rilevato i momenti di maggior interesse, emozione e coinvolgimento dei tifosi oggetto del pilota, lungo il corso dei 90 minuti di partita, tra cui il battito cardiaco e la temperatura corporea.

  • D. LGS. 231

PATTEGGIAMENTO – Con una recentissima sentenza (n. 30610 dello scorso 3 agosto, consultabile gratuitamente per gli iscritti all’associazione AODV231) la Suprema Corte di Cassazione ha stabilito che, in caso di patteggiamento, l’ente non può essere condannato al pagamento delle spese processuali. Secondo l’orientamento dei giudici di Piazza Cavour, infatti, l’istituto della applicazione della pena previsto per le persone giuridiche non è perfettamente sovrapponibile a quello previsto per le persone fisiche (che non prevede il beneficio dell’esenzione dalle spese).

WHISTLEBLOWING –  Lo scorso 2 agosto la Camera dei Deputati ha approvato in via definitiva il Disegno di Legge recante la delega al Governo per poter – finalmente – recepire anche all’interno del nostro ordinamento la Direttiva UE 2019/1937 (cd. Direttiva Whistleblowing). La Direttiva, come è ormai noto, avrebbe dovuto essere recepita in tutti gli Stati Membri entro il 21 dicembre dello scorso anno, tuttavia moltissimi sono stati i Paesi che – proprio come l’Italia –  non hanno provveduto nei termini stabiliti. Aggiunto il tassello del voto della Camera, non ci resta che aspettare il Decreto Legislativo dell’Esecutivo.

MALVERSAZIONE – Ai fini della sussistenza del reato di malversazione (di cui all’art.316-bis c.p.) non è necessario che il finanziamento sia erogato dallo Stato, essendo sufficiente che il denaro sia concesso in presenza di una garanzia pubblica. A stabilirlo è la Cassazione (con la sentenza  n. 28416 dello scorso 19 luglio).

RAPPRESENTANZA PROCESSUALE DELL’ENTE –  La Corte di Cassazione ha recentemente stabilito (con la sentenza n. 28963) che gli amministratori indagati o imputati per il reato-presupposto non possono rappresentare l’ente in giudizio. A fondamento di tale decisione, la Corte ribadisce il tenore dell’articolo 39 del Decreto 231, secondo il quale l’ente non può partecipare al procedimento per il tramite del proprio rappresentante, nel caso in cui questi risulti coinvolto in prima persona nello stesso. Una tale inderogabile previsione è necessaria per assicurare e garantire pienamente il diritto di difesa della persona giuridica.

  • MERCATI DIGITALI

YOUTUBE-AGCOM – L’Autorità per le garanzie nelle comunicazioni ha recentemente sanzionato Youtube (di proprietà di Google) per ben 750 mila euro. Alla base del provvedimento la diffusione, da parte della piattaforma, di pubblicità del gioco d’azzardo, comportamento vietato dall’art. 9 del Decreto Dignità (D.L. 87/2018).

AMAZON COMPRA ROOMBA – Il colosso di Jeff Bezos ha annunciato di aver acquisito la casa produttrice di iRobot, l’aspirapolvere auto-gestito tra i più diffusi nel mondo, così rafforzando la sua posizione di fornitore di beni, oltre che di servizi. Non va dimenticato, tra l’altro, che il Roomba mappa la geometria di casa per fornire il miglior servizio, conoscendo così – di fatto – dove e come viviamo.. al centimetro.

PROCESSO PENALE TELEMATICO – Il Consiglio dei Ministri ha approvato il Decreto Legislativo che dà il via alle tecnologie informatiche nel settore penale, intervenendo ad esempio su notificazioni per via telematica e trasmissione dei fascicoli tra gli uffici giudiziari, evitando così che tali adempimenti impieghino mesi o anni, come oggi.

  • NEWS DAL MONDO

RUSSIA – Anche WhatsApp finisce nel mirino del Roskomnadzor, il Servizio federale per la supervisione delle comunicazioni, delle tecnologie, dell’informazione e dei mass media. Così come era successo ad altri big del settore digitale, anche WhatsApp viene sanzionato per non aver conservato all’interno del territorio federale russo una copia della documentazione attestante che il trattamento dei dati dei cittadini russi fosse avvenuto sul territorio dello stato.

REPUBBLICA CECA – L’UOOU (Ufficio per la protezione dei dati personali ceco) ha inflitto, lo scorso 1 agosto, una pesante ammenda nei confronti del Ministero dell’Interno locale per violazione della “Legge sulla polizia” nazionale. In particolare, è stato sanzionato il trattamento di dati sanitari (e, dunque, particolari) caricati dai cittadini su una app dedicata alla quarantena.

BASSA SASSONIA – L’Autorità garante della Bassa Sassonia ha recentemente inflitto una salata sanzione (per ben 900 mila euro) a un istituto di credito per aver trattato dati personali senza avere a supporto una base giuridica sufficiente. In particolare, l’ente sanzionato avrebbe tratto dati personali – addirittura anche di ex clienti – senza consenso, sulla sola base dell’insufficiente legittimo interesse.

INDIA – A seguito di una mozione alla Camera bassa, riporta Data Guidance, il Governo locale ha cancellato il “data protection bill” del 2019, mentre è in corso di diffusione per pubblica consultazione la nuova norma che lo andrà a sostituire.

Organismo di Vigilanza: compiti, requisiti e responsabilità

L’organismo di vigilanza è un organo introdotto nel nostro ordinamento dal D. Lgs. 231/ 2001– che lo scorso 8 giugno ha compiuto 21 anni, diventando così maggiorenne in tutti gli stati del mondo – istituito al fine di vigilare sulla corretta applicazione del modello di organizzazione, gestione e controllo (cd. MOGC) e dei protocolli in esso previsti, in tutti quei casi in cui gli operatori imprenditoriali decidano di dotarsene.

È importante ricordare, infatti, che l’adozione del modello di organizzazione e gestione e la correlata istituzione di un organismo di vigilanza (anche “OdV”) sono rimesse alla facoltà di ciascuna entità produttiva; il legislatore lascia dunque loro piena libertà di decidere se equipaggiarsi o meno di questi strumenti di compliance.

L’OdV riveste nel panorama aziendale un ruolo centrale ed insostituibile: soltanto laddove questo funzioni in maniera corretta – attraverso una scrupolosa attività di vigilanza sull’osservazione del modello e di aggiornamento dello stesso, ove necessario – la società che lo ha nominato sarà in grado di ottenere l’esimente prevista dall’art. 6 del Decreto 231 in relazione ai reati-presupposto commessi da soggetti operanti al suo interno.

Cosa ci dice l’articolo 6

L’art. 6 comma 1, lettere b) e d) del D. Lgs 231/2001 stabilisce che l’ente può essere esonerato dalla responsabilità conseguente alla commissione di illeciti da parte di un dipendente – apicale o sottoposto – se:

  • prova che “il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” e
  • non vi è stata omessa o insufficiente vigilanza da parte dell’organismo”.

Già dai primi articoli il Decreto esprime in maniera chiara ed evidente la necessità che il modello, una volta adottato, non rimanga relegato allo stato di mero adempimento formale.

La corretta attuazione del MOGC passa, come è evidente, inevitabilmente attraverso una costante attività di controllo e vigilanza dei protocolli e delle procedure in esso previste, nonché di adeguamento laddove le stesso dovessero risultare in corso d’opera inadeguate al perseguimento degli obiettivi di tutela fissati dalla normativa 231.

Affinché tali attività vengano svolte nel migliore dei modi dall’OdV, la legge richiede la sussistenza nei suoi (o nel suo, a seconda dei casi) membri di particolari requisiti.

Composizione: monocratica o collegiale?

La legge non fornisce precise indicazioni per quanto concerne la composizione dell’OdV; agli operatori del settore è dunque demandata la scelta di optare tra un organismo monocratico o collegiale.

Sebbene la scelta sia sostanzialmente libera, è prassi consolidata quella di optare per un organismo collegiale (formato da componenti interni o esterni all’ente), soprattutto nelle strutture aziendali di grandi dimensioni e maggiormente articolate.

In questi casi, se l’ente ha natura di società di capitali, l’art. 6 del Decreto 231 comma 4 bis, il ruolo di OdV può essere ricoperto dal collegio sindacale, dal consiglio di sorveglianza e dal comitato per il controllo della gestione.

La scelta deve, in altre parole, sempre rispecchiare la complessità delle attività che l’organismo è chiamato a gestire: se optare per un Organismo di Vigilanza monocratico risulterebbe delicato e foriero di problematiche per una multinazionale, potrebbe certamente essere la soluzione ottimale per una piccola impresa in cui l’organizzazione interna non è particolarmente strutturata.

Proprio per tali ragioni, l’art. 6 comma 4 prevede la possibilità che nelle piccole imprese sia addirittura lo stesso organo dirigente a ricoprire il ruolo di OdV.

Requisiti

In considerazione delle delicate funzioni che la legge demanda alla competenza dell’Organismo di Vigilanza, si richiedere che i suoi membri siano dotati di particolari requisiti, elaborati dalla giurisprudenza sulla base di quanto espresso nel decreto 231.

Autonomia e indipendenza: la posizione dell’organismo di vigilanza deve essere tale da garantire un’azione di controllo autonoma, ossia svincolata da ogni forma di condizionamento proveniente da componenti dell’ente, in particolare dall’organo dirigente (che, al contrario, è uno dei soggetti controllati).

L’organismo deve inoltre essere personalmente ed economicamente indipendente: non deve cioè versare in condizioni di conflitto di interesse, nemmeno potenziali.

È chiaro che, quanto più l’organismo sia composto da soggetti estranei all’organizzazione, tanto maggiore sarà il suo grado di autonomia ed indipendenza globale.

A livello giurisprudenziale si è poi consolidata una posizione per cui, perché possa parlarsi di autonomia ed indipendenza dell’organismo deputato alla vigilanza del modello 231, non debba sussistere alcun tipo di sovrapposizione tra soggetto controllato e organo controllante.

Tale principio è stato messo nero su bianco anche nelle sentenze che hanno definito il caso (tragicamente famoso) dell’incidente avvenuto nello stabilimento torinese delle acciaierie Thyssenkrupp.

Professionalità: tale requisito, (elaborato da Tribunale di Napoli con sentenza del 26 giugno 2007) richiede che l’OdV sia dotato di specifiche competenze e conoscenze tecniche idonee a garantire un controllo adeguato.

Visti gli evidenti punti di contatto della normativa 231 con elementi di diritto penale, uno dei componenti dell’OdV dovrebbe preferibilmente essere un esperto della materia.

• Continuità di azione: l’OdV deve essere strutturato in maniera tale da garantire una attività di controllo costante e continuata, tale da garantire modifiche puntuali al modello ogni qual volta ciò risulti necessario in relazione a quello che è lo sviluppo della realtà aziendale che il modello è chiamato a regolare.

Compiti e responsabilità

I poteri, i compiti e le responsabilità affidati dalla normativa vigente alle cure dell’OdV sono tutti indirizzati alla prevenzione della commissione di reatipresupposto da parte dell’organizzazione che lo ha nominato e si sostanziano essenzialmente in attività tipo consultivo, proposito e di impulso, tra cui (a titolo esemplificativo e non esaustivo):

  • vigilare sulla corretta applicazione del modello;
  • curare l’aggiornamento e l’implementazione dello stesso, ove necessario;
  • verificare la diffusione del modello in ambito aziendale;
  • analizzare i flussi informativi;
  • svolgere audit.

_________________

Immagine di Agence Olloweb ottenuta grazie a Unsplash

Non adottare il modello 231 è sinonimo di responsabilità per l’ente? La Cassazione risponde

Il modello di organizzazione e gestione (cd. MOG) previsto dal D. Lgs. 231/2001 è un importantissimo strumento di compliance aziendale, costituito da un insieme di protocolli che, se adottati dall’azienda e correttamente applicati, consentono di ridurre sensibilmente il rischio che i soggetti aziendali – apicali e/o sottoposti – commettano, nell’interesse o a beneficio dell’azienda stessa, illeciti penali.

Se, tuttavia, a fronte di una corretta predisposizione e attuazione del modello, un soggetto operante in ambito aziendale dovesse finire per commettere comunque uno degli illeciti (cd. reati-presupposto) indicati dal Decreto 231, il modello finirebbe allora per assolvere ad un’altra sua importantissima funzione tipica: quella cioè di esimere l’azienda dalla responsabilità amministrativa conseguente alla realizzazione del reato.

Appare allora chiaro che il modello risulta effettivamente efficace soltanto laddove scrupolosamente costruito – in seguito ad una precisa individuazione delle possibili aree di rischio relative alle attività aziendali – e applicato con coerenza e diligenza, non producendo alcun effetto benefico (né in termini di prevenzione di reati né in termini di esimente per la stessa azienda) nel caso in cui lo stesso dovesse rimanere relegato allo stadio di mero adempimento formale.

Se dunque la “nuda e cruda” adozione del modello non è di per sé sufficiente a fondare una legittima causa di esclusione di responsabilità per l’ente, è invece possibile affermare che la mancata adozione dello stesso possa fondare, sic et simpliciter, la responsabilità dello stesso?

Con una recentissima sentenza, la Cassazione scioglie il nostro dubbio.

Il fatto e le decisioni di merito

Il 14 aprile 2011 una donna rimaneva ferita ad una mano durante lo svolgimento della sua attività lavorativa, a causa di un incidente avvenuto durante l’interazione con un macchinario aziendale.

Con sentenza dell’11 gennaio 2021, la Corte di Appello di Venezia confermava la decisione del Tribunale di Vicenza, ascrivendo in capo all’ente una responsabilità amministrativa di cui al Decreto 231 in relazione all’art. 25-septies comma 3, in seguito alla riconosciuta responsabilità dei soggetti apicali in ordine alla commissione del reato-presupposto di lesioni personali colpose (art. 590, comma 3 c.p.), aggravato dalla violazione di norme prevenzionistiche.

I motivi della Corte veneziana erano sostanzialmente i seguenti:

  • l’azienda non si era opportunamente dotata di un modello corredato da apposite previsioni in materia di sicurezza sul lavoro;
  • il vantaggio conseguito dall’azienda si sostanziava nel risparmio si spesa in termini di tempo lavorativo da dedicare alla sua predisposizione ed attuazione;
  • l’azienda, non essendosi dotata di un modello, non aveva di conseguenza previsto un organismo di vigilanza che potesse monitorare lo stato dei macchinari.

La decisione della Cassazione

Con la sentenza n. 18413 dello scorso 10 maggio (consultabile per gli iscritti all’associazione Aodv), la Suprema Corte accoglie il ricorso dell’azienda, cassando con rinvio la decisione della Corte d’Appello.

Di seguito le perplessità della Corte e i motivi del rigetto.

1.Non appare chiaro il profilo di responsabilità dell’ente

La Corte d’Appello aveva fondato l’affermazione di responsabilità dell’ente sul presupposto della mancata adozione di un modello di organizzazione e gestione e, di conseguenza, sull’assenza di un organo di vigilanza deputato alla verifica dei sistemi di sicurezza dei macchinari.

Tali presupposti sono stati reputati insufficienti dalla Suprema Corte, posto che “la mancanza [del modello], di per sé, non può implicare un automatico addebito di responsabilità”.

2.È necessaria sussistenza di una colpa di organizzazione, con conseguente onere probatorio dell’accusa

Ribadendo alcuni concetti cardine della responsabilità amministrativa delineata dal Decreto 231, la Corte ha ripreso un concetto squisitamente giurisprudenziale (espresso nella sentenza n. 32899/2021 della stessa corte) di cd. colpa di organizzazione, concetto sostanzialmente assimilabile alla colpa della persona fisica autrice di un reato.

Tale colpa di organizzazione, che si concretizza nel dato di fatto di “non aver predisposto un insieme di accorgimenti preventivi idonei ad evitare la commissione di reati del tipo di quello realizzatosi” deve essere provata dall’accusa.

Più nello specifico, è necessario che (i) venga accertata la responsabilità penale della persona fisica che agisce nell’ambito di una organizzazione aziendale e (ii) che vengano individuati dei collegamenti tra il reato stesso e il concreto interesse dell’azienda.

In altri termini, è possibile affermare la responsabilità dell’ente soltanto a condizione che l’elemento finalistico della condotta dell’agente rispecchi unpreciso assetto organizzativo negligente dell’impresa.

La Corte veneziana, tuttavia, non è stata in grado di soffermarsi adeguatamente, nella propria decisione, sulla sostanza di tale colpa di organizzazione.

3.Contraddizioni insite alla sentenza di merito

La Corte, infine, ha ravvisato contraddizioni e discordanze sia di ordine fattuale che, più specificamente, giuridico.

Riguardo alle omissioni e violazioni delle norme prevenzionistiche e di sicurezza negli ambienti di lavoro, la Corte sottolinea che “gli aspetti che riguardano le dotazioni di sicurezza e i controlli riguardanti il macchinario specifico sul quale si è verificato l’infortunio, attengono essenzialmente a profili di responsabilità del soggetto datore di lavoro.

Tali profili, continua la Corte, nulla hanno a che vedere con l’elemento “colpa di organizzazione” : più correttamente, la responsabilità ricade allora esclusivamente sui soggetti apicali autori del reato-presupposto.

In merito alla doglianza inerente alla mancata previsione di un organismo di vigilanza, il giudice di merito ha poi dimostrato di non aver correttamente compreso la previsione di cui all’art. 6 del Decreto 231; questo, infatti, attribuisce all’Organismo di vigilanza il compito di sorvegliare e verificare la funzionalità e l’osservanza dei modelli richiamati dallo stesso articolo, e non di certo lo stato di manutenzione dei macchinari.

***

Restiamo allora in attesa di una nuova pronuncia della Corte territoriale, in cui i principi enunciati dalla giurisprudenza di legittimità dovranno essere calati nel caso concreto.

Vi terremo aggiornati.

___________________________________________

Photo by Tingey Injury Law Firm on Unsplash

Novità 231 dell’ultimo triennio

Nel corso degli ultimi anni il D.lgs. 231/2001 (“Decreto 231”), è stato oggetto di alcuni rilevanti interventi integrativi, dal punto di vista del catalogo dei reati presupposto: nella sua prima versione, infatti, il Decreto 231 contemplava solo disposizioni previste dai trattati e dalle convenzioni di cui la legge di delega costituiva ratifica e attuazione.

Ad oggi, invece, l’elenco delle basi si è ampliato notevolmente, giungendo all’art. “25-duodevicies”, ovvero in italiano il numero “diciotto” (letteralmente “due da venti” dal latino).

L’effetto risultante è quindi quello di aver trasformato oggi il Decreto 231 da disciplina volta a punire i c.d. “corporate crimes” ad una norma di ampio, amplissimo raggio, in cui sono confluiti gli illeciti più diversi.

I reati contro la Pubblica Amministrazione (novità 2019)

Nella sua prima versione, l’art. 25 del Decreto 231 introduceva la responsabilità dell’ente in relazione ai reati di corruzione e concussione commessi da soggetti apicali o in posizione subordinata, nell’interesse o a vantaggio dell’ente.

La legge n. 190/2012 (“Legge Anticorruzione”) ha modificato per la prima volta l’art. 25 del Decreto 231, inserendo nella rubrica della norma anche il reato di “induzione indebita a dare o a promettere utilità” e ha aggiunto la relativa disposizione ai reati presupposto, l’art. 319-quater del Codice penale.

Dalla Legge Anticorruzione è nata l’Autorità Nazionale Anticorruzione (“ANAC”), chiamata a definire a livello nazionale gli obiettivi per lo sviluppo della strategia di prevenzione della corruzione, ai quali devono conformarsi, a livello locale, le singole amministrazioni.

Successivamente, l’art. 25 del Decreto 231 è stato oggetto di un ulteriore intervento ad opera della Legge n. 3/2019 (“Legge spazzacorrotti”), che ha introdotto tra i reati presupposto anche il “traffico di influenze illecite” (art. 346-bis) e ha inasprito le sanzioni interdittive originariamente previste.

Nella prospettiva di conformarsi alle disposizioni innovative contenute nella “Direttiva PIF” (n. 2017/1371), il D. Lgs. 75/2020 ha apportato ulteriori novità al Decreto 231, prevedendo un inasprimento delle pene e un’estensione dell’area di punibilità per alcuni reati quando dalla loro commissione derivi una lesione degli interessi finanziari dell’Unione europea. Si è inoltre introdotta la punibilità a titolo di tentativo, nell’ipotesi di atti compiuti anche nel territorio di un altro Stato membro e finalizzati all’evasione dell’IVA per un valore non inferiore a 10 milioni di Euro. Non meno importante è stato il notevole ampliamento dei reati presupposto in materia di pubbliche forniture, di frode in agricolture e di contrabbando nei casi in cui da essi derivi un danno agli interessi finanziari dell’Unione europea.

Gli interventi legislativi che si sono succeduti nel tempo sono stati ispirati in particolare dall’esigenza di fornire una risposta alle istanze di contrasto alla “mala gestio” provenienti dall’opinione pubblica, e finalizzati a contrastare un fenomeno corruttivo che, a sistema, si rappresentava come sempre più diffuso e contiguo alla criminalità organizzata.

I reati tributari e il recepimento della direttiva PIF (novità 2019)

L’inclusione degli illeciti tributari nell’elenco dei reati presupposto è avvenuta ad opera del Decreto Legge n. 124 del 26 ottobre 2019 (“Decreto Fiscale”), a seguito di due ordini di ragioni: nazionale e sovranazionale.

Dal primo punto di vista, la giurisprudenza iniziava a manifestare l’ipotesi che i reati tributari dovessero comunque essere oggetto di monitoraggio, in quanto rientranti fra i delitti non colposi dai quali l’autoriciclaggio può trarre origine. I reati tributari erano potenzialmente idonei, infatti, a generare la responsabilità dell’ente nella misura in cui rappresentavano presupposto del delitto di associazione a delinquere, frequentemente di natura transnazionale.

Dalla prospettiva sovranazionale, l’Unione europea, con la Direttiva (UE) n. 2017/1371 relativa alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale (“Direttiva PIF”), ha chiesto agli Stati membri di includere nella normativa nazionale (e quindi per noi nel Decreto 231) anche reati che ledono gli interessi dell’Unione europea, tra i quali le c.d. “frodi IVA”.

L’art. 6 della Direttiva PIF, in particolare, imponeva agli Stati membri di adottare le misure necessarie affinché le persone giuridiche possano essere ritenute responsabili dei reati commessi a loro vantaggio da qualsiasi soggetto che detenga una posizione qualificata in seno alla persona giuridica stessa.

La conversione in legge, con modificazioni, del Decreto Fiscale (avvenuta con Legge 157 del 24 dicembre 2019) ha quindi introdotto nel Decreto 231 l’art. 25-quinquiesdecies, includendo tutte le fattispecie tributarie di maggiore gravità, tra le quali, dichiarazioni fraudolente, emissione di fatture false, occultamento o distruzione dei documenti contabili e sottrazione fraudolenta al pagamento delle imposte.

I reati relativi a strumenti di pagamento “cashless” (novità 2021)

Nel solco di attuazione della Direttiva (UE) n.2019/713 relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti, l’art. 1 del D. Lgs. 184/2021, ha introdotto la nozione di strumenti di pagamento “cashless” o, in altri termini, diversi dai contanti.

La tematica ha un perimetro molto vasto e riguarda tutti i mezzi che permettono di gestire flussi monetari in formato elettronico. Sono compresi in questa ottica anche nuovi canali, ad esempio le applicazioni che consentono l’utilizzo di carte elettroniche prepagate, carte carburante, ticket per i pasti.

I reati presupposto introdotti sono relativi ad alcune condotte determinate, contemplate nelle fattispecie di seguito esposte.

In primo luogo, l’art. 493-ter del Codice Penale incrimina la condotta di chi, con la finalità di trarne un profitto, utilizza, non essendone titolare, carte di pagamento o ogni altro strumento di pagamento diverso dai contanti: la disposizione punisce anche chi falsifica o altera gli strumenti di pagamento cashless o possiede, cede o acquisisce strumenti di provenienza illecita o comunque falsificati o alterati.

L’art. 493-quater del Codice Penale incrimina invece la produzione e varie condotte di “trasferimento” che siano volte a procurare per sé o per altri apparecchiature, dispositivi o programmi informatici che, per le proprie caratteristiche tecniche, siano costruiti principalmente per commettere reati riguardanti gli strumenti di pagamento diversi dai contanti. Infine, è rilevante l’art. 640-ter del Codice Penale per l’ipotesi aggravata della frode informatica che realizzi un trasferimento di denaro, di valore monetario o di valuta virtuale.

Infine, è rilevante l’art. 640-ter del Codice Penale per l’ipotesi aggravata della frode informatica che realizzi un trasferimento di denaro, di valore monetario o di valuta virtuale.

I reati “contro i beni culturali” (novità 2022)

Il 22 marzo 2022 è stata pubblicata in Gazzetta Ufficiale la Legge 9 marzo 2022, n. 22 recante le disposizioni in materia di reati contro il patrimonio culturale.

L’intenzione della norma è quella di rafforzare gli strumenti di tutela di categorie di beni di rilevante interesse sociale, artistico e culturale, con l’inserimento di alcuni delitti contro tale patrimonio tra i reati presupposto della responsabilità amministrativa degli enti.

La riforma integra, in particolare, il catalogo dei reati presupposto con l’inserimento di due nuovi articoli: l’articolo 25-septiesdecies in tema, proprio, di delitti contro il patrimonio culturale; e l’art. 25-duodevicies in materia di riciclaggio di beni culturali e devastazione e saccheggio di beni culturali e paesaggistici.

Le disposizioni prevedono l’applicazione all’ente della sanzione pecuniaria da cinquecento a mille quote nel caso in cui l’ente, o una sua unità organizzativa, venga stabilmente utilizzato allo scopo unico o prevalente di consentire o agevolare la commissione di tali delitti; si può applicare, in questo caso, anche la sanzione dell’interdizione dall’esercizio dell’attività, che rientra tra le “sanzioni interdittive” previste dal Decreto 231 e che sono considerate univocamente dalla dottrina fra le più impattanti sull’ente e sulla sua attività economica.

___________________________________________

Photo by Patrick Tomasso on Unsplash