Il prossimo “Privacy Shield”: avvenimenti, criticità e possibilità aperte

Alla luce della novità di ieri, con il Garante italiano che ha – allineandosi ad altri “colleghi” europei – sanzionato l’uso di Google Analytics per il trasferimento di dati verso gli USA, ritenuto non conforme a GDPR, riteniamo molto interessante tornare sul tema degli accordi transatlantici USA-UE per (provare a) rendere lecita l’attività che coinvolge fornitori americani.

Gli avvenimenti principali: Max Schrems e la Corte di Giustizia UE

Il “Privacy Shield”, che permetteva il trasferimento di dati personali fra Unione europea e gli Stati Uniti, era un meccanismo approvato dall’Unione europea in seguito all’abolizione – sempre per mano della Corte di Giustizia UE – del suo predecessore, il “EU-USA Safe Harbour”.

Entrambi gli accordi definivano gli Stati Uniti come un Paese verso cui è possibile effettuare, secondo certe condizioni, un trasferimento dei dati di cittadini europei e/o persone comunque soggette alla normativa UE: ciò fino all’incontro-scontro con Max Schrems, giovane avvocato e attivista austriaco, che da anni sfida le politiche di trasferimento di dati verso gli USA attuate, in particolare, nell’ambito del social network “Facebook”.

Nel 2011, Max Schrems, dopo aver assistito a una lezione, in un’università della California, tenuta dal privacy lawyer di Facebook, si è reso conto che le politiche del social network non tutelavano la privacy degli utenti, e ha scaricato una copia da Facebook dei dati che lo riguardavano, in possesso della piattaforma. L’allora studente di legge ha trovato oltre 1.200 pagine di informazioni sul suo conto, contenenti anche tutti i messaggi scambiati sulla piattaforma, compresi quelli cancellati.

È iniziata così la battaglia legale, alla quale si sono aggiunte, in modo decisivo, nel 2013, le rilevazioni di Edward Snowden, ex tecnico della CIA, secondo cui anche il governo degli Stati Uniti poteva avere accesso ai dati di Facebook, e non solo i gestori del social.

La prima vittoria di Schrems è del 2015, quando la Commissione europea ha smantellato la struttura del Safe Harbour. Ma l’attivista ha proseguito ancora, e nel luglio 2020 la Corte di Giustizia dell’Unione europea ha emesso una nuova sentenza che ha abbattuto anche il Privacy Shield.

Max Schrems, nel frattempo, ha anche fondato una organizzazione no profit (“NOYB”, “None Of Your business”).

Cos’è rimasto in piedi dell’impianto legislativo per il trasferimento dei dati personali europei negli Stati Uniti?

La Corte di Giustizia, in relazione agli artt. 7 8 e 47 della carta di Nizza, in materia di protezione dei dati, su è espressa in merito alla normativa che imponeva a Facebook di mettere a disposizione delle agenzie di Intelligence americane i dati personali trasferiti, o quelli che Facebook raccoglieva dagli utenti.

In particolare, l’art 702 del FISA (“Foreign Intelligence Surveillance Act”) consente al Procuratore e al Direttore dell’Intelligence americana di autorizzare congiuntamente, previa approvazione della Corte ad hoc FISA, la sorveglianza di specifici utenti e dati mediante programmi di sorveglianza come PRISM e UPSTREAM. La Corte di Giustizia UE ha valutato anche la portata dell’Executive Order n. 12333, che consente alla NSA (“National Security Agency”) di accedere ai cavi sottomarini posti sotto l’atlantico (“dorsali di internet”) e di raggiungere i dati personali prima che essi arrivino negli Stati Uniti.

Il diritto degli Stati Uniti, secondo la sentenza della Corte di Giustizia, non prevede garanzie e limitazioni sui dati personali rispetto alle ingerenze autorizzate dalla sua normativa nazionale, e non assicura una tutela giurisdizionale effettiva degli interessati contro queste ingerenze. Restano tecnicamente validi, comunque, dopo la sentenza della Corte, tutti gli strumenti alternativi alla decisione della commissione europea, in particolare le Clausole Contrattuali Standard (in versione 2021) e le norme vincolanti di impresa (“Binding Corporate Rules”), seppure queste ultime siano utili solo a grandi (e poche) multinazionali.

Sono strumenti che non possono essere adottati solo formalmente: è necessario infatti che il Titolare del trattamento svolga sempre una valutazione caso per caso, in modo da assicurare mediante misure di sicurezza e misure supplementari che la normativa statunitense non interferisca con la protezione dei dati personali garantita dal GDPR. Se, alla fine di questa valutazione, il Titolare ritiene che non vi siano ancora adeguate garanzie, deve sospendere o porre fine al trattamento di dati personali verso gli USA.

È possibile allora ipotizzare un nuovo Privacy Shield?

Prendendo le mosse da ragionamenti di carattere storico, dato che già il primo Safe Harbour che esisteva fra Unione europea e Stati Uniti venne dichiarato invalido dalla CGUE e successivamente si arrivò a un altro compromesso, potenzialmente si potrebbe giungere a un altro accordo.

Il rischio concreto è che, per conflitto di normative interne, ora non si riescano mai a raggiungere gli standard di sicurezza previsti dall’unione europea: ciò seppure, rispetto al passato, si stanno comunque compiendo dei notevoli passi avanti, grazie ai meccanismi di cooperazione fra le Autorità Garanti europee e con l’interlocuzione tra Commissione UE e governo USA.

Ad esempio, è stato pubblicata una nuova versione delle Clausole Contrattuali Standard, che rivedono un meccanismo di trasferimento dei dati rimasto un po’ “abbandonato” negli anni, in quanto ancora riferito alla Direttiva del 1995 anche dopo l’avvento del GDPR; anche la pubblicazione da parte dell’EDPB delle Linee guida sul Trasferimento internazionale dei dati personali ha rappresentato, a parere degli esperti, una preziosa fonte di indicazioni e istruzioni, anche tecniche, per limitare i rischi e adeguare i trattamenti che comportano trasferimenti.

Rimane certa, per ora, la necessità di adottare un approccio concreto e non teorico nel trasferimento dei dati personali, valutando caso per caso con adempimenti come un attento data mapping e una valutazione relativa al trasferimento dei dati (c.d. “TIA”) quali potrebbero essere i rischi derivanti dal trasferimento di dati personali extra UE, valutando anche le misure alternative o le misure tecniche per rendere il trattamento il più possibile rispettoso dei diritti e delle libertà degli interessati.

_______________________________________________________

Immagine di copertina grazie a NASA on Unsplash

Le pratiche commerciali scorrette nei provvedimenti dell’AGCM

Una pratica commerciale “scorretta” viola i principi fondamentali previsti dal Codice del Consumo e quelli in materia di comunicazioni commerciali.

Ciò potrebbe avvenire (più o meno consapevolmente) per massimizzare i ricavi di un negozio online; o potrebbe accadere semplicemente per mancanza di chiarezza delle informazioni presentate su un sito; potrebbe infine essere idonea a fuorviare, condizionandolo, il comportamento del consumatore.

È una tematica posta spesso all’attenzione dell’Autorità Garante della Concorrenza e del Mercato (“AGCM”): è allora utile tenere sempre in particolare considerazione gli orientamenti e le posizioni prevalenti, mostrate dall’esperienza e dalle decisioni contenziose, non solo per evitare verifiche ed eventuali provvedimenti ma anche, e soprattutto, per offrire ai consumatori un acquisto trasparente e rispettoso dei loro diritti.

In generale, una pratica commerciale è scorretta quando, in contrasto con il principio della diligenza professionale, è falsa o è idonea a falsare in misura apprezzabile il comportamento economico del consumatore che raggiunge, o al quale è comunque rivolta (art. 20 D. Lgs. 206/2005).

La disciplina si applica alle pratiche commerciali scorrette poste in essere sia prima, che durante e dopo un’operazione commerciale relativa a un prodotto.

La legge suddivide le pratiche commerciali in due categorie: quelle ingannevoli e quelle aggressive.

Quali sono le pratiche commerciali “ingannevoli”? (art. 21 Codice del Consumo)

Alcune azioni considerate ingannevoli dall’AGCM sono, ad esempio:

  • quelle che assimilano gli effetti di un prodotto alimentare a quelli attribuibili alle funzioni di un farmaco, avvalendosi di etichette non autorizzate dalla Commissione europea;
  • la diffusione di informazioni non veritiere in merito alla capacità di memoria di prodotti software;
  • la creazione di indebita confusione tra cosmetici e trattamenti di medicina estetica mediante testi e immagini evocative.

Anche certe omissioni sono state sanzionate come “pratiche ingannevoli” dall’AGCM:

  • l’assenza di indicazioni puntuali sul tasso annuo effettivo globale (“TAEG”), in quanto non veniva consentito al consumatore di effettuare un’adeguata valutazione sulla convenienza effettiva di un’offerta finanziaria;
  • l’assenza, nei siti online che offrono servizi di comparazione dei prezzi e di prenotazione voli, di informazioni chiare, trasparenti e immediate sul reale costo del prodotto desiderato e su tutto ciò che è utile per orientare la scelta.

Esiste, poi, un elenco di pratiche elencate dall’art. 23 del Codice del Consumo, che sono considerate sempre ingannevoli, senza che si debba accertare la mancata diligenza e l’attitudine a falsare il comportamento economico del Consumatore, sulle quali si è pronunciato, oltre all’AGCM, anche il Consiglio di Stato (Cons. Stato 14 aprile 2020 n. 2414).

Quali sono le pratiche commerciali “aggressive”? (art. 24 Codice del Consumo)

Una pratica commerciale aggressiva è una condotta invasiva che comporta pressioni, coercizione, molestie o indebito condizionamento e influisce in concreto sulla libertà di scelta del consumatore.

Essa può avere luogo sia nel corso del rapporto contrattuale, sia nella fase di costituzione del vincolo negoziale.

Le pratiche commerciali aggressive non sono necessariamente connotate dal ricorso alla violenza fisica o verbale, ma sono accomunate dal fatto che il consumatore si trova in situazioni di stress che diventano determinanti per la sua decisione.

Ad esempio, il provvedimento dell’AGCM 20303/09 ha sanzionato

  • una procedura onerosa e farraginosa per il rimborso del credito residuo dell’utenza telefonica da parte di una società che agiva condizionando il comportamento del consumatore che intendeva cambiare gestore;
  • la prassi di un noleggio auto di bloccare temporaneamente una certa somma di denaro sulla carta di credito del cliente a garanzia dei danni che l’auto avrebbe potuto subire, inducendo il cliente, per sottrarsi al blocco di denaro sulla propria carta di credito, all’acquisto di prodotti assicurativi accessori.

Cosa può succedere in caso di violazione dei divieti?

Ai sensi dell’art. 27 comma 2 del Codice del Consumo, modificato dall’art. 37 comma 1 lett. a) n. 2 della legge n. 238/2021, in vigore dal 1 febbraio 2022, ogni soggetto od organizzazione che ne ha interesse può fare istanza all’AGCM in caso di pratiche commerciali scorrette affinché l’Autorità ne inibisca la continuazione e ne elimini gli effetti.

L’AGCM può agire anche d’ufficio in forza di poteri investigativi, esecutivi e di richiesta di informazioni, e può ottenere dal professionista responsabile l’assunzione di impegni, imporne l’applicazione e la pubblicazione.

In casi di urgenza l’AGCM può disporre, con provvedimento motivato, la sospensione provvisoria delle pratiche commerciali scorrette.

Il professionista che ha attuato una pratica commerciale scorretta può assumere l’impegno di porre fine all’infrazione utilizzando un apposito modello disposto dall’AGCM.

Quando l’AGCM ritiene la pratica commerciale contraria alle norme del Codice del Consumo, ne vieta la diffusione se l’attività non è ancora stata portata a conoscenza del pubblico, o ne proibisce la continuazione, se la pratica è già iniziata.

Per ogni inottemperanza è prevista l’applicazione di sanzioni amministrative pecuniarie, da pagare entro 30 giorni dalla notifica del provvedimento dell’AGCM.

Contro le decisioni dell’AGCM è possibile ricorrere presso il TAR del Lazio per ottenerne l’annullamento, mentre il ricorso in appello si propone davanti al Consiglio di Stato.

Checklist: l’informativa privacy secondo il GDPR

Tutte le volte che vedo una informativa privacy (di un sito, di una società, di chiunque) e trovo pochi paragrafi, zero titoletti, o qualcosa che a colpo d’occhio proprio manca, mi chiedo.

Ma non basterebbe farsi una checklist?

E allora: eccola, grazie al lavoro del team di Project:IN Avvocati!

Naturalmente ogni segnalazione di integrazione o miglioramento è ben accetta, tenendo presente che non abbiamo incluso le indicazioni provenienti dalla normativa italiana (D. Lgs. 196/2003) ma solo dal GDPR.

_________________________________

Photo by Glenn Carstens-Peters on Unsplash

***

Brexit e privacy: cosa è cambiato, cosa può ancora cambiare

Dopo un lungo e dibattuto iter, il 31 gennaio 2020 il Regno Unito ha definitivamente lasciato l’Unione Europea.

Da tale momento ha preso il via un periodo di transizione, cd. bridging mechanism, finalizzato a consentire (da un lato) il graduale adeguamento dell’ordinamento britannico alla nuova situazione e (dall’altro) una transizione ordinata dei rapporti economici, amministrativi e giuridici tra Unione Europea e United Kingdom.

Tra i vari hot topics che hanno caratterizzato il caso ed il processo di realizzazione della Brexit, importantissimo è indubbiamente quello relativo alla protezione dei dati personali dei cittadini europei e alla possibilità che questi vengano trasferiti verso Paesi terzi.

La questione, già di per sé rilevante essendosi concluso definitivamente il processo di uscita dall’Unione (il Regno Unito è oggi ufficialmente e a tutti gli effetti un Paese terzo), diventa ancora più delicata alla luce delle future riforme che il Governo di Londra ha dichiarato di voler attuare.

Evoluzione della normativa privacy tra UE e UK

Per meglio comprendere i termini della faccenda è necessario passare in rassegna l’evoluzione normativa che ha caratterizzato negli ultimi anni – dall’inizio del processo fino al completamento della Brexit – l’ordinamento giuridico britannico dal punto di vista della data protection.

Prima della rottura definitiva con l’UE, le fonti normative vigenti in Gran Bretagna in materia di protezione dei dati erano due: una di matrice europea, Regolamento 2016/679 (“GDPR”), e una interna, il Data Protection Act del 2018 (“DPA”).

Nel 2018 poi, con l’intento di gettare solide basi per il cambiamento, il Parlamento inglese ha emanato l’European Union (Withdrawal) Act con un duplice scopo: abrogare l’European Communities Act del 1972 (con cui il Regno Unito aderiva alle tre comunità europee della CEE, CECA ed Euratom), e fornire una base giuridica affinché il diritto nazionale derivato dall’UE e la legislazione europea direttamente applicabile-incorporati nel diritto interno britannico in virtù del medesimo atto- potessero essere modificati.

Risultato di tale operazione “sartoriale” è stata la nascita del cd. retained EU law: un diritto comunitario modellato “su misura” alle esigenze e prospettive di uno Stato che, pur rivendicando indipendenza rispetto alle istituzioni europee, continua entro certi limiti a rispettarle (è stato infatti previsto che il retained law venga pur sempre interpretato dai giudici interni alla luce della giurisprudenza della Corte di Giustizia Europea e dei principi fondamentali dell’Unione, in vigore prima dell’uscita definitiva dell’UK dall’Unione).

Un esempio di legislazione secondaria, emanata in virtù dell’European Union (Withdrawal) Act e capace di modificare il retained law, è rappresentato dal “Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations, 2019 (DPPEC Regulations). Tale documento, a far data dal 1° gennaio 2021, ha modificato sia il DPA nazionale che il recepimento della normativa GDPR europea, creando così quello che oggi è conosciuto come ”UK GDPR”.

Brexit: cosa cambia in materia di trasferimento dei dati extra-UE

Il trasferimento dei dati verso Paesi terzi è oggetto apposita regolamentazione da parte del GDPR, regolamentazione – a questo punto –  applicabile a tutti gli effetti anche al Regno Unito.

I meccanismi previsti dal capo V (art. 44 e ss.) rispondono all’esigenza di assicurare alle persone fisiche coinvolte il medesimo livello di protezione offerto del Regolamento, e sono (in alternativa tra loro):

  • decisione di adeguatezza ex art. 45 GDPR: il trasferimento è ammissibile sulla base di una decisione di adeguatezza della Commissione Europea che stabilisca che il paese terzo garantisce una protezione adeguata (equivalente cioè a quella offerta dal GDPR stesso). I criteri utilizzati dalla Commissione per l’adozione della decisione sono vari, tra cui figurano lo stato di diritto del paese terzo e il suo rispetto nei confronti dei diritti fondamentali e delle libertà degli individui;
  • garanzie adeguate ex art. 46 GDPR: in mancanza di una decisione di adeguatezza, il titolare del trattamento può trasferire i dati verso un paese terzo soltanto nel caso in cui siano state fornite garanzie adeguate, a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Esempio di tali garanzie sono le Standard Contractual Clauses (SCC) approvate dalla Commissione Europea secondo la procedura d’esame di cui all’art. 93 (e contenute nella loro versione più aggiornata nella Direttiva 2021/914);
  • norme vincolanti d’impresa, ex art. 47 GDPR, per i gruppi che le hanno stipulate con l’Autorità di controllo;
  • deroghe, ex art. 49 GDPR: nel caso in cui non dovessero risultare utilizzabili gli strumenti previsti dagli articoli precedenti, in via residuale il trasferimento può comunque essere lecito perché, a titolo esemplificativo, il soggetto interessato ha prestato espressamente il consenso o perché il trasferimento è necessario per l’esecuzione di un contratto.

Come extrema ratio – laddove non fossero applicabili le deroghe specificamente elencate – l’art. 49 stabilisce che il trasferimento è pur sempre lecito se fondato sulla deroga di carattere generale del trasferimento non ripetitivo per il perseguimento di interessi legittimi cogenti dell’esportazione dei dati su cui non prevalgano gli interessi e le libertà degli interessati. Non si tratta di semplici interessi legittimi del titolare ma di interessi essenziali, come ad esempio l’esigenza di proteggere la propria organizzazione o i propri sistemi da un danno grave ed immediato.

Per gestire la questione del trasferimento dei dati verso il Regno Unito, la Commissione Europea ha emanato due decisioni di adeguatezza, una relativa al GDPR e una relativa al LED (Law Enforcement Directive, 2016/680), entrambe facenti parte del più ampio TCA (Trade and Cooperation Agreement), l’accordo volto a regolare gli scambi commerciali UE-UK.

La peculiarità di tali decisioni è la previsione di una “sunset clause”, (un unicum nella storia delle decisioni ex art. 45 GDPR) che limita l’adeguatezza della decisione a quattro anni (la scadenza è prevista al 27 giugno 2025), riservando alla Commissione stessa il potere di monitorare e verificare attivamente l’assetto in materia di privacy garantito dal diritto britannico.

In altri termini l’Unione, pur non rinunciando aprioristicamente alla possibilità di “avere a che fare” con il Regno Unito, si riserva la possibilità di cambiare idea nel caso il cui dovessero cominciare ad essere attuate riforme in grado di minare quel grado di protezione adeguato che il GDPR intende tutelare e che richiede per legittimare il trasferimento dei dati.

La decisione della Commissione appare quanto mai saggia soprattutto alla luce del fatto che la Gran Bretagna sta vivendo un periodo di potenziale (e audace) cambiamento.

Possibili scenari

Tra le molte proposte di riforma in grado di allontanare Londra dalle posizioni europeiste – a titolo esemplificativo, estendere l’utilizzo del legittimo interesse come base giuridica e facilitare il trattamento dei dati da parte di enti pubblici e privati per finalità di interesse pubblico (tra cui anche la lotta al covid-19)- , la più preoccupante riguarda l’ampliamento della lista dei paesi ai quali il Regno Unito intende concedere l’adeguatezza per il trasferimento dei dati, dal momento che tra i nuovi stati figurerebbero anche gli Stati Uniti.

Una riforma in tal senso potrebbe seriamente minare la stabilità della decisione di adeguatezza emessa, con ricadute su due diversi ed egualmente importanti ambiti.

In primo luogo, un allontanamento della legislazione UK dai principi fondanti del GDPR porterebbe forzatamente a rendere più difficoltosi i trasferimenti “diretti” di dati tra Europa e Gran Bretagna, in quanto le tutele accordate dal Regolamento ai cittadini europei potrebbero venire meno al mutare dell’assetto dell’ordinamento inglese.

Non è solo la normativa specialistica in materia di data protection ad avere un impatto diretto sulla decisione di adeguatezza emessa dalla Commissione UE: le stesse tutele generali accordate ai cittadini dallo stato, e lo stesso Stato di diritto, potrebbero comportare una violazione frontale della privacy del singolo.

Si pensi, ad esempio, al tema degli ordini esecutivi diretti con cui le forze di polizia accedono ai dati, in potenziale violazione dei diritti costituzionalmente tutelati – almeno, nell’Unione Europea – di riservatezza e libertà.

Proprio in quest’ottica, ed alla luce della caduta del EU-US Privacy Shield (il sistema di autocertificazione “fatto fuori” dalla sentenza Schrems II), al fine del trasferimento dei dati verso gli Stati Uniti, ad oggi – per qualsiasi business operante in UE – non è più sufficiente il solo riferimento alle Clausole Contrattuali Tipo della Direttiva 2021/914, la cui struttura è stata ricalcata dall’International Data Transfert Agreement approvato dal Garante inglese (ICO).

Se davvero il Regno Unito dovesse aprire le porte ai liberi trasferimenti di dati verso gli Stati Uniti ad esempio mediante l’emissione di una autonoma decisione di adeguatezza, allora si presenterebbe un grosso problema, dal momento che potrebbe di fatto venire elusa la fase dei controlli – particolarmente rilevanti – oggi imposti dal GDPR e dalla sua interpretazione fissata dalla Corte di Giustizia dell’Unione Europea.

L’eventuale revoca della decisione di adeguatezza comprometterebbe insomma, con tutta probabilità, il funzionamento dell’accordo sugli scambi commerciali (TCA) e aprirebbe una nuova frontiera nel settore dei trasferimenti internazionali per le aziende operanti in UE.

Gli occhi dell’Unione – e in particolare della Commissione – rimangono così puntati oltremanica in attesa degli sviluppi prospettati dal governo di Londra. E noi con loro.

_________________________________________________

Photo by Rocco Dipoppa on Unsplash

Green Pass e gestione della pandemia Covid-19 in azienda: ultima fermata?

(articolo aggiornato al 29 aprile 2022, ore 18:30)

Come probabilmente chiunque avrà letto, siamo arrivati a ieri (28 aprile) – non esattamente “dopo Pasqua” come promesso – per una indicazione definitiva sulla situazione a partire dal 1 maggio prossimo.

Di fatto, nel weekend le aziende dovranno adattare le loro procedure di accesso e controllo della forza lavoro alla luce delle nuove disposizioni, in ottica Green Pass, ma non avranno molto tempo per interrogarsi sulla questione mascherine.

Come indica la foto di copertina, in ogni caso, credo che alcune misure di sicurezza (il lavarsi le mani prima di tutto!) resteranno ancora per un po’: vediamo però gli aspetti più concreti e qualche indicazione operativa della prima – e quasi ultima – ora.

Addio Green Pass

Non è stato prorogato il requisito relativo alla necessità di Green Pass per l’accesso ai luoghi di lavoro privati: pertanto, dal 1 maggio (domenica) – e quindi soprattutto da lunedì prossimo, 2 maggio, per chi non ha “turni” o aziende aperte la domenica – non sarà più necessario (nè consentito, a rigore) limitare l’accesso ai soli dipendenti che ne sono in possesso.

Attenzione: non imporre la necessità significa di fatto vietare il controllo della “Certificazione verde” ai lavoratori.

Si possono quindi archiviare e/o accantonare:

  • la procedura operativa relativa a tali aspetti (conservandone una copia per ogni futura eventuale necessità)
  • le informative privacy redatte come esposte in precedenza
  • i totem, le postazioni di verifica e la cartellonistica che riguardava l’accesso vincolato al luogo di lavoro.

Andranno quindi rimosse e/o disattivate le misure di controllo predisposte, con cancellazione degli eventuali dati conservati.

E le mascherine al chiuso?

Quanto alle mascherine, l’ordinanza firmata dal Ministero della Salute (disponibile qui) unicamente raccomanda l’utilizzo continuo (almeno sino al 15 giugno prossimo) ma non lo rende obbligatorio.

L’interpretazione maggiormente conservativa – come pubblicata da molti degli organi di stampa che ho avuto modo di consultare in questo frenetico venerdì – ritiene che restino in vigore gli accordi tra le parti sociali che consigliano l’uso continuato negli spazi al chiuso, anche in considerazione della normativa di salute e sicurezza sul lavoro di cui al D. Lgs. 81/08.

In proposito, una nota di Confindustria già menzionata nel precedente articolo (qui) lo riteneva un atto quasi dovuto, per evitare focolai incontrollati da questo momento e sino all’estate, quando speriamo anche i numeri di contagi e decessi inizieranno a calare, insieme ai bollettini giornalieri.

Cosa fare?

Al di là di archiviare il lavoro che negli ultimi due anni è stato fatto (di corsa, faticosamente, navigando tra norme scritte in fretta e all’ultimo, in modo contorto – ma per carità, sull’onda di un’emergenza mai vista prima) resta importante informare tutto il personale.

Si suggerisce prima di tutto, per entrambi i temi (Green pass e mascherine) di fare una breve comunicazione a tutto il personale, e in particolare a coloro che sono autorizzati al controllo, al fine di tenerli informati delle nuove disposizioni.

In un secondo momento, ma neanche troppo in là, bisognerà capire se ci sono dati personali conservati negli archivi aziendali, e prepararsi a cancellarli in ossequio al principio di conservazione limitata (data retention).

In proposito, sarebbe auspicabile ricevere indicazioni dall’Autorità Garante per confermare quanto la legge, ad oggi, lascia ipotizzare.

____________________________________________

Photo by Kelly Sikkema on Unsplash

Novità 231 dell’ultimo triennio

Nel corso degli ultimi anni il D.lgs. 231/2001 (“Decreto 231”), è stato oggetto di alcuni rilevanti interventi integrativi, dal punto di vista del catalogo dei reati presupposto: nella sua prima versione, infatti, il Decreto 231 contemplava solo disposizioni previste dai trattati e dalle convenzioni di cui la legge di delega costituiva ratifica e attuazione.

Ad oggi, invece, l’elenco delle basi si è ampliato notevolmente, giungendo all’art. “25-duodevicies”, ovvero in italiano il numero “diciotto” (letteralmente “due da venti” dal latino).

L’effetto risultante è quindi quello di aver trasformato oggi il Decreto 231 da disciplina volta a punire i c.d. “corporate crimes” ad una norma di ampio, amplissimo raggio, in cui sono confluiti gli illeciti più diversi.

I reati contro la Pubblica Amministrazione (novità 2019)

Nella sua prima versione, l’art. 25 del Decreto 231 introduceva la responsabilità dell’ente in relazione ai reati di corruzione e concussione commessi da soggetti apicali o in posizione subordinata, nell’interesse o a vantaggio dell’ente.

La legge n. 190/2012 (“Legge Anticorruzione”) ha modificato per la prima volta l’art. 25 del Decreto 231, inserendo nella rubrica della norma anche il reato di “induzione indebita a dare o a promettere utilità” e ha aggiunto la relativa disposizione ai reati presupposto, l’art. 319-quater del Codice penale.

Dalla Legge Anticorruzione è nata l’Autorità Nazionale Anticorruzione (“ANAC”), chiamata a definire a livello nazionale gli obiettivi per lo sviluppo della strategia di prevenzione della corruzione, ai quali devono conformarsi, a livello locale, le singole amministrazioni.

Successivamente, l’art. 25 del Decreto 231 è stato oggetto di un ulteriore intervento ad opera della Legge n. 3/2019 (“Legge spazzacorrotti”), che ha introdotto tra i reati presupposto anche il “traffico di influenze illecite” (art. 346-bis) e ha inasprito le sanzioni interdittive originariamente previste.

Nella prospettiva di conformarsi alle disposizioni innovative contenute nella “Direttiva PIF” (n. 2017/1371), il D. Lgs. 75/2020 ha apportato ulteriori novità al Decreto 231, prevedendo un inasprimento delle pene e un’estensione dell’area di punibilità per alcuni reati quando dalla loro commissione derivi una lesione degli interessi finanziari dell’Unione europea. Si è inoltre introdotta la punibilità a titolo di tentativo, nell’ipotesi di atti compiuti anche nel territorio di un altro Stato membro e finalizzati all’evasione dell’IVA per un valore non inferiore a 10 milioni di Euro. Non meno importante è stato il notevole ampliamento dei reati presupposto in materia di pubbliche forniture, di frode in agricolture e di contrabbando nei casi in cui da essi derivi un danno agli interessi finanziari dell’Unione europea.

Gli interventi legislativi che si sono succeduti nel tempo sono stati ispirati in particolare dall’esigenza di fornire una risposta alle istanze di contrasto alla “mala gestio” provenienti dall’opinione pubblica, e finalizzati a contrastare un fenomeno corruttivo che, a sistema, si rappresentava come sempre più diffuso e contiguo alla criminalità organizzata.

I reati tributari e il recepimento della direttiva PIF (novità 2019)

L’inclusione degli illeciti tributari nell’elenco dei reati presupposto è avvenuta ad opera del Decreto Legge n. 124 del 26 ottobre 2019 (“Decreto Fiscale”), a seguito di due ordini di ragioni: nazionale e sovranazionale.

Dal primo punto di vista, la giurisprudenza iniziava a manifestare l’ipotesi che i reati tributari dovessero comunque essere oggetto di monitoraggio, in quanto rientranti fra i delitti non colposi dai quali l’autoriciclaggio può trarre origine. I reati tributari erano potenzialmente idonei, infatti, a generare la responsabilità dell’ente nella misura in cui rappresentavano presupposto del delitto di associazione a delinquere, frequentemente di natura transnazionale.

Dalla prospettiva sovranazionale, l’Unione europea, con la Direttiva (UE) n. 2017/1371 relativa alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale (“Direttiva PIF”), ha chiesto agli Stati membri di includere nella normativa nazionale (e quindi per noi nel Decreto 231) anche reati che ledono gli interessi dell’Unione europea, tra i quali le c.d. “frodi IVA”.

L’art. 6 della Direttiva PIF, in particolare, imponeva agli Stati membri di adottare le misure necessarie affinché le persone giuridiche possano essere ritenute responsabili dei reati commessi a loro vantaggio da qualsiasi soggetto che detenga una posizione qualificata in seno alla persona giuridica stessa.

La conversione in legge, con modificazioni, del Decreto Fiscale (avvenuta con Legge 157 del 24 dicembre 2019) ha quindi introdotto nel Decreto 231 l’art. 25-quinquiesdecies, includendo tutte le fattispecie tributarie di maggiore gravità, tra le quali, dichiarazioni fraudolente, emissione di fatture false, occultamento o distruzione dei documenti contabili e sottrazione fraudolenta al pagamento delle imposte.

I reati relativi a strumenti di pagamento “cashless” (novità 2021)

Nel solco di attuazione della Direttiva (UE) n.2019/713 relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti, l’art. 1 del D. Lgs. 184/2021, ha introdotto la nozione di strumenti di pagamento “cashless” o, in altri termini, diversi dai contanti.

La tematica ha un perimetro molto vasto e riguarda tutti i mezzi che permettono di gestire flussi monetari in formato elettronico. Sono compresi in questa ottica anche nuovi canali, ad esempio le applicazioni che consentono l’utilizzo di carte elettroniche prepagate, carte carburante, ticket per i pasti.

I reati presupposto introdotti sono relativi ad alcune condotte determinate, contemplate nelle fattispecie di seguito esposte.

In primo luogo, l’art. 493-ter del Codice Penale incrimina la condotta di chi, con la finalità di trarne un profitto, utilizza, non essendone titolare, carte di pagamento o ogni altro strumento di pagamento diverso dai contanti: la disposizione punisce anche chi falsifica o altera gli strumenti di pagamento cashless o possiede, cede o acquisisce strumenti di provenienza illecita o comunque falsificati o alterati.

L’art. 493-quater del Codice Penale incrimina invece la produzione e varie condotte di “trasferimento” che siano volte a procurare per sé o per altri apparecchiature, dispositivi o programmi informatici che, per le proprie caratteristiche tecniche, siano costruiti principalmente per commettere reati riguardanti gli strumenti di pagamento diversi dai contanti. Infine, è rilevante l’art. 640-ter del Codice Penale per l’ipotesi aggravata della frode informatica che realizzi un trasferimento di denaro, di valore monetario o di valuta virtuale.

Infine, è rilevante l’art. 640-ter del Codice Penale per l’ipotesi aggravata della frode informatica che realizzi un trasferimento di denaro, di valore monetario o di valuta virtuale.

I reati “contro i beni culturali” (novità 2022)

Il 22 marzo 2022 è stata pubblicata in Gazzetta Ufficiale la Legge 9 marzo 2022, n. 22 recante le disposizioni in materia di reati contro il patrimonio culturale.

L’intenzione della norma è quella di rafforzare gli strumenti di tutela di categorie di beni di rilevante interesse sociale, artistico e culturale, con l’inserimento di alcuni delitti contro tale patrimonio tra i reati presupposto della responsabilità amministrativa degli enti.

La riforma integra, in particolare, il catalogo dei reati presupposto con l’inserimento di due nuovi articoli: l’articolo 25-septiesdecies in tema, proprio, di delitti contro il patrimonio culturale; e l’art. 25-duodevicies in materia di riciclaggio di beni culturali e devastazione e saccheggio di beni culturali e paesaggistici.

Le disposizioni prevedono l’applicazione all’ente della sanzione pecuniaria da cinquecento a mille quote nel caso in cui l’ente, o una sua unità organizzativa, venga stabilmente utilizzato allo scopo unico o prevalente di consentire o agevolare la commissione di tali delitti; si può applicare, in questo caso, anche la sanzione dell’interdizione dall’esercizio dell’attività, che rientra tra le “sanzioni interdittive” previste dal Decreto 231 e che sono considerate univocamente dalla dottrina fra le più impattanti sull’ente e sulla sua attività economica.

___________________________________________

Photo by Patrick Tomasso on Unsplash