Articoli

News #46: Twitter ha un nuovo DPO (provvisorio..); il Garante blocca il riconoscimento facciale per il 2023; le App della World Cup tracciano troppi dati..

Immagine di copertina di Rhett Lewis grazie a Unsplash.

MERCATI DIGITALI

TWITTER – Ha fatto notizia la nomina di un Data Protection Officer temporaneo dopo che tre dei più alti dirigenti del social network – tra cui il CISO, il Chief Compliance Officer e proprio il CPO/DPO – hanno dato le dimissioni: come tutto a Twitter, anche la funzione privacy al momento è “provvisoria”. E dopo aver visto i (catastrofici) risultati della fase beta del progetto di attribuzione – a pagamento, ma pur sempre indiscriminata – della famosa #spuntablu – strumento utilizzato nel mondo dei social network per garantire che l’utente sia “verificato”, cioè che corrisponde esattamente alla persona cui si riferisce -, #ElonMusk decide di rinviare al prossimo 29 novembre il lancio ufficiale dell’iniziativa “premium”. La questione si aggiunge ad una lista già abbastanza lunga di criticità che hanno caratterizzato la nuova era di Twitter, che infatti perde consensi (la rivale #Mastodon conta già 1,6 milioni di utenti attivi). Va segnalata, tuttavia, anche una “buona notizia”: il governo USA ha fatto sapere che – almeno per il momento – l’amministrazione Biden non ha intenzione di indagare sull’operazione di acquisto, nonostante dei 44 miliardi offerti da Musk, almeno 7,1 sarebbero stati finanziati da investitori provenienti dall’Arabia Saudita e dal Qatar: la questione potrebbe avere, infatti, implicazioni dal punto di vista della #sicurezzanazionale.

AMAZON – Secondo le indiscrezioni, anche #Amazon si starebbe preparando ad affrontare un’ondata di licenziamenti – proprio mentre il suo CEO, #JeffBezos, si impegna pubblicamente in grandiose campagne di beneficenza. Sebbene in termini percentuali il licenziamento coinvolgerebbe solo il 3% dei dipendenti – il New York Times parla di circa 10 mila posti di lavoro a rischio – il dato preoccupante riguarda, più in generale, il trend negativo che sta investendo l’occupazione nella Silicon Valley. Nel frattempo, Amazon deve affrontare in USA anche l’annuncio di una #classaction che l’Electronic Privacy Information Center (“EPIC”) ha intenzione di avviare nel distretto di Washington, in relazione a pratiche sleali e ingannevoli che sfrutterebbero l’impiego di Dark Pattern al fine di confondere e fuorviare i consumatori, inducendoli a rinnovare i loro abbonamenti Amazon Prime fuorviando gli utenti che desiderano terminarli.

GOOGLE – Mathew J. Platkin, procuratore generale del New Jersey, ha recentemente reso noto che, insieme ai procuratori generali di altri 40 stati americani, ha stipulato un accordo con #Google del valore di 391,5 milioni di dollari (il più grande accordo multi-stato in materia di privacy della storia americana). L’accordo si colloca all’esito di una indagine aperta qualche anno fa in seguito ad un articolo pubblicato dall’Associated Post, nel quale si accusava Google di registrare i movimenti (e dunque, raccogliere dati di localizzazione) dei consumatori anche quando gli stessi consumatori avevano, in realtà, negato il relativo consenso. Oltre al pagamento della cifra pattuita, Google si è anche impegnato tra le altre cose a (i) divulgare in modo più chiaro e trasparente le informazioni relative al tracciamento della posizione dei consumatori e (ii) creare una pagina ad hoc in cui gli utenti possono ottenere informazioni dettagliate sui dati di posizione raccolti.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

RICONOSCIMENTO FACCIALE E COMUNI ITALIANI – Il Garante per la protezione dei dati personali ha recentemente aperto un’istruttoria nei confronti di due comuni italiani per valutare e prevenire possibili violazioni connesse all’utilizzo di strumenti di #videosorveglianza. Nel mirino dell’Autorità sono finite iniziative (non attuate ma solo annunciate) dei comuni di Lecce e Arezzo relative, rispettivamente, all’utilizzo (i) di sistemi di #riconoscimentofacciale ( dunque,trattamento di dati biometrici – particolari ai sensi del GDPR) e (ii) di #superocchiali dotati di tecnologia ad #infrarossi, capaci di rilevare infrazioni stradali e validità dei documenti del guidatore dalla sola lettura di una targa. Spetta ora ai comuni presentare all’Autorità tutta la documentazione a supporto della liceità delle loro iniziative: nella giornata di domani pubblicheremo un #approfondimento su questa news, corredato dai dettagli delle due istruttorie.

PARERE EDPS SUL “EU MEDIA FREEDOM ACT” – Il 14 novembre 2022 l’European Data Protection Supervisor (“EDPS”) ha annunciato la pubblicazione del parere n. 24/2022 sulla proposta di regolamento che istituisce un quadro comune per i servizi di media nel mercato interno (“European Media Freedom Act”). L’EDPS ha accolto con favore gli obiettivi perseguiti nel progetto per proteggere la libertà, l’indipendenza e il pluralismo dei media in tutta l’Unione europea. L’EDPS ha raccomandato che il progetto di legge includa basi giuridiche esplicite e chiare, e preveda la cooperazione tra le pertinenti autorità di controllo dell’Unione europea, comprese le autorità garanti degli Stati membri, secondo le rispettive competenze.

PARERE EDPS CYBERSICUREZZA – Col parere n. 23/2022 l’EDPS, Garante Europeo, si è pronunciato su una proposta di regolamento in materia di requisiti di #cybersicurezza per i prodotti con elementi digitali. Pur esprimendosi favorevolmente nei confronti delle intenzioni e delle misure suggerite dal regolamento, l’EDPS non manca di sottolineare, tuttavia, l’importanza – in un’ottica di maggior tutela – deii principi di  #PrivacybyDesign e #PrivacybyDefault (auspicando, dunque, per un loro inserimento).

SEGNALAZIONI TELEMARKETING AL GARANTE – E’ operativo il nuovo servizio #telematico per segnalare al Garante la ricezione di telefonate indesiderate, disponibile a questo link: esso sostituisce la modalità di segnalazione precedente, che avveniva tramite un – piuttosto desueto e scarsamente utilizzato – modulo #cartaceo.

VALUTAZIONE DEL RISCHIO INFORMATICO – La BCE (Banca Centrale Europea) ha di recente diffuso online una pubblicazione in materia di valutazione del #rischioinformatico dal titolo “Towards a framework for assessing systemic cyber risk” (“Verso un quadro per la valutazione del rischio informatico sistemico”). Il documento si sofferma, in particolare, sui possibili “effetti collaterali” che i rischi informatici – il cui numero è sempre crescente- possono generare in termini di stabilità dei sistemi finanziari.

F.A.Q. DATA SERVICES ACT – Si segnala che dallo scorso 14 novembre è disponibile online sul sito dell Commissione Europea la versione aggiornata delle domande e risposte più frequenti in materia di #DSA.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

COMPROMISSIONE  DI UN SITO GIÀ INQUINATO – La Suprema Corte di Cassazione ha di recente affermato (nella sentenza n. 39759, consultabile gratuitamente per gli iscritti all’associazione AODV231) che non vale ad escludere il reato di #inquinamentoambientale (di cui all’452-bis c.p.) il fatto che un sito sia già compromesso a livello ambientale. Rigettando il corso, i giudici di piazza Cavour hanno fornito la loro interpretazione del concetto di “misurabilità” della compromissione inserito nella norma, chiarendo che (i) con tale termine il legislatore non si riferisce ad una procedura di “calcolo numerico degli effetti prodotti”, ma richiama l’astratta possibilità di valutare in termini quantitativa l’entità della compromissione e (ii) il fatto che un sito sia già inquinato non esclude che sia possibile causare un ulteriore aggravamento.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

NORVEGIA – L’autorità garante norvegese per la protezione dei dati (“Datatilsynet”) ha rilasciato, il 14 novembre 2022, una dichiarazione mettendo in guardia chi si reca in Qatar per la #CoppadelMondo FIFA sull’installazione delle applicazioni “Hayya” ed “Ehteraz”. L’autorità garante si è preoccupata, in particolare, dell’ampio accesso ai dati personali richiesto dalle applicazioni, spiegando che non è chiaro cosa facciano effettivamente o per cosa potrebbero essere utilizzati i dati personali degli utenti.

REGNO UNITO – L’ICO, Autorità garante del Regno Unito, ha annunciato di aver reso disponibile online un aggiornamento della sua guida ai trasferimenti internazionali di dati al fine di includere una nuova sezione dedicata valutazioni sul rischio del trasferimento, nonché per aggiungere un nuovo strumento di valutazione, il #TRA (scaricabile gratuitamente in formato word sul sito dell’Autorità). Lo strumento – che vuole porsi come alternativa in materia all’approccio dell’EDPB – ai compone di sei domande (poche ma ben strutturate) e di tabelle e linee guida che aiutano le società a interpretare i risultati della valutazione.

FRANCIA (SANZIONE CNIL A DISCORD) – L’autorità garante francese (“CNIL”) ha sanzionato per 800.000 euro. DISCORD Inc. – piattaforma che fornisce un servizio per chattare tramite microfono e/o webcam su Internet e messaggistica istantanea, in cui gli utenti possono creare server, canali di testo, voce e video – ritenendo commesse le seguenti violazioni: (i) aver conservato i dati personali per un periodo eccessivo (ii) violazione del diritto di informazione sui tempi di conservazione (iii) violazione degli obblighi di privacy by default e (iv) mancanza di misure di sicurezza adeguate. Il comunicato della CNIL sulla decisione è disponibile a questo link.

ARGENTINA – L’Autorità argentina per la protezione dei dati (“AAIP”) ha pubblicato (i) un progetto di legge per l’aggiornamento della normativa sulla protezione dei dati personali, a seguito di una consultazione pubblica e (ii) un report sullo sviluppo del progetto, in cui si sottolinea che l’aggiornamento della legge è un passo decisivo per aumentare le garanzie necessarie per la protezione dei dati personali nella società dell’informazione, e per stabilire regole chiare per promuovere l’innovazione e lo sviluppo dell’economia in Argentina.

SPAGNA – L’autorità spagnola per la protezione dei dati personali (“AEPD”) ha inflitto una sanzione di 70.000 euro a una banca, successivamente ridotta a 48.000 euro, a seguito di un reclamo di un privato. Il ricorrente aveva richiesto un certificato di proprietà per proprio conto alla banca, ricevendo una copia di un contratto di terzi per un errore operativo. Il ricorrente ha prontamente informato la banca, ma continuava ad avere accesso al documento attraverso la chat di contatto. Nella sua decisione, l’AEPD ha tenuto conto che la banca ha, in seguito, eliminato l’accesso del cliente al fascicolo del contratto e che, sebbene la conversazione tra la banca e il ricorrente sia stata salvata, il collegamento al fascicolo è stato rimosso. La decisione dell’AEPD, in spagnolo, è disponibile a questo link.

TANZANIA – Il Parlamento della Tanzania ha recentemente approvato il disegno di legge in materia di protezione dei dati personali. Il documento mira a stabilire un livello minimo di protezione dei dati nelle fasi di raccolta e trattamento degli stessi, nonché alla creazione di una Commissione ad hoc per la loro protezione. Vengono in tal modo fissati i criteri in base ai quali le informazioni personali possono formare oggetto di divulgazione e/o trasferimento internazionale – recependo, peraltro, anche il concetto di #adeguatezza di matrice comunitaria. Tra le altre novità, anche la proposta della emanazione del Personal Information Protection Act 2022. In tema di sanzioni, il tetto massimo viene fissato 100 milioni (corrispondenti a poco più di 41 mila euro).

CALIFORNIA – Il tribunale distrettuale della California, a seguito di una class action, ha approvato un accordo da 90 milioni di dollari con Meta, e ha imposto un ordine di sequestro e cancellazione di tutti i dati raccolti impropriamente entro il 10 febbraio 2023. I ricorrenti hanno denunciato che Meta aveva consapevolmente intercettato e tracciato l’attività Internet degli utenti su pagine che mostravano un pulsante “Mi piace”, utilizzando i cookie. L’accordo è disponibile a questo link.

News #44: il Data Markets Act è legge (e il 2 maggio 2023 sarà applicabile); colpa di organizzazione e modello 231 per la Cassazione; TwitterSaga, again..

Immagine di copertina di Andrea Vaiuso grazie a Unsplash.

PRIVACY

DIGITAL MARKETS ACT – Con la sua entrata in vigore lo scorso 1 novembre, il DMA diventa ufficialmente legge. La nuova legge sui mercati digitali si prefigge l’obiettivo di porre fine alle pratiche sleali poste in essere da quelle aziende definite #gatekeeper – quelle cioè che, fungendo da punto di incontro tra utenti commerciali e consumatori, godono di una posizione privilegiata che, sostanzialmente, consente loro di “dettare le regole del gioco”, col rischio di compromettere il delicato l’equilibrio dell’economia digitale. Tre i criteri fissati dal DMA per qualificare un’impresa come gatekeeper: (i) le dimensioni in termini di fatturato, (ii) il numero di utenti finali raggiunti (45 milioni su base mensile o almeno 10 mila su base annua) e (iii) l’aver raggiunto una posizione consolidata e duratura, attraverso il raggiungimento degli obiettivi fissati dal secondo criterio per almeno tre anni. Nel mirino dell’UE rientrano quindi sicuramente le #bigtech americane – come Facebook, Google, Amazon – nei confronti delle quali l’UE fissa specifici obblighi e divieti. Il DMA comincerà ad essere applicato il 2 maggio 2023: da tale momento i potenziali gatekeeper avranno due mesi per comunicare alla Commissione i propri risultati al fine di consentire una loro corretta qualificazione ai fini delle nuove regole comunitarie.

CODICE DI CONDOTTA SIC – Lo scorso 4 novembre il Garante per la protezione dei dati personali ha comunicato sulle proprie pagine di aver definitivamente approvato il testo del #Codicedicondotta degli operatori del settore di informazione creditizia. Il Codice, che entrerà in vigore il giorno successivo alla sua pubblicazione in Gazzetta Ufficiale, va a definire un pacchetto di garanzie e tutele finalizzate ad assicurare il corretto funzionamento del mercato creditizio e finanziario, nel rispetto dei diritti degli interessati. In quest’ottica il Codice specifica, tra le altre cose, le tipologie di dati che possono formare oggetto di trattamento, i tempi di conservazione e le modalità con cui mantenere informati gli interessati. Il nuovo Organismo di Monitoraggio (#OdM) è stato investito del compito di vigilare sull’osservanza delle regole fissate dal Codice e di tutelare i consumatori in caso di problemi con i Sistemi di informazione creditizia: a tale organo dovrà essere proposto reclamo in caso di violazioni, ferma restando la possibilità di adire il Garante, per tutto quanto di sua competenza.

“AI ACT” –  La presidenza ceca del Consiglio dell’Unione ha presentato agli altri paesi membri la versione finale del #AIACT, il nuovo strumento europeo finalizzato a regolamentare l’#intelligenzaartificiale in relazione al “rischio potenziale”, secondo quanto riporta Euractiv. Il testo, solo lievemente modificato rispetto alla precedente versione proposta qualche settimana fa, si sta dunque avviando verso l’approvazione definitiva da parte dei Ministri dell’UE, prevista per il prossimo 6 dicembre in occasione della riunione del Consiglio Telecomunicazioni.

AGGIORNAMENTO ISO – A fronte dei sempre più frequenti e sofisticati attacchi informatici e nell’ottica di una migliore gestione della sicurezza delle informazioni, l’Organizzazione Internazionale per la Standardizzazione (ISO) ha recentemente annunciato di aver rilasciato una nuova versione della sua ISO/IEC 27001.

Non è stato fornito nessun testo alternativo per questa immagine

D.LGS. 231

RINVIATA LA RIFORMA CARTABIA – Nel Consiglio dei Ministri del 31 ottobre il Governo ha approvato il D.L. 162/2022, con cui è stata posticipata l’entrata in vigore del D.Lgs. 150/2022 recante norme per l’efficienza del processo penale, nonché in materia di giustizia riparativa e disposizioni per la celere definizione dei procedimenti giudiziari. La riforma, pubblicata in Gazzetta Ufficiale lo scorso 17 ottobre, sarebbe dovuta entrare in vigore il 1° novembre, modificando il termine per la pubblica accusa per richiedere il decreto penale di condanna nei confronti dell’ente. Il D.L. 162/2022 ha invece rinviato di due mesi la data di efficacia delle modifiche, fissandola – al momento – al prossimo 30 dicembre.

REATI COLPOSI – E’ stata pubblicata la sentenza della Cassazione n. 39615/2022 sui reati colposi in materia 231, a seguito del ricorso presentato da una società, condannata sia in appello che in primo grado, per lesioni colpose patite da un proprio dipendente, rimasto schiacciato nel 2008 durante lavori all’interno di un silos. Per quanto riguarda la #colpa di #organizzazione, in primo luogo, essa deve essere specificamente provata in giudizio, avendo riguardo (i) al concreto assetto organizzativo adottato dall’impresa in tema di prevenzione e (ii) al nesso causale tra la carenza organizzativa e il verificarsi del reato presupposto. La sentenza dei giudici di legittimità, inoltre, ripercorre e sintetizza l’evoluzione giurisprudenziale in materia di norme sulla sicurezza sul lavoro in ambito 231, ponendo l’attenzione su (i) il c.d. criterio di #compatibilità, in virtù del quale, per potersi apprezzare l’interesse o il vantaggio dell’Ente, va effettuata una valutazione rispetto alla condotta e non all’evento; (ii) sulla #natura #soggettiva del criterio dell’interesse, dato che esso rappresenta l’intento del reo di procurare un beneficio all’ente mediante la commissione del reato, tale valutazione va fatta solo a priori; (iii) sul #vantaggio, che è un criterio oggettivo, da analizzare a posteriori perché legato all’effettiva realizzazione di un profitto in capo all’ente come conseguenza della commissione del reato.

DIRETTIVA PIF – È entrato ufficialmente in vigore ieri il D. Lgs. 156/2022 – pubblicato in Gazzetta Ufficiale lo scorso 22 ottobre, recante “Disposizioni correttive e integrative del decreto legislativo 14 luglio 2020, n.75, di attuazione della direttiva (UE) 2017/1371, relativa  alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale” – c.d. #correttivoPIF. Con i suoi sei articoli, il Decreto apporta modifiche a reati quali, tra gli altri, quelli #tributari previsti dall’art. 25-quinquiesdecies del D. Lgs. 231/2001.

COMMISSARIAMENTO E PATTEGGIAMENTO – Una società indagata per corruzione può, comunque, accedere all’applicazione della pena su richiesta delle parti (“patteggiamento”): lo ha affermato la Cassazione con la sentenza n. 40563/2022, stabilendo che il commissariamento non può essere inserito tra le sanzioni amministrative applicabili, ma rappresenta una misura diversa che non impedisce di patteggiare.

Non è stato fornito nessun testo alternativo per questa immagine

MERCATI DIGITALI

TRUFFE VIA SMS –  Sono state segnalate dalla Consob, da ultimo con la comunicazione del 31 ottobre, numerose truffe via SMS, che fanno indebitamente leva sulla notorietà del marchio #Amazon per estorcere ai risparmiatori denaro o dati personali, e prospettano opportunità di guadagno irrealistiche legate al presunto acquisto di azioni della piattaforma e-commerce. La Consob precisa che le truffe, non realmente riconducibili ad Amazon, risultano finalizzate all’acquisizione di dati personali e/o somme di denaro degli utenti. Amazon stessa conferma l’accaduto, e precisa che le comunicazioni via e-mail, sms o telefono da parte di Amazon non includono mai richieste di informazioni personali e/o proposte di investimenti finanziari finalizzati ad opportunità di guadagno.

MULTA A MEDIAWORLD PER PRATICHE COMMERCIALI INGANNEVOLI – L’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha sanzionato Mediaworld per aver messo in atto una prassi commerciale nei confronti di prodotti IT particolarmente desiderati dai consumatori (smartphone, pc, iPad, playstation, smart tv) che, in media, presentano un prezzo non irrisorio e che vengono di frequente esposti al pubblico in “offerta”. Secondo l’AGCM, infatti, nei volantini e nei cartelli in negozio la società ha utilizzato modalità ingannevoli per promuovere tali prodotti, spesso presentati come in promozione e invece abbinati e venduti insieme ad un prodotto accessorio, facendo pagare così al consumatore un prezzo superiore e diverso rispetto a quello pubblicizzato.

TWITTER SAGA – Dopo i vertici societari, tocca a dipendenti: #Musk continua a licenziare. Dai dati disponibili online pare che ad essere colpiti dalla nuova mossa di Mr. Tesla sarebbero oltre 3 mila persone (ben il 50% dei dipendenti!). A colpire non è solamente il merito della scelta – che, secondo Musk, sarebbe “obbligata” a fronte delle perdite che stanno investendo la società – quanto, soprattutto, le modalità di comunicazione prescelte. È stata infatti una semplice e-mail a comunicare ai dipendenti le sorti della loro permanenza in #Twitter. I lavoratori licenziati non hanno comunque aspettato a fare la loro mossa: una class action è già stata presentata al Tribunale Federale di San Francisco per violazione della legge californiana in materia di licenziamento (in spregio all’obbligo di preavviso di licenziamento fissato a 60 giorni, Twitter ha, immediatamente dopo la comunicazione, bloccato gli account dei dipendenti coinvolti). La gestione del caos con i dipendenti si aggiunge, per altro, alla delicata questione dei rapporti della società con i suoi investitori, molti dei quali – come L’Oreal e Volkswagen – cominciano ad abbandonare la nave.

DATA ACT – E’ stato pubblicato il report dell’European Telecommunications Network Operators (“ETNO”) sul #impatto del Data Act – la proposta di regolamento relativo a norme armonizzate in materia di accesso equo ai dati e di loro uso – sugli operatori di telecomunicazioni europee. Lo studio #analizza come le nuove regole proposte influenzeranno i modelli di business, sia quelli già esistenti che quelli emergenti, nei mercati B2B, B2C, business-to-government (“B2G”), cloud e edge computing. Le fonti di dati per realizzare lo studio sono state raccolte attraverso un sondaggio e varie interviste.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

UK GDPR vs. UE GDPR – Dal 2 al 4 novembre alcuni eurodeputati membri della LIBE (Commissione per le libertà civili) sono volati a Londra per discutere con alcune importanti figure britanniche (tra cui funzionari di governo e membri delle Camere) delle possibili conseguenze della riforma in materia di protezione dei dati personali. In particolare, la missione esplorativa consentirà all’Unione di valutare l’effettiva adeguatezza dell’UK alla luce del GDPR e del LED (direttiva in materia di trattamento dei dati personali da parte delle autorità competenti per finalità di prevenzione, investigazione e repressione di reati).

GIAPPONE – Il Paese punta a un deciso rafforzamento della propria unità di difesa informatica: secondo quanto reso noto in un comunicato del ministero della Difesa, Tokyo rinforzerà notevolmente il proprio organico di esperti in materia di cybersecurity, puntando a contare anche su più di cinquemila addetti militari specializzati, entro il 2027.

SPAGNA – L’Autorità garante spagnola, AEPD, si è recentemente pronunciata nei confronti di una società per il trattamento di dati personali di soggetti minori (infraquattordicenni) in violazione delle disposizioni #GDPR nonché della legge locale in materia di servizi della società dell’informazione e del commercio elettronico (LSS). Dai rilievi dell’Autorità sarebbe in particolare emerso, tra le altre cose, che la Società (i) raccoglieva dati personali in assenza di consenso, (ii) procedeva a conservarli senza prevedere un idoneo tempo di conservazione, (iii) forniva le informazioni di trattamento esclusivamente in inglese (lingua non ufficiale del Paese e, in quanto tale, di non facile comprensione per la gran parte degli utenti). Inoltre, in violazione dell’art. 8 del Regolamento, le pagine web della società risultavano sforniti dei meccanismi idonei a raccogliere il consenso dei genitori o tutori dei minori. Alla luce di tali gravi violazioni, l’AEPD ha irrogato alla società una importante sanzione, di oltre mezzo milione di euro.

PERÙ – L’Autorità garante peruviana, ANPD, ha di recente approvato la “Guida all’implementazione delle Clausole Contrattuali Tipo per il trasferimento dei dati personali”, strumento che consentirà un trasferimento di dati personali sicuro ed in linea con gli standard internazionali.

INDIA – Pubblicate nella Gazzetta Ufficiale le nuove modifiche alle norme sugli intermediari IT,  che puntano a rafforzare i requisiti di due diligence e a garantire la responsabilità dei social media e di altri intermediari online.

USA – Il 31 ottobre la Cybersecurity and Infrastructure Security Agency (“CISA”) ha pubblicato due schede che illustrano le minacce contro i sistemi che utilizzano l’autenticazione a più fattori (“MFA”). La CISA ha esortato tutte le organizzazioni a implementare l’autenticazione multifattoriale resistente al phishing o la corrispondenza dei numeri come misura di mitigazione provvisoria.

UCRAINA – È stato presentato al Parlamento ucraino un progetto di legge sulla protezione dei dati, volto a disciplinare il trattamento dei dati personali, nonché di altri tipi di dati, comprese le informazioni biometriche. La legge si rende necessaria soprattutto in quanto la legislazione attuale non garantisce pienamente la protezione dei dati personali in Ucraina, alla luce dello sviluppo degli standard internazionali in questo settore.

Decreto “Trasparenza” / 2: gli aspetti di diritto del lavoro

Integriamo la scheda pubblicata in precedenza con quella, redatta in collaborazione con RG Avvocati, riguardante gli aspetti prettamente lavoristici – non pochi e per nulla banali – di novità del Decreto appena approvato, in vigore dal prossimo 13 agosto.

Buona lettura!

Decreto “Trasparenza”/ 1: implicazioni privacy delle novità

Il prossimo 13 agosto entrerà a tutti gli effetti in vigore, senza la previsione di alcun periodo di transizione, il nuovo D.Lgs. 104/2022 (cd. Decreto Trasparenza).

Il Decreto, emanato per recepire all’interno dell’ordinamento italiano la Direttiva Europea 2019/1152 (cd. Direttiva trasparenza) reca importanti novità in materia di obblighi – soprattutto infornativi ed integrativi – del datore di lavoro. Tali obblighi dovranno essere assolti, con riferimento ai nuovi assunti, al momento dell’instaurazione del rapporto di lavoro e comunque prima dell’inizio dell’attività lavorativa, mediante la consegna del contratto di lavoro redatto per iscritto o, in alternativa, della copia della comunicazione di instaurazione del rapporto di lavoro.

La finalità perseguita – prima a livello comunitario e poi interno – è quella di migrare verso forme di lavoro più trasparenti e prevedibili: in quest’ottica, la previsione di nuovi oneri in capo al datore di lavoro si configura come lo strumento operativo necessario al raggiungimento delle finalità sancite dalla normativa.

Le nuove disposizioni si applicano ad una vasta gamma di tipologie contrattuali (a titolo esemplificativo e non esaustivo, contratti di lavoro subordinato, somministrato, contratti di lavoro intermittente e co.co.co.) e, come già accennato, prevedono un aumento degli oneri posti in capo al soggetto qualificato, nell’ambito del rapporto, come datore di lavoro. Tali oneri possono sostanzialmente suddividersi in due categorie.

Da un lato vengono innanzitutto stabiliti obblighi di comunicazione inerenti al rapporto di lavoro, che impongo al datore di lavoro di comunicare – modo chiaro e trasparente e con modalità cartacea o digitale – informazioni quali, tra le altre, l’identità delle parti e il luogo di lavoro, la durata delle ferie e i modi per esercitare il diritto di recesso

Dall’altro lato, vengono introdotte novità anche in materia di tutela delle informazioni e dei dati personali relativi ai lavoratori.

 Da questo punto di vista, il datore di lavoro sarà tenuto a:

  • informare il lavoratore circa l’utilizzo di sistemi decisionali o di monitoraggio automatizzati in grado di incidere sul rapporto di lavoro;
  • integrare l’informativa, qualora già resa in precedenza, con tutte le istruzioni di sicurezza relative all’utilizzo di tali sistemi atomizzati.

Di notevole importanza anche la previsione di specifiche misure di tutela. In particolare:

  1. la possibilità di ricorrere a strumenti più agevoli e rapidi per la risoluzione di controversie insorte tra le parti;
  2. la previsione di una sanzione per comportamenti ritorsivi che il datore di lavoro ponga eventualmente in essere, come conseguenza dell’avvio di un procedimento, anche non giudiziario, da parte del lavoratore;
  3. la previsione di una tutela contro il licenziamento o altro comportamento ritorsivo posto eventualmente in essere dal datore di lavoro in conseguenza dell’esercizio, da parte del lavoratore, dei diritti stabiliti nel decreto trasparenza e nel D.Lgs. 152/1997.

Di seguito la nostra scheda riassuntiva dettagliata, relativa all’ambito privacy, a cui seguirà una ulteriore scheda in ambito lavoristico redatta in collaborazione con lo studio RG Avvocati.

___________________________________________

Immagine di copertina di Cytonn Photography grazie a Unsplash

Novità in materia Smart Working: il 31 agosto (al momento) è la data.

Il prossimo 31 agosto la versione “emergenziale” dello smart working cesserà.

Con la fine del periodo emergenziale tramonterà anche il periodo “di favore” concesso alle aziende private allo scopo di fornire un accesso allo smart working – o, abbandonando ogni inglesismo, al cd. “lavoro agile” – semplificato dal punto di vista procedurale.

Nel corso degli ultimi due anni, infatti, l’accesso a tale modalità di lavoro è avvenuta attraverso un iter estremamente celere e scorrevole, rivelandosi sufficiente l’invio al Ministero del Lavoro e delle Politiche Sociali di apposito modulo contenente l’elencazione di tutti i lavoratori dell’azienda coinvolti nel passaggio di modalità.

Quindi, dal 1° settembre 2022 toneranno in vigore le regole dettate dalla legge n. 81/2017, integrate da quanto in ultimo stabilito dal “Protocollo nazionale sul lavoro in lavoro agile” del 7 dicembre 2021.

Già lo scorso marzo eravamo intervenuti sul tema con l’approfondimento “Lo smart working: nuova normalità”.

Tuttavia, alla luce dell’imminente cambio di normativa, ci sembra opportuno rispolverarne i passaggi fondamentali.

Nell’ultimo paragrafo, invece, trovate le attività concrete e operative da effettuare prima del 31 agosto, al fine di continuare ad accedere al “lavoro agile” correttamente.

Legge 81/2017

La legge 22 maggio 2017, n. 81 reca – al capo II e con l’obiettivo di bilanciare le esigenze private e professionali del lavoratore – disposizioni in materia di lavoro agile, per tale intendendosi una modalità di lavoro flessibile, caratterizzata dall’assenza di particolari vincoli in termini di luogo e di orari di lavoro. 

Rispetto alla procedura semplificata di matrice emergenziale, la legge sul lavoro agile risulta sicuramente più rigida e vincolante: la comunicazione complessiva dei nominativi sarà soppiantata dalla sottoscrizione di un accordo individuale con ciascuno dei lavoratori coinvolti.

Vincoli vengono poi imposti al datore di lavoro anche per quanto riguarda il contenuto di tale accordo.

Dovrà infatti figurare nel testo:

  • la previsione di tempi di riposo del lavoratore e diritto alla sua disconnessione (art. 19);
  • la previsione del diritto recesso dall’accordo (art. 19, secondo comma);
  •  una garanzia di un trattamento economico e normativo non inferiore a quello applicato ai colleghi che eseguono le mansioni in modalità ordinaria (art. 20);
  • la disciplina poteri di controllo del datore di lavoro ex art.4 Statuto dei lavoratori (art.21).

Il datore di lavoro, inoltre, deve inoltre fornire al lavoratore agile una informativa scritta per la sicurezza, una tutela contro gli infortuni sul lavoro e le malattie professionali per rischi connessi alla prestazione lavorativa resa all’esterno dell’azienda, nonché una tutela contro gli infortuni sul lavoro occorsi durante il normale percorso di andata e ritorno dal luogo di abitazione a quello prescelto.

Protocollo Nazionale sul Lavoro Agile

Ad integrare la normativa è intervenuto, lo scorso 7 dicembre, il Protocollo nazionale sul lavoro agile, dettando regole e vincoli ulteriori.

Innanzitutto, vengono individuate informazioni aggiuntive da inserire nell’accordo di cui alla legge n.81/2017. Tra queste figurano, tra le altre, la durata dell’accordo e i luoghi eventualmente esclusi ai fini della prestazione lavorativa, l’alternanza con periodi di lavoro in sede e gli strumenti di lavoro, nonché i tempi di riposo e le forme di esercizio dei diritti sindacali.

Ribadisce inoltre gli elementi caratterizzanti il lavoro agile:

  • l’assenza di un preciso orario di lavoro (art.3);
  • il rispetto della normativa relativa alla protezione dei dati personali (art.12);
  • la libertà del lavoratore di scegliere il luogo in cui svolgere la prestazione lavorativa (art.4);
  • la fornitura, di regola, da parte del datore di lavoro di tutta la strumentazione tecnologica e informatica necessaria allo svolgimento della prestazione lavorativa (art.5);

Suggerimenti operativi

Per un passaggio lineare allo smart working – o per un suo mantenimento, laddove sia attualmente attivo –, un primo aspetto da tenere ben in conto attiene alla comunicazione: è difatti importantissimo avvisare i lavoratori di tale possibilità, preferibilmente attraverso l’organizzazione di incontri di approfondimento, finalizzati anche a comprendere, tra le altre cose, le preferenze e le disponibilità per quanto riguarda la il numero di giornate lavorative da destinarsi all’una o all’altra modalità di lavoro.

Allo stesso modo, particolare attenzione va riservata alla gestione della contrattazione individuale. Ogni lavoratore è difatti portatore di esigenze e desideri diversi, che diversamente impattano sulla buona riuscita del progetto.

Dovranno pertanto essere attentamente analizzati i bisogni di ciascun lavoratore, in modo tale da garantire che l’obiettivo fissato dal Legislatore – bilanciamento vita privata/lavoro, ma anche incremento della produttività – venga efficacemente raggiunto.

Alla luce di quanto detto, appare evidente che gli aspetti da tenere in conto sono numerosi e diversi, che non si limitano al solo ambito della normativa lavoristica ma ricomprendono anche aspetti privacy e sicurezza sul lavoro.

Al di là dei singoli accordi individuali, è consigliato – anzi, quasi necessario – stilare un regolamento interno che riporti le logiche aziendali poste alla base dell’organizzazione dello smart working nonché predisporre e/o revisionare il regolamento d’uso degli strumenti aziendali e il codice disciplinare.

Per questa ragione, il suggerimento è quello di coinvolgere, sempre e sin dall’inizio, tutti i consulenti e i referenti aziendali di volta in volta interessati dall’innovazione o cambiamento, in modo tale staccarsi sempre più dal concetto di “emergenza”, rendendo sempre più “normale” il ricorso a questa forma agile di lavoro.

_________________________________________

Immagine di copertina di Austin Distel grazie a Unsplash

Non adottare il modello 231 è sinonimo di responsabilità per l’ente? La Cassazione risponde

Il modello di organizzazione e gestione (cd. MOG) previsto dal D. Lgs. 231/2001 è un importantissimo strumento di compliance aziendale, costituito da un insieme di protocolli che, se adottati dall’azienda e correttamente applicati, consentono di ridurre sensibilmente il rischio che i soggetti aziendali – apicali e/o sottoposti – commettano, nell’interesse o a beneficio dell’azienda stessa, illeciti penali.

Se, tuttavia, a fronte di una corretta predisposizione e attuazione del modello, un soggetto operante in ambito aziendale dovesse finire per commettere comunque uno degli illeciti (cd. reati-presupposto) indicati dal Decreto 231, il modello finirebbe allora per assolvere ad un’altra sua importantissima funzione tipica: quella cioè di esimere l’azienda dalla responsabilità amministrativa conseguente alla realizzazione del reato.

Appare allora chiaro che il modello risulta effettivamente efficace soltanto laddove scrupolosamente costruito – in seguito ad una precisa individuazione delle possibili aree di rischio relative alle attività aziendali – e applicato con coerenza e diligenza, non producendo alcun effetto benefico (né in termini di prevenzione di reati né in termini di esimente per la stessa azienda) nel caso in cui lo stesso dovesse rimanere relegato allo stadio di mero adempimento formale.

Se dunque la “nuda e cruda” adozione del modello non è di per sé sufficiente a fondare una legittima causa di esclusione di responsabilità per l’ente, è invece possibile affermare che la mancata adozione dello stesso possa fondare, sic et simpliciter, la responsabilità dello stesso?

Con una recentissima sentenza, la Cassazione scioglie il nostro dubbio.

Il fatto e le decisioni di merito

Il 14 aprile 2011 una donna rimaneva ferita ad una mano durante lo svolgimento della sua attività lavorativa, a causa di un incidente avvenuto durante l’interazione con un macchinario aziendale.

Con sentenza dell’11 gennaio 2021, la Corte di Appello di Venezia confermava la decisione del Tribunale di Vicenza, ascrivendo in capo all’ente una responsabilità amministrativa di cui al Decreto 231 in relazione all’art. 25-septies comma 3, in seguito alla riconosciuta responsabilità dei soggetti apicali in ordine alla commissione del reato-presupposto di lesioni personali colpose (art. 590, comma 3 c.p.), aggravato dalla violazione di norme prevenzionistiche.

I motivi della Corte veneziana erano sostanzialmente i seguenti:

  • l’azienda non si era opportunamente dotata di un modello corredato da apposite previsioni in materia di sicurezza sul lavoro;
  • il vantaggio conseguito dall’azienda si sostanziava nel risparmio si spesa in termini di tempo lavorativo da dedicare alla sua predisposizione ed attuazione;
  • l’azienda, non essendosi dotata di un modello, non aveva di conseguenza previsto un organismo di vigilanza che potesse monitorare lo stato dei macchinari.

La decisione della Cassazione

Con la sentenza n. 18413 dello scorso 10 maggio (consultabile per gli iscritti all’associazione Aodv), la Suprema Corte accoglie il ricorso dell’azienda, cassando con rinvio la decisione della Corte d’Appello.

Di seguito le perplessità della Corte e i motivi del rigetto.

1.Non appare chiaro il profilo di responsabilità dell’ente

La Corte d’Appello aveva fondato l’affermazione di responsabilità dell’ente sul presupposto della mancata adozione di un modello di organizzazione e gestione e, di conseguenza, sull’assenza di un organo di vigilanza deputato alla verifica dei sistemi di sicurezza dei macchinari.

Tali presupposti sono stati reputati insufficienti dalla Suprema Corte, posto che “la mancanza [del modello], di per sé, non può implicare un automatico addebito di responsabilità”.

2.È necessaria sussistenza di una colpa di organizzazione, con conseguente onere probatorio dell’accusa

Ribadendo alcuni concetti cardine della responsabilità amministrativa delineata dal Decreto 231, la Corte ha ripreso un concetto squisitamente giurisprudenziale (espresso nella sentenza n. 32899/2021 della stessa corte) di cd. colpa di organizzazione, concetto sostanzialmente assimilabile alla colpa della persona fisica autrice di un reato.

Tale colpa di organizzazione, che si concretizza nel dato di fatto di “non aver predisposto un insieme di accorgimenti preventivi idonei ad evitare la commissione di reati del tipo di quello realizzatosi” deve essere provata dall’accusa.

Più nello specifico, è necessario che (i) venga accertata la responsabilità penale della persona fisica che agisce nell’ambito di una organizzazione aziendale e (ii) che vengano individuati dei collegamenti tra il reato stesso e il concreto interesse dell’azienda.

In altri termini, è possibile affermare la responsabilità dell’ente soltanto a condizione che l’elemento finalistico della condotta dell’agente rispecchi unpreciso assetto organizzativo negligente dell’impresa.

La Corte veneziana, tuttavia, non è stata in grado di soffermarsi adeguatamente, nella propria decisione, sulla sostanza di tale colpa di organizzazione.

3.Contraddizioni insite alla sentenza di merito

La Corte, infine, ha ravvisato contraddizioni e discordanze sia di ordine fattuale che, più specificamente, giuridico.

Riguardo alle omissioni e violazioni delle norme prevenzionistiche e di sicurezza negli ambienti di lavoro, la Corte sottolinea che “gli aspetti che riguardano le dotazioni di sicurezza e i controlli riguardanti il macchinario specifico sul quale si è verificato l’infortunio, attengono essenzialmente a profili di responsabilità del soggetto datore di lavoro.

Tali profili, continua la Corte, nulla hanno a che vedere con l’elemento “colpa di organizzazione” : più correttamente, la responsabilità ricade allora esclusivamente sui soggetti apicali autori del reato-presupposto.

In merito alla doglianza inerente alla mancata previsione di un organismo di vigilanza, il giudice di merito ha poi dimostrato di non aver correttamente compreso la previsione di cui all’art. 6 del Decreto 231; questo, infatti, attribuisce all’Organismo di vigilanza il compito di sorvegliare e verificare la funzionalità e l’osservanza dei modelli richiamati dallo stesso articolo, e non di certo lo stato di manutenzione dei macchinari.

***

Restiamo allora in attesa di una nuova pronuncia della Corte territoriale, in cui i principi enunciati dalla giurisprudenza di legittimità dovranno essere calati nel caso concreto.

Vi terremo aggiornati.

___________________________________________

Photo by Tingey Injury Law Firm on Unsplash

Green Pass e gestione della pandemia Covid-19 in azienda: ultima fermata?

(articolo aggiornato al 29 aprile 2022, ore 18:30)

Come probabilmente chiunque avrà letto, siamo arrivati a ieri (28 aprile) – non esattamente “dopo Pasqua” come promesso – per una indicazione definitiva sulla situazione a partire dal 1 maggio prossimo.

Di fatto, nel weekend le aziende dovranno adattare le loro procedure di accesso e controllo della forza lavoro alla luce delle nuove disposizioni, in ottica Green Pass, ma non avranno molto tempo per interrogarsi sulla questione mascherine.

Come indica la foto di copertina, in ogni caso, credo che alcune misure di sicurezza (il lavarsi le mani prima di tutto!) resteranno ancora per un po’: vediamo però gli aspetti più concreti e qualche indicazione operativa della prima – e quasi ultima – ora.

Addio Green Pass

Non è stato prorogato il requisito relativo alla necessità di Green Pass per l’accesso ai luoghi di lavoro privati: pertanto, dal 1 maggio (domenica) – e quindi soprattutto da lunedì prossimo, 2 maggio, per chi non ha “turni” o aziende aperte la domenica – non sarà più necessario (nè consentito, a rigore) limitare l’accesso ai soli dipendenti che ne sono in possesso.

Attenzione: non imporre la necessità significa di fatto vietare il controllo della “Certificazione verde” ai lavoratori.

Si possono quindi archiviare e/o accantonare:

  • la procedura operativa relativa a tali aspetti (conservandone una copia per ogni futura eventuale necessità)
  • le informative privacy redatte come esposte in precedenza
  • i totem, le postazioni di verifica e la cartellonistica che riguardava l’accesso vincolato al luogo di lavoro.

Andranno quindi rimosse e/o disattivate le misure di controllo predisposte, con cancellazione degli eventuali dati conservati.

E le mascherine al chiuso?

Quanto alle mascherine, l’ordinanza firmata dal Ministero della Salute (disponibile qui) unicamente raccomanda l’utilizzo continuo (almeno sino al 15 giugno prossimo) ma non lo rende obbligatorio.

L’interpretazione maggiormente conservativa – come pubblicata da molti degli organi di stampa che ho avuto modo di consultare in questo frenetico venerdì – ritiene che restino in vigore gli accordi tra le parti sociali che consigliano l’uso continuato negli spazi al chiuso, anche in considerazione della normativa di salute e sicurezza sul lavoro di cui al D. Lgs. 81/08.

In proposito, una nota di Confindustria già menzionata nel precedente articolo (qui) lo riteneva un atto quasi dovuto, per evitare focolai incontrollati da questo momento e sino all’estate, quando speriamo anche i numeri di contagi e decessi inizieranno a calare, insieme ai bollettini giornalieri.

Cosa fare?

Al di là di archiviare il lavoro che negli ultimi due anni è stato fatto (di corsa, faticosamente, navigando tra norme scritte in fretta e all’ultimo, in modo contorto – ma per carità, sull’onda di un’emergenza mai vista prima) resta importante informare tutto il personale.

Si suggerisce prima di tutto, per entrambi i temi (Green pass e mascherine) di fare una breve comunicazione a tutto il personale, e in particolare a coloro che sono autorizzati al controllo, al fine di tenerli informati delle nuove disposizioni.

In un secondo momento, ma neanche troppo in là, bisognerà capire se ci sono dati personali conservati negli archivi aziendali, e prepararsi a cancellarli in ossequio al principio di conservazione limitata (data retention).

In proposito, sarebbe auspicabile ricevere indicazioni dall’Autorità Garante per confermare quanto la legge, ad oggi, lascia ipotizzare.

____________________________________________

Photo by Kelly Sikkema on Unsplash

Novità 231 dell’ultimo triennio

Nel corso degli ultimi anni il D.lgs. 231/2001 (“Decreto 231”), è stato oggetto di alcuni rilevanti interventi integrativi, dal punto di vista del catalogo dei reati presupposto: nella sua prima versione, infatti, il Decreto 231 contemplava solo disposizioni previste dai trattati e dalle convenzioni di cui la legge di delega costituiva ratifica e attuazione.

Ad oggi, invece, l’elenco delle basi si è ampliato notevolmente, giungendo all’art. “25-duodevicies”, ovvero in italiano il numero “diciotto” (letteralmente “due da venti” dal latino).

L’effetto risultante è quindi quello di aver trasformato oggi il Decreto 231 da disciplina volta a punire i c.d. “corporate crimes” ad una norma di ampio, amplissimo raggio, in cui sono confluiti gli illeciti più diversi.

I reati contro la Pubblica Amministrazione (novità 2019)

Nella sua prima versione, l’art. 25 del Decreto 231 introduceva la responsabilità dell’ente in relazione ai reati di corruzione e concussione commessi da soggetti apicali o in posizione subordinata, nell’interesse o a vantaggio dell’ente.

La legge n. 190/2012 (“Legge Anticorruzione”) ha modificato per la prima volta l’art. 25 del Decreto 231, inserendo nella rubrica della norma anche il reato di “induzione indebita a dare o a promettere utilità” e ha aggiunto la relativa disposizione ai reati presupposto, l’art. 319-quater del Codice penale.

Dalla Legge Anticorruzione è nata l’Autorità Nazionale Anticorruzione (“ANAC”), chiamata a definire a livello nazionale gli obiettivi per lo sviluppo della strategia di prevenzione della corruzione, ai quali devono conformarsi, a livello locale, le singole amministrazioni.

Successivamente, l’art. 25 del Decreto 231 è stato oggetto di un ulteriore intervento ad opera della Legge n. 3/2019 (“Legge spazzacorrotti”), che ha introdotto tra i reati presupposto anche il “traffico di influenze illecite” (art. 346-bis) e ha inasprito le sanzioni interdittive originariamente previste.

Nella prospettiva di conformarsi alle disposizioni innovative contenute nella “Direttiva PIF” (n. 2017/1371), il D. Lgs. 75/2020 ha apportato ulteriori novità al Decreto 231, prevedendo un inasprimento delle pene e un’estensione dell’area di punibilità per alcuni reati quando dalla loro commissione derivi una lesione degli interessi finanziari dell’Unione europea. Si è inoltre introdotta la punibilità a titolo di tentativo, nell’ipotesi di atti compiuti anche nel territorio di un altro Stato membro e finalizzati all’evasione dell’IVA per un valore non inferiore a 10 milioni di Euro. Non meno importante è stato il notevole ampliamento dei reati presupposto in materia di pubbliche forniture, di frode in agricolture e di contrabbando nei casi in cui da essi derivi un danno agli interessi finanziari dell’Unione europea.

Gli interventi legislativi che si sono succeduti nel tempo sono stati ispirati in particolare dall’esigenza di fornire una risposta alle istanze di contrasto alla “mala gestio” provenienti dall’opinione pubblica, e finalizzati a contrastare un fenomeno corruttivo che, a sistema, si rappresentava come sempre più diffuso e contiguo alla criminalità organizzata.

I reati tributari e il recepimento della direttiva PIF (novità 2019)

L’inclusione degli illeciti tributari nell’elenco dei reati presupposto è avvenuta ad opera del Decreto Legge n. 124 del 26 ottobre 2019 (“Decreto Fiscale”), a seguito di due ordini di ragioni: nazionale e sovranazionale.

Dal primo punto di vista, la giurisprudenza iniziava a manifestare l’ipotesi che i reati tributari dovessero comunque essere oggetto di monitoraggio, in quanto rientranti fra i delitti non colposi dai quali l’autoriciclaggio può trarre origine. I reati tributari erano potenzialmente idonei, infatti, a generare la responsabilità dell’ente nella misura in cui rappresentavano presupposto del delitto di associazione a delinquere, frequentemente di natura transnazionale.

Dalla prospettiva sovranazionale, l’Unione europea, con la Direttiva (UE) n. 2017/1371 relativa alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale (“Direttiva PIF”), ha chiesto agli Stati membri di includere nella normativa nazionale (e quindi per noi nel Decreto 231) anche reati che ledono gli interessi dell’Unione europea, tra i quali le c.d. “frodi IVA”.

L’art. 6 della Direttiva PIF, in particolare, imponeva agli Stati membri di adottare le misure necessarie affinché le persone giuridiche possano essere ritenute responsabili dei reati commessi a loro vantaggio da qualsiasi soggetto che detenga una posizione qualificata in seno alla persona giuridica stessa.

La conversione in legge, con modificazioni, del Decreto Fiscale (avvenuta con Legge 157 del 24 dicembre 2019) ha quindi introdotto nel Decreto 231 l’art. 25-quinquiesdecies, includendo tutte le fattispecie tributarie di maggiore gravità, tra le quali, dichiarazioni fraudolente, emissione di fatture false, occultamento o distruzione dei documenti contabili e sottrazione fraudolenta al pagamento delle imposte.

I reati relativi a strumenti di pagamento “cashless” (novità 2021)

Nel solco di attuazione della Direttiva (UE) n.2019/713 relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti, l’art. 1 del D. Lgs. 184/2021, ha introdotto la nozione di strumenti di pagamento “cashless” o, in altri termini, diversi dai contanti.

La tematica ha un perimetro molto vasto e riguarda tutti i mezzi che permettono di gestire flussi monetari in formato elettronico. Sono compresi in questa ottica anche nuovi canali, ad esempio le applicazioni che consentono l’utilizzo di carte elettroniche prepagate, carte carburante, ticket per i pasti.

I reati presupposto introdotti sono relativi ad alcune condotte determinate, contemplate nelle fattispecie di seguito esposte.

In primo luogo, l’art. 493-ter del Codice Penale incrimina la condotta di chi, con la finalità di trarne un profitto, utilizza, non essendone titolare, carte di pagamento o ogni altro strumento di pagamento diverso dai contanti: la disposizione punisce anche chi falsifica o altera gli strumenti di pagamento cashless o possiede, cede o acquisisce strumenti di provenienza illecita o comunque falsificati o alterati.

L’art. 493-quater del Codice Penale incrimina invece la produzione e varie condotte di “trasferimento” che siano volte a procurare per sé o per altri apparecchiature, dispositivi o programmi informatici che, per le proprie caratteristiche tecniche, siano costruiti principalmente per commettere reati riguardanti gli strumenti di pagamento diversi dai contanti. Infine, è rilevante l’art. 640-ter del Codice Penale per l’ipotesi aggravata della frode informatica che realizzi un trasferimento di denaro, di valore monetario o di valuta virtuale.

Infine, è rilevante l’art. 640-ter del Codice Penale per l’ipotesi aggravata della frode informatica che realizzi un trasferimento di denaro, di valore monetario o di valuta virtuale.

I reati “contro i beni culturali” (novità 2022)

Il 22 marzo 2022 è stata pubblicata in Gazzetta Ufficiale la Legge 9 marzo 2022, n. 22 recante le disposizioni in materia di reati contro il patrimonio culturale.

L’intenzione della norma è quella di rafforzare gli strumenti di tutela di categorie di beni di rilevante interesse sociale, artistico e culturale, con l’inserimento di alcuni delitti contro tale patrimonio tra i reati presupposto della responsabilità amministrativa degli enti.

La riforma integra, in particolare, il catalogo dei reati presupposto con l’inserimento di due nuovi articoli: l’articolo 25-septiesdecies in tema, proprio, di delitti contro il patrimonio culturale; e l’art. 25-duodevicies in materia di riciclaggio di beni culturali e devastazione e saccheggio di beni culturali e paesaggistici.

Le disposizioni prevedono l’applicazione all’ente della sanzione pecuniaria da cinquecento a mille quote nel caso in cui l’ente, o una sua unità organizzativa, venga stabilmente utilizzato allo scopo unico o prevalente di consentire o agevolare la commissione di tali delitti; si può applicare, in questo caso, anche la sanzione dell’interdizione dall’esercizio dell’attività, che rientra tra le “sanzioni interdittive” previste dal Decreto 231 e che sono considerate univocamente dalla dottrina fra le più impattanti sull’ente e sulla sua attività economica.

___________________________________________

Photo by Patrick Tomasso on Unsplash

Nuove linee guida di Confindustria: focus sull’Organismo di Vigilanza

Ecco come sono cambiate le indicazioni di Confindustria, approvate dal Ministero, dal 2014 ad oggi.

In questo articolo riportiamo:

  • i riferimenti delle nuove Linee Guida;
  • le principali novità del documento;
  • un focus sugli aspetti di rilievo per l’Organismo di Vigilanza (“OdV”).

La recente pubblicazione

L’8 giugno 2021 il Ministero delle Attività produttive ha approvato le nuove ed aggiornate “Linee Guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del D. Lgs 8 giugno 2001 n. 231”, redatte e presentate da Confindustria Nazionale, in adeguamento di quelle già esistenti e frequentemente utilizzate come parametro per la predisposizione di idonei Modelli.

La pagina informativa è raggiungibile a questo link, dove è possibile scaricare sia il position paper generale che quello relativo alla c.d. “Parte Speciale” del Modello di Organizzazione, Gestione e Controllo (“MOGC”), ovvero dove sono solitamente inseriti i protocolli e le procedure operative aziendali.

Le novità

Il documento, anche grazie al patrimonio di giurisprudenza e dottrina maturato dal 2014 ad oggi (con frequenti richiami nel testo), si è arricchito di novità puntuali e interessanti, che trovano origine sia in modifiche normative che in aspetti prettamente operativi.

In particolare, sono stati introdotti dei “case studies” per i nuovi reati presupposto, come aggiunti dalla data di redazione delle precedenti Linee Guida (2014) ad oggi, e una trattazione approfondita della materia del whistleblowing, che sarà peraltro oggetto di riforma a breve, vista l’emanazione della Direttiva UE n. 2019/1937 a cui farà seguito – in forza della Legge di Delegazione Europea n. 53/2021 – un Decreto Legislativo di recepimento.

Sono altresì presenti importanti chiarimenti in merito ad aspetti operativi, tra cui:

  • l’adeguamento del Codice Etico,
  • l’approfondimento delle modalità dei flussi informativi da e verso il Collegio Sindacale,
  • le modalità formative/informative del personale, e
  • il rapporto con i sistemi certificativi ISO.

Diverse sono, infine, le indicazioni “aggiornate” che riguardano l’Organismo di Vigilanza o OdV, anche a fronte della ben nota carenza di indicazioni puntuali in materia, da parte del Legislatore.

Ricadute pratiche in tema di Organismo di Vigilanza

Le Linee Guida, prima di tutto, sottolineano e meglio definiscono i requisiti di autonomia e indipendenza, di professionalità e di continuità di azione che devono caratterizzare l’OdV.

A tal fine, viene fatta notare l’opportunità di tenere rigorosamente distinti i compiti di controllore (l’OdV) e controllata (l’organizzazione aziendale), evitando sovrapposizioni rischiose in caso di componenti dell’Organismo che appartengano all’azienda, come c.d. membri interni.

In proposito, il paper sottolinea piuttosto come possibile l’opzione di investire delle funzioni di OdV il Collegio Sindacale, o – in caso di funzioni interne già esistenti – si ricorda la compatibilità (anzi, per certi versi l’opportunità) tra il richiamato ruolo di membro OdV e “Comitato Controllo e Rischi” o Internal Audit.

Le Linee Guida ricordano poi di garantire costantemente, e nel modo più efficace (pur senza duplicazioni) un razionale e costante flusso di informazioni proprio tra il Collegio Sindacale e l’OdV, in quanto entrambi accomunati – almeno in parte – da compiti di controllo e vigilanza.

Infine, giova sottolineare come le nuove indicazioni di Confindustria contengano una importante puntualizzazione sulla (insussistenza di) responsabilità penale dell’OdV, derivante dalla sua natura di organo non titolare di obblighi di controllo, quanto piuttosto di poteri di verifica, e così ben lontana dal rivestire posizione di garanzia azionabile in sede di giudizio.

_____________________________________________

Photo by Unknown for Enfold Theme