Nuovi reati in materia di privacy: prima inseriti nella 231/2001 e poi estromessi.

di Carlo CAVALLO
Avvocato in Torino


Articolo comparso sulla rivista BancaFinanza (dicembre 2013)150123-banca_finanza

 

L’obiettivo iniziale era quello di introdurre nella disciplina della responsabilità amministrativa una serie di nuove figure di reato destinate ad estendere l’ambito di operatività dei modelli organizzativi.

In quest’ottica il Decreto Legge 14/8/2013 n. 93, intitolato “Norme urgenti in materia di sicurezza e per il contrasto della violenza di genere” in vigore dal 17 agosto 2013 e da convertire in legge entro 3 mesi, aveva modificato ed aggiornato l’articolo 24 bis comma 1 del Decreto legislativo 231 del 2001 (Delitti informatici e trattamento illecito di dati – in vigore dall’aprile 2008) ed aveva introdotto altre novità.

In particolare le modifiche contenute nel citato decreto erano queste:

  1. Inserimento dell’articolo 640 ter del codice penale: Frode informatica commessa con sostituzione d’identità digitale (in danno di uno o più soggetti).

Questo reato punisce chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno. La pena è la reclusione da sei mesi a tre anni e la multa da euro 51 a euro 1.032.

La reclusione aumenta da uno a cinque anni e la multa da euro 309 a euro 1.549 se il fatto è commesso a danno dello Stato o di un altro ente pubblico o col pretesto di far esonerare taluno dal servizio militare ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.

La pena è della reclusione aumentava da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti (questa parte della norma – in sede di conversione – ha mutato testo ed oggi risulta la seguente: La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti). Il delitto è punibile a querela della persona offesa, salve alcune ipotesi di procedibilità d’ufficio;

  1. Inserimento dei delitti di cui agli articoli 55, comma 9, del Decreto legislativo 21 novembre 2007, n. 231(antiriciclaggio), che riguardano: l’indebito utilizzo, il possesso, la cessione, la falsificazione o l’ alterazione di carte di credito o di pagamento o di qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi.

La pena è della reclusione da uno a cinque anni e della multa da 310 a 1.550 euro;

  1. Inserimento dei delitti in materia di Tutela e Protezione dei dati personali (Decreto legislativo 196 del 2003 Parte III, Titolo III, Capo II, articoli da 167 a 172 compresi): trattamento illecito, relazioni con il garante (falsità nelle dichiarazioni e notificazioni, inosservanza dei provvedimenti richiesti), raccolta dati lavoratori, selezione del personale e controllo a distanza.

Le prime due modifiche, come per altri reati presupposto, avrebbero influito obbligando le aziende dotate di Modelli 231 ad adeguamenti tutto sommato non rivoluzionari, ma in parte già inclusi nel sistema dei controlli interni aziendali, destinati a garantire il buon funzionamento del modello e la sua funzione di strumento diretto alla prevenzione dei reati.

La terza novità, invece, avrebbe avuto sicuramente un impatto molto forte, considerando, da un lato, l’ampiezza delle fattispecie introdotte e la loro non indifferente complessità e, dall’altro, anche la presenza di sanzioni interdittive pesanti per il caso di loro violazione.

Si prospettava, quindi, uno scenario pieno di incognite ed alcuni commentatori avevano già previsto che sarebbero sorte non poche problematiche in seguito alla conversione.

Non è stato così.

Il Decreto Legge n. 93 è stato convertito, ma con l’esclusione dei reati relativi alla privacy.

Qualcuno parla di occasione mancata, qualcuno di vantaggio per le aziende e di vittoria delle lobby dei datori di lavoro.

L’unica cosa evidente è la mancanza di strategia da parte del legislatore su una norma che può veramente cambiare il ruolo sociale delle nostre imprese.