Storia dell'articolo
Chiudi

Questo articolo è stato pubblicato il 09 settembre 2013 alle ore 06:46.

My24

PAGINA A CURA DI
Riccardo Imperiali
Rosario Imperiali
I delitti privacy entrano nel perimetro del decreto legislativo 231/2001, in base al quale l'ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio da persone che rivestono una posizione apicale o loro sottoposti.
Lo prevede il Dl 93/2013 (il cosiddetto decreto sul femminicidio, che in realtà contiene anche altre norme rilevanti), in vigore dal 17 agosto scorso. Il Dl deve essere convertito in legge entro il 15 ottobre e attualmente, il disegno di legge per il suo recepimento è stato presentato alla Camera con atto n. 1540.
Onere probatorio e sanzioni
L'ente non risponde se prova che l'azienda ha adottato ed efficacemente attuato – prima della commissione del fatto – modelli di organizzazione e di gestione idonei a prevenire il reato. Il meccanismo adottato nella norma è un «inversione dell'onere della prova». Il nostro ordinamento, normalmente, considera ciascuno innocente fin tanto che non sia provata la sua colpevolezza. Nell'ottica del decreto 231, invece, per essere ritenuta incolpevole ed evitare la responsabilità amministrativa, l'azienda titolare del trattamento di dati dovrà dimostrare di avere messo in campo tutte le misure di prevenzione idonee a evitare la commissione dei tre delitti privacy indicati nel Dl 93.
La differenza tra le due impostazioni è di sostanza, aggravata dal fatto che, in mancanza di un adeguato modello, il Pm potrà – anche in via cautelare e dunque prima che l'impresa riesca a difendersi e sostenere le proprie ragioni – emettere le sanzioni previste dal decreto 231. Queste spaziano da quelle pecuniarie a quelle di interdizione come la sospensione o revoca di autorizzazioni o licenze, il divieto di pubblicizzare beni o servizi, sino all'interdizione temporanea dall'esercizio dell'attività.
Le sanzioni pecuniarie, poi, vengono quantificate in modo proporzionale alle capacità economiche e patrimoniali dell'azienda tenendo conto della gravità del fatto, del grado di responsabilità e dell'eventuale ravvedimento posto in essere. Queste sanzioni si aggiungeranno al quadro sanzionatorio previsto dal Codice privacy.
Come adeguare il modello
L'azienda deve dimostrare di avere adottato un modello di organizzazione e gestione «idoneo»; la proposta di regolamento Ue sulla privacy introduce qualcosa di analogo. Questa prova consiste nell'aver effettivamente promosso, in modo dinamico, una buona organizzazione per la tutela dei dati all'interno della propria struttura.
Per fare questo, l'impresa dovrà:
eanalizzare i rischi cioè le attività nel cui ambito possono essere commessi i tre delitti privacy (il Dps già prevedeva qualcosa di simile);

Shopping24

Dai nostri archivi