Incroci e interrelazioni tra 231 e privacy
Incroci e interrelazioni tra 231 e privacy
Qualche tempo fa, in occasione del "recepimento" del GDPR, scrissi un articolo sui possibili incroci ed interrelazioni tra la normativa sulla protezione dei dati personali e il d.lg. 231/2001.
Voglio riproporlo, con alcuni aggiornamenti ed integrazioni, per menzionare i 6 punti di contatto tra i due temi.
Reati-presupposto e illeciti privacy: l’associazione per delinquere (art 24-ter d.lg. 231)
I delitti in tema di privacy (che non possono essere ascritti, in quanto tali, ad una persona giuridica) possono certamente costituire reati-scopo di un'associazione per delinquere.
In questo modo, potrebbe essere contestato all'ente il delitto associativo finalizzato, ad esempio, al trattamento illecito di dati personali.
La fondatezza di tale addebito è parecchio osteggiata in dottrina, perché si risolve nell'aggiramento sostanziale del principio di tassatività dei reati-presupposto (in questo senso, Cass., VI, 24 gennaio 2014 n. 3635, tuttavia rimasta isolata).
Ormai la giurisprudenza si è orientata ad ammettere che il reato di associazione per delinquere possa essere ascritto ad un ente anche se finalizzato alla commissione di reato non presupposto.
Esemplare, a questo proposito, Cass., III, 29 novembre 2019, n. 8785:
… non assume alcun rilievo che gli illeciti realizzati dai sodali non siano riconducibili ai reati-presupposto. Correttamente il giudice di secondo grado ha affermato che (pag. 26) "se l'ente non potesse essere ritenuto responsabile ex art. 24-ter perché l'associazione posta in essere è finalizzata al compimento di reati extra catalogo, l'articolo in esame sarebbe totalmente svuotato di qualsiasi capacità punitiva, nell'ipotesi in cui sussista comunque una associazione criminosa come così come configurata dall'art. 416 c.p. [...]”. La società … è stata ritenuta responsabile non per i delitti fiscali commessi (reati fine), bensì per aver preso attivamente parte all'associazione criminale a monte di tali attività, attraverso il suo amministratore di fatto, integrando quindi l'ipotesi prevista dall'art. 24-ter D.lgs. n. 231/2001.
Reati-presupposto e illeciti privacy: riciclaggio/autoriciclaggio/reimpiego (art 25-octies d.lg. 231)
Il trattamento illecito di dati personali può procurare un profitto o, almeno, un risparmio di spesa all'ente: tali proventi illeciti potrebbero essere riciclati e impiegati in attività lecite.
La Cassazione ha ritenuto configurabile, a carico di un ente, l'autoriciclaggio dei proventi di un'estorsione (altro reato non presupposto) (II, 4 maggio 2018, n. 25979/2018).
Posso pure menzionare l’ordinanza del Tribunale del riesame di Milano, 3 maggio 2018 (dep. 29 maggio 2018), emessa nell'ambito di un procedimento a carico di società sportiva per autoriciclaggio.
Ebbene, in quel procedimento la contestazione prendeva le mosse da precedenti delitti (non presupposto) di frode fiscale, bancarotta fraudolenta, appropriazione indebita e indebita compensazione; successivamente i proventi dei reati venivano impiegati per la corresponsione di somme in nero agli atleti, allenatori, procuratori e attraverso vari pagamenti funzionali alla gestione della società calcistica, in modo da ostacolare concretamente l'identificazione della provenienza delittuosa del denaro.
Prevenzione dei reati informatici (art 24-bis d.lg. 231)
Il sistema di organizzazione, gestione e controllo in tema di privacy rileva in modo importante sulla prevenzione dei reati informatici.
Sotto questo profilo, trattasi di sistema che va opportunamente richiamato nel (e coordinato con il) Modello organizzativo.
Con particolare riguardo alla collaborazione tra OdV e DPO (vedi punto 6).
Modello 231, whistleblowing e trattamento di dati personali
L’esistenza e la regolamentazione del WB resta elemento essenziale del Modello 231 (requisito di idoneità ex lege).
Il Modello deve prevedere i canali di segnalazione interna, il divieto di ritorsione e sanzionare l’omessa adozione di canali e procedure, gli atti di ostacolo e ritorsione nei confronti del segnalante, l’omessa analisi e la violazione della riservatezza della segnalazione (anche il segnalante in mala fede può essere sanzionato).
La gestione delle segnalazioni di illecito, oggi disciplinata dal d.lg. 24/2023, comporta il trattamento di dati personali, anche sensibili.
Come è noto, tale decreto dedica apposite disposizioni alla protezione dei dati personali relativi al ricevimento e alla gestione delle segnalazioni, i quali sono effettuati dalle aziende interessate in qualità di titolari del trattamento, nel rispetto dei principi di cui agli articoli 5 e 25 del GDPR o agli articoli 3 e 16 del decreto legislativo n. 51 del 2018 (art 13).
L’eventuale fornitore esterno che tratti dati personali per loro conto è designato responsabile del trattamento; le persone che gestiscono le segnalazioni devono essere autorizzate ai sensi degli artt. 29 e 32, paragrafo 4, del GDPR e dell'art. 2-quaterdecies del Codice Privacy.
Illeciti privacy segnalabili
Tra gli illeciti segnalabili, sia nel settore pubblico che in quello privato (in enti con più di 50 dipendenti), con la conseguente tutela ex lege, rientrano pure quelli previsti dal Codice privacy e dal GDPR. Pertanto, a certe condizioni, è pure ammessa per tali illeciti la segnalazione esterna ad ANAC e la divulgazione pubblica.
Rapporti tra DPO e OdV
Il Data Protection Officer è – deve essere - interlocutore importante dell'OdV.
Ritengo problematico, invece, il suo inserimento nell'OdV alla luce dei compiti che gli spettano: egli costituisce punto di contatto con il Garante, è direttamente accessibile dagli interessati e, soprattutto, deve monitorare le modalità di trattamento da parte del Titolare, del Responsabile e dei soggetti autorizzati (e, quindi, potrebbe monitorare anche il trattamento effettuato dall'OdV).