la responsabilità delle imprese e degli enti per violazione della privacy e dei modelli...

Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)

Avv. Andrea Maggipinto www.maggipinto.org

La responsabilità delle imprese e degli en* per violazione della privacy e dei modelli organizza*vi “231” 25 O%obre 2013 – Seminario CSIG Centro Studi Informa0ca Giuridica di Milano

1

Ing. Igor Serraino www.serraino.it


Agenda

v “231”: responsabilità d’impresa

v IT e reaA in azienda

v Privacy?

v Livello organizzaAvo e tecnologico

v Sicurezza e Qualità (ISO/IEC) 2


Un “nuova” responsabilità d’impresa

Perché?

Ø  Maggiore e*cità dell’azione imprenditoriale

Ø  Esigenze di natura sostanziale ci si è resi conto dell’inefficacia di interven0 repressivi nei soli confron0 di singoli individui nell’ipotesi di reaA commessi nell’ambito di specifiche poliAche aziendali o che comunque trovino la propria matrice in una “colpa organizzaAva” della società

3


Una “via” aperta (da tempo)

§  Foreign Corrupt PracAces Act (USA, 1977) §  Convenzione PIF del 26 luglio 1995 per la protezione degli

interessi finanziari delle Comunità europee §  Convenzione del 26 maggio 1997 relaAva alla lo%a contro

la corruzione nella quale sono coinvolA funzionari comunitari o nazionali

§  Convenzione OCSE del 21 novembre 1997 sulla lo%a alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche internazionali

4


Anche in Italia Legge 29 seIembre 2000, n. 300 §  ha radicalmente innovato il principio dell’ordinamento giuridico italiano societas delinquere non potest §  ha introdo%o la responsabilità sostanzialmente penale dei sogge_ diversi dalle persone fisiche (Società, EnA, Associazioni)

D.Lgs. 08.06.2001 n. 231 §  è stato emanato in a%uazione della delega prevista dall’art. 11 della Legge 300/00 §  dispone che, in aggiunta alla responsabilità personale degli autori materiali di taluni reaA, la Società è responsabile se i rea* sono commessi da suoi dirigen* o dipenden* nell’interesse o a vantaggio della Società stessa

5


Elementi della fattispecie

ElemenA essenziali per la configurabilità di una responsabilità ex 231 (“Responsabilità amministraAva delle persone giuridiche, delle società e della associazioni anche prive di personalità giuridica”)

Ø  criterio di imputazione oggeQvo (“chi”, “cosa”, “come”)

Ø  criterio di imputazione soggeQvo (“perché”)

6


Criterio di imputazione oggettivo (1/3)

I soggeQ La “responsabilità amministraAva” di cui al D.Lgs. 231/01 colpisce il patrimonio degli enA, dunque l’interesse economico dei soci, quando sono staA commessi cerA reaA da parte di:

Ø  persone che rivestono funzioni di rappresentanza, amministrazione o direzione dell’ente o chi esercita, anche di fa%o, funzioni di direzione e controllo (c.d. “Apicali”, art. 6) Ø  persone so%oposte alla direzione o alla vigilanza di uno dei sogge_ di cui al punto precedente (c.d. “SoIopos*”, art. 7)

7


Criterio di imputazione oggettivo (2/3) Rea* rilevan* (c.d. “catalogo dei Rea* Presupposto”) Legge 23 novembre 2001, n. 409 D.Lgs. 11 aprile 2002, n. 61 Legge 14 gennaio 2003, n. 7 Legge 11 agosto 2003, n. 228 Legge 18 aprile 2005, n. 62 Legge 28 dicembre 2005, n. 262 Legge 9 gennaio 2006, n. 7 Legge 6 febbraio 2006, n. 38 Legge 3 agosto 2007, n. 123 D.Lgs. 21 novembre 2007, n. 231 Legge 18 marzo 2008, n. 48 D.Lgs. 9 aprile 2008 n.81 Legge 15 luglio 2009, n. 94 Legge 23 luglio 2009, n. 99 Legge 3 agosto 2009, n. 116

d.lgs. 7 luglio 2011, n. 121 d.lgs. 16 luglio 2012, n. 109 Legge 6 novembre 2012, n. 190 [Legge 15 oIobre 2013, n. 119 (conv. d.l. n. 93/2013)]

8


Criterio di imputazione oggettivo (3/3)

Interesse o vantaggio La “responsabilità amministraAva” sussiste ogni qual volta il reato sia stato commesso nell’interesse o a vantaggio della società

Ø Non è necessario che il vantaggio sia stato conseguito concretamente, ma è sufficiente che vi sia l’interesse ad un potenziale vantaggio derivante dalla commissione del reato.

9


Criterio di imputazione soggettivo

Colpa da organizzazione La “responsabilità amministraAva” sussiste in quanto l’ente ha colpa per aver determinato o comunque consenAto la commissione di un certo reato

Ø  lacuna organizzaAva CHE FARE?

Un nuovo sistema di "corporate compliance" incentrato sul dovere di autocontrollo dell'ente. Ø  adozione di Modelli OrganizzaAvi (regole, procedure e modi di

operare) idonei per prevenire la commissione di illeciA

10


Responsabilità autonoma

Art.8 -‐ Autonomia delle responsabilità dell'ente 1. La responsabilità dell'ente sussiste anche quando: a) l'autore del reato non è stato iden0ficato o non è imputabile; b) il reato si es0ngue per una causa diversa dall'amnisAa. 2. Salvo che la legge disponga diversamente, non si procede nei

confronA dell'ente quando è concessa amnisAa per un reato in relazione al quale è prevista la sua responsabilità e l'imputato ha rinunciato alla sua applicazione.

3. L'ente può rinunciare all'amnisAa.

11


Sistema sanzionatorio “231”

Ø  Sanzioni pecuniarie (€ 25.800 / € 1.549.000) Ø  Sanzioni interdi_ve (interdizione dall'esercizio dell'a_vità;

sospensione o revoca di autorizzazioni, licenze o concessioni; divieto di pubblicizzare beni o servizi; divieto di contra%are con la pubblica amministrazione; esclusione da agevolazioni, finanziamenA, contribuA o sussidi ed eventuale revoca di quelli già concessi)

Ø  Confisca Ø  Pubblicazione della sentenza

12


Perché adottare un “Modello 231”? La Società non è passibile di sanzione se prova che: Ø  è stato adoIato ed efficacemente aIuato un modello di

organizzazione, gesAone e controllo idoneo a prevenire reaA; Ø  le persone hanno commesso il reato eludendo in modo

fraudolento tali modelli. In praAca, il “modello 231” vale ad escludere la colpevolezza della Società

(…e degli Amministratori)

13

Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino) 14

[da “Il Sole 24 Ore” del 22 marzo 2010]

[da “Italia Oggi” del 23 luglio 2012]


Corte d’Appello di Milano, sentenza 18 giugno 2012, n. 1824:

Ø  “Un efficace modello organizzaAvo salva la società da responsabilità amministraAva per reaA dei dipendenA”.

Ø  “Un protocollo interno effe_vamente aderente ai contenuA minimi sanciA dal dlgs 231/2001 per il modello di organizzazione e gesAone esonera l’impresa che lo a%uato … indifferentemente (i) dal nome dato a tale protocollo o (ii) dalla circostanza che esso sia stato di faBo dolosamente scavalcato dagli autori dell’illecito”

15

Giurisprudenza


Idoneità del “Modello 231”

Il requisito dell’idoneità è soddisfa%o quando il modello organizzaAvo conAene tu_ gli elemen* minimi essenziali previsA dagli ar%. 6 e 7 del D.Lgs. 231/2001:

q  IdenAficazione aree e a_vità “a rischio” q  Predisposizione di protocolli e procedure per la formazione e l’a%uazione delle decisioni q  Modalità di gesAone delle risorse finanziarie q  Obblighi di informazione e repor0ng all’O.d.V. q  Verifica periodica ed eventuale modifica q  Codice eAco e sistema disciplinare sanzionatorio

16


Information Technology e “231”

Legge 8 marzo 2008, n. 48 (mod. d.lgs. 231/01)

Ø  Criminalità informaAca Legge 23 luglio 2009, n. 99 (mod. d.lgs. 231/01)

Ø  Deli_ in materia di violazione del diri%o d'autore

17


Reati informatici Sistema*ca dei rea* informa*ci: Ø  contro il patrimonio (frode informaAca, danneggiamento informaAco) Ø  contro la fede pubblica (falsità di documenA informaAci) Ø  contro la riservatezza e la sicurezza informaAche (accesso abusivo ad un sistema informaAco, detenzione e circolazione abusiva di password e codici di accesso, diffusione di virus, interce%azione di comunicazioni telemaAche, violazioni della corrispondenza informaAca, ecc.)

18


Reati informatici rilevanti per la “231” Art. 24bis -‐ “DeliQ informa*ci e traIamento illecito di da*” Art.615-‐ter c.p.: Accesso abusivo ad un sistema informaAco o telemaAco Art.615-‐quarter: Detenzione e diffusione abusiva di codici di accesso ai sistemi informaAci o telemaAci Art.615-‐quinquies: Diffusione di apparecchiature, disposiAvi o programmi informaAci dire_ a danneggiare o interrompere un sistema informaAvo o telemaAco Art.617-‐quater: Interce%azione, impedimento o interruzione illecita di comunicazioni informaAche o telemaAche Art.617-‐quinquies: Installazione di apparecchiature a%e ad interce%are, impedire od interrompere comunicazioni informaAche o telemaAche Art.635-‐bis: Danneggiamento di informazioni, daA e programmi informaAci Art.635-‐ter: Danneggiamento di informazioni, daA e programmi informaAci uAlizzaA dallo Stato o da altro ente pubblico o comunque di pubblica uAlità Art.635-‐quater: Danneggiamento di sistemi informaAci o telemaAci Art.635-‐quinquies: Danneggiamento di sistemi informaAci o telemaAci di pubblica uAlità (Art.640-‐ter: Frode informaAca) Art.640-‐quinquies: Frode informaAca del sogge%o che presta servizi di cerAficazione di firma ele%ronica Art.491-‐bis: Falsità di documenA informaAci

19


Violazioni IP rilevanti per la “231”

20


Violazioni IP rilevanti per la “231” Art. 25nonies -‐ “DeliQ in materia di violazione del diriIo d’autore” art. 171 (legge 633/41): violazione dei diri_ di uAlizzazione economica art. 171-‐bis: soqware e banche daA art. 171-‐ter: violazione opere musicali, cinematografiche o audiovisive, opere le%erarie, drammaAche, scienAfiche o dida_che, musicali o drammaAco-‐musicali, mulAmediali, misure tecnologiche di protezione, informazione eleBroniche sul regime dei diriD art. 171-‐sepAes: omissione comunicazioni SIAE art. 171-‐ocAes: decodificazione di trasmissioni audiovisive ad accesso condizionato

21


Comunicazione del PM al Questore Art. 174-‐quinquies (legge 633/41) Ø  sospensione dell'esercizio o dell'a_vità per un periodo non inferiore a quindici giorni e non superiore a tre mesi Ø  cessazione temporanea dell'esercizio o dell'a_vità per un periodo da tre mesi ad un anno Ø  in caso di recidiva specifica, è disposta la revoca della licenza di esercizio o dell'autorizzazione allo svolgimento dell'a_vità

22


Misure di prevenzione per l’azienda

Modelli e strumenA concreA di organizzazione, gesAone, monitoraggio e controllo al fine di: §  garanAre la protezione del patrimonio informaAvo §  misure di sicurezza e di controllo per prevenire la commissione di reaA mediante l’ausilio di strumenA tecnologici §  assicurare mediante adeguate policy aziendali il corre%o uAlizzo delle risorse informaAche §  disporre di evidenze informaAche che documenAno l’efficacia dei controlli, ma anche i fa_ illeciA

23


Nuovi reati “231”? NO GRAZIE

Legge 15 o%obre 2013, n. 119 (conversione d.l. n. 93/2013) Ha eliminato dall’art. 24 bis i seguenA reaA: Ø  frode informa*ca (art. 640-‐ter c.p.) con furto dell'iden*tà digitale; Ø  indebito u*lizzo, falsificazione o alterazione di carte di credito o di pagamento o di qualsiasi altro documento analogo che abiliA al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi, nonché il possesso, la cessione o l'acquisto di tali carte o documen* di provenienza illecita o comunque falsifica* o altera*, nonche' di ordini di pagamento prodo_ con essi (art. 55, co. 9, D.Lgs. n. 231/2007); Ø  traIamento illecito di da*, falsità nelle dichiarazioni e no*ficazioni al Garante della privacy, inosservanza dei provvedimen* del Garante, violazione delle misure minime di sicurezza (ar%. 167 -‐ 172 D.Lgs. n. 196/2003).

24


Sistema sanzionatorio Privacy

D.Lgs. 30 giugno 2003, n. 196 (ar%. 161-‐172)

25


Quale strategia adoIare? Ø  Evitare che vengano a crearsi “sistemi paralleli” (burocrazia) Ø  Modello organizzaAvo “integrato”

§  mappatura processi e procedure tenendo conto delle variabili organizzaAve

§  modelli di “autovalutazione” (D.Lgs. 231/01, D.Lgs. 196/2003, D.Lgs. 81/2008) e

§  valutazione dei rischi e misure di sicurezza §  disciplinare sull’uAlizzo delle risorse informaAche, posta ele%ronica e

internet (policies) §  formazione del personale §  O.d.V./Amministratore di Sistema/D.P.O. §  protocolli volontari (cerAficazioni di qualità, ambientali, di sicurezza,

ecc.)

26

Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino) 27


Ing. Igor Serraino www.serraino.it [email protected]

Avv. Andrea Maggipinto www.maggipinto.org

[email protected]

""!

To be continued

it.linkedin.com/in/andreamaggipinto http://www.linkedin.com/pub/igor-serraino/14/27b/b3

la responsabilità delle imprese e degli enti per violazione della privacy e dei modelli...

Documents