la responsabilità delle imprese e degli enti per violazione della privacy e dei modelli...
DESCRIPTION
Seminario organizzato dal Centro Studi Informatica Giuridica di Milano nell'ambito di SMAU Milano 2013 (La responsabilità delle imprese e degli enti per violazione della privacy e dei modelli organizzativi “231”)TRANSCRIPT
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Avv. Andrea Maggipinto www.maggipinto.org
La responsabilità delle imprese e degli en* per violazione della privacy e dei modelli organizza*vi “231” 25 O%obre 2013 – Seminario CSIG Centro Studi Informa0ca Giuridica di Milano
1
Ing. Igor Serraino www.serraino.it
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Agenda
v “231”: responsabilità d’impresa
v IT e reaA in azienda
v Privacy?
v Livello organizzaAvo e tecnologico
v Sicurezza e Qualità (ISO/IEC) 2
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Un “nuova” responsabilità d’impresa
Perché?
Ø Maggiore e*cità dell’azione imprenditoriale
Ø Esigenze di natura sostanziale ci si è resi conto dell’inefficacia di interven0 repressivi nei soli confron0 di singoli individui nell’ipotesi di reaA commessi nell’ambito di specifiche poliAche aziendali o che comunque trovino la propria matrice in una “colpa organizzaAva” della società
3
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Una “via” aperta (da tempo)
§ Foreign Corrupt PracAces Act (USA, 1977) § Convenzione PIF del 26 luglio 1995 per la protezione degli
interessi finanziari delle Comunità europee § Convenzione del 26 maggio 1997 relaAva alla lo%a contro
la corruzione nella quale sono coinvolA funzionari comunitari o nazionali
§ Convenzione OCSE del 21 novembre 1997 sulla lo%a alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche internazionali
4
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Anche in Italia Legge 29 seIembre 2000, n. 300 § ha radicalmente innovato il principio dell’ordinamento giuridico italiano societas delinquere non potest § ha introdo%o la responsabilità sostanzialmente penale dei sogge_ diversi dalle persone fisiche (Società, EnA, Associazioni)
D.Lgs. 08.06.2001 n. 231 § è stato emanato in a%uazione della delega prevista dall’art. 11 della Legge 300/00 § dispone che, in aggiunta alla responsabilità personale degli autori materiali di taluni reaA, la Società è responsabile se i rea* sono commessi da suoi dirigen* o dipenden* nell’interesse o a vantaggio della Società stessa
5
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Elementi della fattispecie
ElemenA essenziali per la configurabilità di una responsabilità ex 231 (“Responsabilità amministraAva delle persone giuridiche, delle società e della associazioni anche prive di personalità giuridica”)
Ø criterio di imputazione oggeQvo (“chi”, “cosa”, “come”)
Ø criterio di imputazione soggeQvo (“perché”)
6
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Criterio di imputazione oggettivo (1/3)
I soggeQ La “responsabilità amministraAva” di cui al D.Lgs. 231/01 colpisce il patrimonio degli enA, dunque l’interesse economico dei soci, quando sono staA commessi cerA reaA da parte di:
Ø persone che rivestono funzioni di rappresentanza, amministrazione o direzione dell’ente o chi esercita, anche di fa%o, funzioni di direzione e controllo (c.d. “Apicali”, art. 6) Ø persone so%oposte alla direzione o alla vigilanza di uno dei sogge_ di cui al punto precedente (c.d. “SoIopos*”, art. 7)
7
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Criterio di imputazione oggettivo (2/3) Rea* rilevan* (c.d. “catalogo dei Rea* Presupposto”) Legge 23 novembre 2001, n. 409 D.Lgs. 11 aprile 2002, n. 61 Legge 14 gennaio 2003, n. 7 Legge 11 agosto 2003, n. 228 Legge 18 aprile 2005, n. 62 Legge 28 dicembre 2005, n. 262 Legge 9 gennaio 2006, n. 7 Legge 6 febbraio 2006, n. 38 Legge 3 agosto 2007, n. 123 D.Lgs. 21 novembre 2007, n. 231 Legge 18 marzo 2008, n. 48 D.Lgs. 9 aprile 2008 n.81 Legge 15 luglio 2009, n. 94 Legge 23 luglio 2009, n. 99 Legge 3 agosto 2009, n. 116
d.lgs. 7 luglio 2011, n. 121 d.lgs. 16 luglio 2012, n. 109 Legge 6 novembre 2012, n. 190 [Legge 15 oIobre 2013, n. 119 (conv. d.l. n. 93/2013)]
8
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Criterio di imputazione oggettivo (3/3)
Interesse o vantaggio La “responsabilità amministraAva” sussiste ogni qual volta il reato sia stato commesso nell’interesse o a vantaggio della società
Ø Non è necessario che il vantaggio sia stato conseguito concretamente, ma è sufficiente che vi sia l’interesse ad un potenziale vantaggio derivante dalla commissione del reato.
9
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Criterio di imputazione soggettivo
Colpa da organizzazione La “responsabilità amministraAva” sussiste in quanto l’ente ha colpa per aver determinato o comunque consenAto la commissione di un certo reato
Ø lacuna organizzaAva CHE FARE?
Un nuovo sistema di "corporate compliance" incentrato sul dovere di autocontrollo dell'ente. Ø adozione di Modelli OrganizzaAvi (regole, procedure e modi di
operare) idonei per prevenire la commissione di illeciA
10
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Responsabilità autonoma
Art.8 -‐ Autonomia delle responsabilità dell'ente 1. La responsabilità dell'ente sussiste anche quando: a) l'autore del reato non è stato iden0ficato o non è imputabile; b) il reato si es0ngue per una causa diversa dall'amnisAa. 2. Salvo che la legge disponga diversamente, non si procede nei
confronA dell'ente quando è concessa amnisAa per un reato in relazione al quale è prevista la sua responsabilità e l'imputato ha rinunciato alla sua applicazione.
3. L'ente può rinunciare all'amnisAa.
11
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Sistema sanzionatorio “231”
Ø Sanzioni pecuniarie (€ 25.800 / € 1.549.000) Ø Sanzioni interdi_ve (interdizione dall'esercizio dell'a_vità;
sospensione o revoca di autorizzazioni, licenze o concessioni; divieto di pubblicizzare beni o servizi; divieto di contra%are con la pubblica amministrazione; esclusione da agevolazioni, finanziamenA, contribuA o sussidi ed eventuale revoca di quelli già concessi)
Ø Confisca Ø Pubblicazione della sentenza
12
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Perché adottare un “Modello 231”? La Società non è passibile di sanzione se prova che: Ø è stato adoIato ed efficacemente aIuato un modello di
organizzazione, gesAone e controllo idoneo a prevenire reaA; Ø le persone hanno commesso il reato eludendo in modo
fraudolento tali modelli. In praAca, il “modello 231” vale ad escludere la colpevolezza della Società
(…e degli Amministratori)
13
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino) 14
[da “Il Sole 24 Ore” del 22 marzo 2010]
[da “Italia Oggi” del 23 luglio 2012]
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Corte d’Appello di Milano, sentenza 18 giugno 2012, n. 1824:
Ø “Un efficace modello organizzaAvo salva la società da responsabilità amministraAva per reaA dei dipendenA”.
Ø “Un protocollo interno effe_vamente aderente ai contenuA minimi sanciA dal dlgs 231/2001 per il modello di organizzazione e gesAone esonera l’impresa che lo a%uato … indifferentemente (i) dal nome dato a tale protocollo o (ii) dalla circostanza che esso sia stato di faBo dolosamente scavalcato dagli autori dell’illecito”
15
Giurisprudenza
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Idoneità del “Modello 231”
Il requisito dell’idoneità è soddisfa%o quando il modello organizzaAvo conAene tu_ gli elemen* minimi essenziali previsA dagli ar%. 6 e 7 del D.Lgs. 231/2001:
q IdenAficazione aree e a_vità “a rischio” q Predisposizione di protocolli e procedure per la formazione e l’a%uazione delle decisioni q Modalità di gesAone delle risorse finanziarie q Obblighi di informazione e repor0ng all’O.d.V. q Verifica periodica ed eventuale modifica q Codice eAco e sistema disciplinare sanzionatorio
16
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Information Technology e “231”
Legge 8 marzo 2008, n. 48 (mod. d.lgs. 231/01)
Ø Criminalità informaAca Legge 23 luglio 2009, n. 99 (mod. d.lgs. 231/01)
Ø Deli_ in materia di violazione del diri%o d'autore
17
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Reati informatici Sistema*ca dei rea* informa*ci: Ø contro il patrimonio (frode informaAca, danneggiamento informaAco) Ø contro la fede pubblica (falsità di documenA informaAci) Ø contro la riservatezza e la sicurezza informaAche (accesso abusivo ad un sistema informaAco, detenzione e circolazione abusiva di password e codici di accesso, diffusione di virus, interce%azione di comunicazioni telemaAche, violazioni della corrispondenza informaAca, ecc.)
18
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Reati informatici rilevanti per la “231” Art. 24bis -‐ “DeliQ informa*ci e traIamento illecito di da*” Art.615-‐ter c.p.: Accesso abusivo ad un sistema informaAco o telemaAco Art.615-‐quarter: Detenzione e diffusione abusiva di codici di accesso ai sistemi informaAci o telemaAci Art.615-‐quinquies: Diffusione di apparecchiature, disposiAvi o programmi informaAci dire_ a danneggiare o interrompere un sistema informaAvo o telemaAco Art.617-‐quater: Interce%azione, impedimento o interruzione illecita di comunicazioni informaAche o telemaAche Art.617-‐quinquies: Installazione di apparecchiature a%e ad interce%are, impedire od interrompere comunicazioni informaAche o telemaAche Art.635-‐bis: Danneggiamento di informazioni, daA e programmi informaAci Art.635-‐ter: Danneggiamento di informazioni, daA e programmi informaAci uAlizzaA dallo Stato o da altro ente pubblico o comunque di pubblica uAlità Art.635-‐quater: Danneggiamento di sistemi informaAci o telemaAci Art.635-‐quinquies: Danneggiamento di sistemi informaAci o telemaAci di pubblica uAlità (Art.640-‐ter: Frode informaAca) Art.640-‐quinquies: Frode informaAca del sogge%o che presta servizi di cerAficazione di firma ele%ronica Art.491-‐bis: Falsità di documenA informaAci
19
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Violazioni IP rilevanti per la “231”
20
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Violazioni IP rilevanti per la “231” Art. 25nonies -‐ “DeliQ in materia di violazione del diriIo d’autore” art. 171 (legge 633/41): violazione dei diri_ di uAlizzazione economica art. 171-‐bis: soqware e banche daA art. 171-‐ter: violazione opere musicali, cinematografiche o audiovisive, opere le%erarie, drammaAche, scienAfiche o dida_che, musicali o drammaAco-‐musicali, mulAmediali, misure tecnologiche di protezione, informazione eleBroniche sul regime dei diriD art. 171-‐sepAes: omissione comunicazioni SIAE art. 171-‐ocAes: decodificazione di trasmissioni audiovisive ad accesso condizionato
21
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Comunicazione del PM al Questore Art. 174-‐quinquies (legge 633/41) Ø sospensione dell'esercizio o dell'a_vità per un periodo non inferiore a quindici giorni e non superiore a tre mesi Ø cessazione temporanea dell'esercizio o dell'a_vità per un periodo da tre mesi ad un anno Ø in caso di recidiva specifica, è disposta la revoca della licenza di esercizio o dell'autorizzazione allo svolgimento dell'a_vità
22
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Misure di prevenzione per l’azienda
Modelli e strumenA concreA di organizzazione, gesAone, monitoraggio e controllo al fine di: § garanAre la protezione del patrimonio informaAvo § misure di sicurezza e di controllo per prevenire la commissione di reaA mediante l’ausilio di strumenA tecnologici § assicurare mediante adeguate policy aziendali il corre%o uAlizzo delle risorse informaAche § disporre di evidenze informaAche che documenAno l’efficacia dei controlli, ma anche i fa_ illeciA
23
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Nuovi reati “231”? NO GRAZIE
Legge 15 o%obre 2013, n. 119 (conversione d.l. n. 93/2013) Ha eliminato dall’art. 24 bis i seguenA reaA: Ø frode informa*ca (art. 640-‐ter c.p.) con furto dell'iden*tà digitale; Ø indebito u*lizzo, falsificazione o alterazione di carte di credito o di pagamento o di qualsiasi altro documento analogo che abiliA al prelievo di denaro contante o all'acquisto di beni o alla prestazione di servizi, nonché il possesso, la cessione o l'acquisto di tali carte o documen* di provenienza illecita o comunque falsifica* o altera*, nonche' di ordini di pagamento prodo_ con essi (art. 55, co. 9, D.Lgs. n. 231/2007); Ø traIamento illecito di da*, falsità nelle dichiarazioni e no*ficazioni al Garante della privacy, inosservanza dei provvedimen* del Garante, violazione delle misure minime di sicurezza (ar%. 167 -‐ 172 D.Lgs. n. 196/2003).
24
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Sistema sanzionatorio Privacy
D.Lgs. 30 giugno 2003, n. 196 (ar%. 161-‐172)
25
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Quale strategia adoIare? Ø Evitare che vengano a crearsi “sistemi paralleli” (burocrazia) Ø Modello organizzaAvo “integrato”
§ mappatura processi e procedure tenendo conto delle variabili organizzaAve
§ modelli di “autovalutazione” (D.Lgs. 231/01, D.Lgs. 196/2003, D.Lgs. 81/2008) e
§ valutazione dei rischi e misure di sicurezza § disciplinare sull’uAlizzo delle risorse informaAche, posta ele%ronica e
internet (policies) § formazione del personale § O.d.V./Amministratore di Sistema/D.P.O. § protocolli volontari (cerAficazioni di qualità, ambientali, di sicurezza,
ecc.)
26
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino) 27
Privacy e rea* “231” (Avv. Maggipinto – Ing. Serraino)
Ing. Igor Serraino www.serraino.it [email protected]
Avv. Andrea Maggipinto www.maggipinto.org
""!
To be continued
it.linkedin.com/in/andreamaggipinto http://www.linkedin.com/pub/igor-serraino/14/27b/b3