Il D.l. 14 agosto 2013, n. 93, entrato il vigore lo scorso 17 agosto, è destinato ad avere un forte impatto sulle società commerciali e sulle associazioni private soggette alle disposizioni del D.lgs. 231/2001, per il significativo ampliamento del catalogo di reati presupposto della responsabilità amministrativa degli enti.
Nello specifico, l'art. 9, comma 2, D.l. 93/2013 ha
integrato il disposto dell'art. 24-bis del D.lgs.
231/2001 con l'introduzione di tre ulteriori fattispecie penali
idonee a far scattare la responsabilità amministrativa
dell'ente: i) l'art. 640-ter, terzo comma,
c.p. (frode informatica commessa con sostituzione
dell'identità digitale in danno di uno o più
soggetti); ii) l'art. 55, comma 9, D.lgs. 231/2007 (indebito
utilizzo, falsificazione, alterazione e ricettazione di carte di
credito o di pagamento); iii) i delitti (ma non le contravvenzioni)
in materia di violazione della privacy previsti dal D.lgs.
196/2003, i.e. gli artt. 167 (trattamento illecito di
dati), 168 (falsità nelle dichiarazioni notificazioni al
Garante), 170 (inosservanza dei provvedimenti del Garante).
A seguito delle modifiche apportate dal D.l. 93/2013, in attesa di
conversione, l'art. 24-bis D.lgs. 231/2001 risulta
così formulato: "In relazione alla commissione dei
delitti di cui agli articoli 615-ter, 617-quater,
617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies e
640-ter, terzo comma, del codice penale,
nonché dei delitti di cui agli articoli 55, comma 9, del
decreto legislativo 21 novembre 2007, n. 231, e di cui alla Parte
III, Titolo III, Capo II del decreto legislativo 30
giugno 2003, n. 196,
si applica all'ente la sanzione pecuniaria da cento a
cinquecento quote".
La commissione dei reati contemplati nella norma in esame
comporta, oltre all'irrogazione della sanzione pecuniaria da
cento a cinquecento quote (l'importo di una quota va da un
minimo di 258 euro sino ad un massimo di 1549 euro),
l'applicazione delle sanzioni interdittive previste
dall'art. 9, comma 2, lettere a), b) ed e) del D.lgs. 231/2001
(interdizione dall'esercizio dell'attività,
sospensione o revoca delle autorizzazioni, licenze o concessioni
funzionali alla commissione dell'illecito, divieto di
pubblicizzare beni o servizi).
Come evidenziato dalla Corte di Cassazione nella Relazione n.
III/01/2013 del 22 agosto 2013, la configurazione della
responsabilità da reato degli enti per l'illecito
trattamento dei dati è senza dubbio la disposizione
destinata ad assumere la maggiore rilevanza in sede applicativa, in
quanto tale violazione è potenzialmente in grado di
interessare l'intera platea delle società commerciali e
delle associazioni private soggette alle disposizioni del D.lgs.
231/2001.
L'intervento legislativo è destinato a costituire un
importante deterrente soprattutto rispetto agli abusi,
tutt'altro che infrequenti, del trattamento di dati personali a
fini di marketing (segnatamente, per le attività di
profilazione e per l'invio di comunicazioni pubblicitarie) in
assenza dei consensi prescritti e, per il caso di profilazione,
della notificazione al Garante.
Al contempo, salvo improbabili emendamenti in fase di conversione
del Decreto Legge, per imprese ed enti diventa imprescindibile
l'aggiornamento dei propri modelli organizzativi al nuovo
catalogo di reati al fine di prevenirne la commissione e, con essa,
l'irrogazione delle sanzioni conseguenti.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.