Seminario organizzato dal Centro Studi Informatica Giuridica di Milano nell'ambito di SMAU Milano 2013 (La responsabilità delle imprese e degli enti per violazione della privacy e dei modelli organizzativi “231”)

1. La
responsabilità
delle
imprese
e
degli
en*
per
violazione
della
privacy
e
dei
modelli
organizza*vi
“231”
25
O%obre
2013
–
Seminario
CSIG
Centro
Studi
Informa0ca
Giuridica
di
Milano
Avv. Andrea Maggipinto
Ing. Igor Serraino
www.serraino.it
www.maggipinto.org
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
1

2. Agenda
v “231”:
responsabilità
d’impresa
v IT
e
reaA
in
azienda
v Privacy?
v Livello
organizzaAvo
e
tecnologico
v Sicurezza
e
Qualità
(ISO/IEC)
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
2

3. Un “nuova” responsabilità d’impresa
Perché?
Ø
Maggiore
e*cità
dell’azione
imprenditoriale
Ø
Esigenze
di
natura
sostanziale
ci
si
è
resi
conto
dell’inefficacia
di
interven0
repressivi
nei
soli
confron0
di
singoli
individui
nell’ipotesi
di
reaA
commessi
nell’ambito
di
specifiche
poliAche
aziendali
o
che
comunque
trovino
la
propria
matrice
in
una
“colpa
organizzaAva”
della
società
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
3

4. Una “via” aperta (da tempo)
§ Foreign
Corrupt
PracAces
Act
(USA,
1977)
§ Convenzione
PIF
del
26
luglio
1995
per
la
protezione
degli
interessi
finanziari
delle
Comunità
europee
§ Convenzione
del
26
maggio
1997
relaAva
alla
lo%a
contro
la
corruzione
nella
quale
sono
coinvolA
funzionari
comunitari
o
nazionali
§ Convenzione
OCSE
del
21
novembre
1997
sulla
lo%a
alla
corruzione
di
pubblici
ufficiali
stranieri
nelle
operazioni
economiche
internazionali
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
4

5. Anche in Italia
Legge
29
seIembre
2000,
n.
300
§
ha
radicalmente
innovato
il
principio
dell’ordinamento
giuridico
italiano
societas
delinquere
non
potest
§
ha
introdo%o
la
responsabilità
sostanzialmente
penale
dei
sogge_
diversi
dalle
persone
fisiche
(Società,
EnA,
Associazioni)
D.Lgs.
08.06.2001
n.
231
§
è
stato
emanato
in
a%uazione
della
delega
prevista
dall’art.
11
della
Legge
300/00
§
dispone
che,
in
aggiunta
alla
responsabilità
personale
degli
autori
materiali
di
taluni
reaA,
la
Società
è
responsabile
se
i
rea*
sono
commessi
da
suoi
dirigen*
o
dipenden*
nell’interesse
o
a
vantaggio
della
Società
stessa
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
5

6. Elementi della fattispecie
ElemenA
essenziali
per
la
configurabilità
di
una
responsabilità
ex
231
(“Responsabilità
amministraAva
delle
persone
giuridiche,
delle
società
e
della
associazioni
anche
prive
di
personalità
giuridica”)
Ø
criterio
di
imputazione
oggeQvo
(“chi”,
“cosa”,
“come”)
Ø
criterio
di
imputazione
soggeQvo
(“perché”)
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
6

7. Criterio di imputazione oggettivo (1/3)
I
soggeQ
La
“responsabilità
amministraAva”
di
cui
al
D.Lgs.
231/01
colpisce
il
patrimonio
degli
enA,
dunque
l’interesse
economico
dei
soci,
quando
sono
staA
commessi
cerA
reaA
da
parte
di:
Ø
persone
che
rivestono
funzioni
di
rappresentanza,
amministrazione
o
direzione
dell’ente
o
chi
esercita,
anche
di
fa%o,
funzioni
di
direzione
e
controllo
(c.d.
“Apicali”,
art.
6)
Ø
persone
so%oposte
alla
direzione
o
alla
vigilanza
di
uno
dei
sogge_
di
cui
al
punto
precedente
(c.d.
“SoIopos*”,
art.
7)
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
7

8. Criterio di imputazione oggettivo (2/3)
Rea*
rilevan*
(c.d.
“catalogo
dei
Rea*
Presupposto”)
Legge
23
novembre
2001,
n.
409
D.Lgs.
11
aprile
2002,
n.
61
Legge
14
gennaio
2003,
n.
7
Legge
11
agosto
2003,
n.
228
Legge
18
aprile
2005,
n.
62
Legge
28
dicembre
2005,
n.
262
Legge
9
gennaio
2006,
n.
7
Legge
6
febbraio
2006,
n.
38
Legge
3
agosto
2007,
n.
123
D.Lgs.
21
novembre
2007,
n.
231
Legge
18
marzo
2008,
n.
48
D.Lgs.
9
aprile
2008
n.81
Legge
15
luglio
2009,
n.
94
Legge
23
luglio
2009,
n.
99
Legge
3
agosto
2009,
n.
116
d.lgs.
7
luglio
2011,
n.
121
d.lgs.
16
luglio
2012,
n.
109
Legge
6
novembre
2012,
n.
190
[Legge
15
oIobre
2013,
n.
119
(conv.
d.l.
n.
93/2013)]
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
8

9. Criterio di imputazione oggettivo (3/3)
Interesse
o
vantaggio
La
“responsabilità
amministraAva”
sussiste
ogni
qual
volta
il
reato
sia
stato
commesso
nell’interesse
o
a
vantaggio
della
società
Ø Non
è
necessario
che
il
vantaggio
sia
stato
conseguito
concretamente,
ma
è
sufficiente
che
vi
sia
l’interesse
ad
un
potenziale
vantaggio
derivante
dalla
commissione
del
reato.
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
9

10. Criterio di imputazione soggettivo
Colpa
da
organizzazione
La
“responsabilità
amministraAva”
sussiste
in
quanto
l’ente
ha
colpa
per
aver
determinato
o
comunque
consenAto
la
commissione
di
un
certo
reato
Ø lacuna
organizzaAva
CHE
FARE?
Un
nuovo
sistema
di
"corporate
compliance"
incentrato
sul
dovere
di
autocontrollo
dell'ente.
Ø adozione
di
Modelli
OrganizzaAvi
(regole,
procedure
e
modi
di
operare)
idonei
per
prevenire
la
commissione
di
illeciA
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
10

11. Responsabilità autonoma
Art.8
-­‐
Autonomia
delle
responsabilità
dell'ente
1.
La
responsabilità
dell'ente
sussiste
anche
quando:
a)
l'autore
del
reato
non
è
stato
iden0ficato
o
non
è
imputabile;
b)
il
reato
si
es0ngue
per
una
causa
diversa
dall'amnisAa.
2.
Salvo
che
la
legge
disponga
diversamente,
non
si
procede
nei
confronA
dell'ente
quando
è
concessa
amnisAa
per
un
reato
in
relazione
al
quale
è
prevista
la
sua
responsabilità
e
l'imputato
ha
rinunciato
alla
sua
applicazione.
3.
L'ente
può
rinunciare
all'amnisAa.
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
11

12. Sistema sanzionatorio “231”
Ø Sanzioni
pecuniarie
(€
25.800
/
€
1.549.000)
Ø Sanzioni
interdi_ve
(interdizione
dall'esercizio
dell'a_vità;
sospensione
o
revoca
di
autorizzazioni,
licenze
o
concessioni;
divieto
di
pubblicizzare
beni
o
servizi;
divieto
di
contra%are
con
la
pubblica
amministrazione;
esclusione
da
agevolazioni,
finanziamenA,
contribuA
o
sussidi
ed
eventuale
revoca
di
quelli
già
concessi)
Ø Confisca
Ø Pubblicazione
della
sentenza
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
12

13. Perché adottare un “Modello 231”?
La
Società
non
è
passibile
di
sanzione
se
prova
che:
Ø è
stato
adoIato
ed
efficacemente
aIuato
un
modello
di
organizzazione,
gesAone
e
controllo
idoneo
a
prevenire
reaA;
Ø le
persone
hanno
commesso
il
reato
eludendo
in
modo
fraudolento
tali
modelli.
In
praAca,
il
“modello
231”
vale
ad
escludere
la
colpevolezza
della
Società
(…e
degli
Amministratori)
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
13

14.
[da “Il Sole 24 Ore” del 22 marzo 2010]
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
[da “Italia Oggi” del 23 luglio 2012]
14

15. Giurisprudenza
Corte
d’Appello
di
Milano,
sentenza
18
giugno
2012,
n.
1824:
Ø
“Un
efficace
modello
organizzaAvo
salva
la
società
da
responsabilità
amministraAva
per
reaA
dei
dipendenA”.
Ø
“Un
protocollo
interno
effe_vamente
aderente
ai
contenuA
minimi
sanciA
dal
dlgs
231/2001
per
il
modello
di
organizzazione
e
gesAone
esonera
l’impresa
che
lo
a%uato
…
indifferentemente
(i)
dal
nome
dato
a
tale
protocollo
o
(ii)
dalla
circostanza
che
esso
sia
stato
di
faBo
dolosamente
scavalcato
dagli
autori
dell’illecito”
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
15

16. Idoneità del “Modello 231”
Il
requisito
dell’idoneità
è
soddisfa%o
quando
il
modello
organizzaAvo
conAene
tu_
gli
elemen*
minimi
essenziali
previsA
dagli
ar%.
6
e
7
del
D.Lgs.
231/2001:
q
IdenAficazione
aree
e
a_vità
“a
rischio”
q
Predisposizione
di
protocolli
e
procedure
per
la
formazione
e
l’a%uazione
delle
decisioni
q
Modalità
di
gesAone
delle
risorse
finanziarie
q
Obblighi
di
informazione
e
repor0ng
all’O.d.V.
q
Verifica
periodica
ed
eventuale
modifica
q
Codice
eAco
e
sistema
disciplinare
sanzionatorio
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
16

17. Information Technology e “231”
Legge
8
marzo
2008,
n.
48
(mod.
d.lgs.
231/01)
Ø
Criminalità
informaAca
Legge
23
luglio
2009,
n.
99
(mod.
d.lgs.
231/01)
Ø
Deli_
in
materia
di
violazione
del
diri%o
d'autore
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
17

18. Reati informatici
Sistema*ca
dei
rea*
informa*ci:
Ø
contro
il
patrimonio
(frode
informaAca,
danneggiamento
informaAco)
Ø
contro
la
fede
pubblica
(falsità
di
documenA
informaAci)
Ø
contro
la
riservatezza
e
la
sicurezza
informaAche
(accesso
abusivo
ad
un
sistema
informaAco,
detenzione
e
circolazione
abusiva
di
password
e
codici
di
accesso,
diffusione
di
virus,
interce%azione
di
comunicazioni
telemaAche,
violazioni
della
corrispondenza
informaAca,
ecc.)
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
18

19. Reati informatici rilevanti per la “231”
Art.
24bis
-­‐
“DeliQ
informa*ci
e
traIamento
illecito
di
da*”
Art.615-­‐ter
c.p.:
Accesso
abusivo
ad
un
sistema
informaAco
o
telemaAco
Art.615-­‐quarter:
Detenzione
e
diffusione
abusiva
di
codici
di
accesso
ai
sistemi
informaAci
o
telemaAci
Art.615-­‐quinquies:
Diffusione
di
apparecchiature,
disposiAvi
o
programmi
informaAci
dire_
a
danneggiare
o
interrompere
un
sistema
informaAvo
o
telemaAco
Art.617-­‐quater:
Interce%azione,
impedimento
o
interruzione
illecita
di
comunicazioni
informaAche
o
telemaAche
Art.617-­‐quinquies:
Installazione
di
apparecchiature
a%e
ad
interce%are,
impedire
od
interrompere
comunicazioni
informaAche
o
telemaAche
Art.635-­‐bis:
Danneggiamento
di
informazioni,
daA
e
programmi
informaAci
Art.635-­‐ter:
Danneggiamento
di
informazioni,
daA
e
programmi
informaAci
uAlizzaA
dallo
Stato
o
da
altro
ente
pubblico
o
comunque
di
pubblica
uAlità
Art.635-­‐quater:
Danneggiamento
di
sistemi
informaAci
o
telemaAci
Art.635-­‐quinquies:
Danneggiamento
di
sistemi
informaAci
o
telemaAci
di
pubblica
uAlità
(Art.640-­‐ter:
Frode
informaAca)
Art.640-­‐quinquies:
Frode
informaAca
del
sogge%o
che
presta
servizi
di
cerAficazione
di
firma
ele%ronica
Art.491-­‐bis:
Falsità
di
documenA
informaAci
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
19

20. Violazioni IP rilevanti per la “231”
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
20

21. Violazioni IP rilevanti per la “231”
Art.
25nonies
-­‐
“DeliQ
in
materia
di
violazione
del
diriIo
d’autore”
art.
171
(legge
633/41):
violazione
dei
diri_
di
uAlizzazione
economica
art.
171-­‐bis:
soqware
e
banche
daA
art.
171-­‐ter:
violazione
opere
musicali,
cinematografiche
o
audiovisive,
opere
le%erarie,
drammaAche,
scienAfiche
o
dida_che,
musicali
o
drammaAco-­‐musicali,
mulAmediali,
misure
tecnologiche
di
protezione,
informazione
eleBroniche
sul
regime
dei
diriD
art.
171-­‐sepAes:
omissione
comunicazioni
SIAE
art.
171-­‐ocAes:
decodificazione
di
trasmissioni
audiovisive
ad
accesso
condizionato
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
21

22. Comunicazione del PM al Questore
Art.
174-­‐quinquies
(legge
633/41)
Ø
sospensione
dell'esercizio
o
dell'a_vità
per
un
periodo
non
inferiore
a
quindici
giorni
e
non
superiore
a
tre
mesi
Ø
cessazione
temporanea
dell'esercizio
o
dell'a_vità
per
un
periodo
da
tre
mesi
ad
un
anno
Ø
in
caso
di
recidiva
specifica,
è
disposta
la
revoca
della
licenza
di
esercizio
o
dell'autorizzazione
allo
svolgimento
dell'a_vità
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
22

23. Misure di prevenzione per l’azienda
Modelli
e
strumenA
concreA
di
organizzazione,
gesAone,
monitoraggio
e
controllo
al
fine
di:
§
garanAre
la
protezione
del
patrimonio
informaAvo
§
misure
di
sicurezza
e
di
controllo
per
prevenire
la
commissione
di
reaA
mediante
l’ausilio
di
strumenA
tecnologici
§
assicurare
mediante
adeguate
policy
aziendali
il
corre%o
uAlizzo
delle
risorse
informaAche
§
disporre
di
evidenze
informaAche
che
documenAno
l’efficacia
dei
controlli,
ma
anche
i
fa_
illeciA
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
23

24. Nuovi reati “231”? NO GRAZIE
Legge
15
o%obre
2013,
n.
119
(conversione
d.l.
n.
93/2013)
Ha
eliminato
dall’art.
24
bis
i
seguenA
reaA:
Ø
frode
informa*ca
(art.
640-­‐ter
c.p.)
con
furto
dell'iden*tà
digitale;
Ø
indebito
u*lizzo,
falsificazione
o
alterazione
di
carte
di
credito
o
di
pagamento
o
di
qualsiasi
altro
documento
analogo
che
abiliA
al
prelievo
di
denaro
contante
o
all'acquisto
di
beni
o
alla
prestazione
di
servizi,
nonché
il
possesso,
la
cessione
o
l'acquisto
di
tali
carte
o
documen*
di
provenienza
illecita
o
comunque
falsifica*
o
altera*,
nonche'
di
ordini
di
pagamento
prodo_
con
essi
(art.
55,
co.
9,
D.Lgs.
n.
231/2007);
Ø
traIamento
illecito
di
da*,
falsità
nelle
dichiarazioni
e
no*ficazioni
al
Garante
della
privacy,
inosservanza
dei
provvedimen*
del
Garante,
violazione
delle
misure
minime
di
sicurezza
(ar%.
167
-­‐
172
D.Lgs.
n.
196/2003).
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
24

25. Sistema sanzionatorio Privacy
D.Lgs.
30
giugno
2003,
n.
196
(ar%.
161-­‐172)
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
25

26. Quale
strategia
adoIare?
Ø
Evitare
che
vengano
a
crearsi
“sistemi
paralleli”
(burocrazia)
Ø
Modello
organizzaAvo
“integrato”
§ mappatura
processi
e
procedure
tenendo
conto
delle
variabili
organizzaAve
§ modelli
di
“autovalutazione”
(D.Lgs.
231/01,
D.Lgs.
196/2003,
D.Lgs.
81/2008)
e
§ valutazione
dei
rischi
e
misure
di
sicurezza
§ disciplinare
sull’uAlizzo
delle
risorse
informaAche,
posta
ele%ronica
e
internet
(policies)
§ formazione
del
personale
§ O.d.V./Amministratore
di
Sistema/D.P.O.
§ protocolli
volontari
(cerAficazioni
di
qualità,
ambientali,
di
sicurezza,
ecc.)
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
26

27. Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)
27

28. "
"
!
To be continued
Ing. Igor Serraino
Avv. Andrea Maggipinto
www.serraino.it
igor@serraino.it
www.maggipinto.org
andrea.maggipinto@studiomra.it
http://www.linkedin.com/pub/igor-serraino/14/27b/b3
it.linkedin.com/in/andreamaggipinto
Privacy
e
rea*
“231”
(Avv.
Maggipinto
–
Ing.
Serraino)