La sempre maggiore attenzione rivolta alla tutela dei dati personali, spesso abusati e illecitamente trattatati, non solo ha portato all’aggiornamento del Codice Privacy 196/03 tramite l’elaborazione del Nuovo Regolamento Europeo in materia, ma anche alla proposta di inclusione dei delitti privacy nel campo di applicazione del decreto legislativo 231/2001[i], in base al quale l’ente, nonostante la Costituzione sancisca che “la responsabilità penale è personale”, è chiamato a rispondere per i reati commessi nel suo interesse o a suo vantaggio da persone che rivestono una posizione apicale (amministratori, manager ecc) o loro sottoposti. Nel corso dell’iter di approvazione del decreto legge 93/2013 (noto come “decreto femminicidio”) che la proponeva, questa prescrizione è stata abrogata. Eppure la breve vigenza di questa disposizione ha nuovamente acceso un campanello di allarme sulla tutela dei dati personali e ribadito l’urgenza di un intervento legislativo sulla scia del Regolamento Ue e delle linee guida OCSE in questo ambito.
In cosa consisteva l’originaria proposta di inclusione dei delitti privacy fra i “reati 231”?
Nell’ottica del decreto 231, in controtendenza rispetto al nostro ordinamento che considera ciascuno innocente fin tanto che non sia provata la sua colpevolezza, per essere ritenuta incolpevole ed evitare la responsabilità amministrativa, l’azienda titolare del trattamento di dati doveva dimostrare di avere messo in campo tutte le misure di prevenzione idonee a evitare la commissione dei tre delitti privacy, ovvero trattamento illecito dei dati (art. 167 Cod. Privacy), falsità nelle dichiarazioni o notificazioni al Garante (art. 169), inosservanza di provvedimenti del Garante (art. 170). In mancanza di un adeguato modello, le sanzioni, oltre a quelle previste dal Codice Privacy, potevano spaziare da quelle pecuniarie a quelle di interdizione come la sospensione o revoca di autorizzazioni o licenze, il divieto di pubblicizzare beni o servizi, sino all’interdizione temporanea dall’esercizio dell’attività. Due gli step richiesti per tutelarsi: analizzare i rischi cioè le attività nel cui ambito possono essere commessi i tre delitti privacy; porre in essere misure «idonee» a prevenirli. Occorreva dunque che l’azienda prevedesse un sistema che permettesse di punire chi non rispettava le regole privacy e, soprattutto, che l’organismo di vigilanza (Odv) vigilasse seriamente sull’osservanza di tale modello.
Nonostante il fallimento di una tale proposta, come ribadito e richiesto dal Nuovo Regolamento Europeo 679/2016, la dotazione da parte delle aziende di una buona organizzazione data protection assurge a requisito che il mondo invoca oramai a livello internazionale, anche per il rispetto di un generale principio di sana concorrenza (non da ultimo, per partecipare a gare pubbliche o private).
[i] Decreto legislativo 8 giugno 2001, n. 231.
