I delitti in materia di privacy nel D. Lvo 231/2001
di Andrea Orabona
Con l’entrata in vigore del D.L. n. 63 del 14 agosto 2013 recante “Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza in genere, nonché in tema di protezione civile e di commissariamento delle province” (pubblicato in G.U. n. 191 del 16 agosto 2013 – attualmente in corso di conversione) i delitti disciplinati dal Codice Privacy irrompono inavvertitamente nell’alveo delle incriminazioni rilevanti in materia di responsabilità da reato degli enti ex D. Lvo 231/2001.
Invero, l’Esecutivo ha singolarmente affidato al varo della decretazione d’urgenza, tale è l’indicato Provvedimento di ferragosto sul c.d. “femminicidio”, il compito di attribuire agli illeciti penali posti a tutela del trattamento degli altrui dati personali, ovvero, ai soli delitti di cui agli artt. 167, 168 e 170, D. Lvo 196/2003, il rango di reati/presupposto idonei a far scattare il titolo di responsabilità amministrativo/penale degli enti ai sensi dell’art. 24 bis D. Lvo 231/2001 – allorquando le medesime violazioni vengano realizzate nell’interesse e/o a vantaggio delle società per mano di soggetti che ivi svolgono funzioni di natura apicale o subordinata -.
Il novum normativo che qui ci occupa ruota tutt’intorno all’introduzione del delitto sul “Trattamento illecito di dati” (art. 167 Cod. Privacy) in seno all’art. 24 bis D. Lvo 231/2001 – vista la scarsa applicazione che le diverse incriminazioni di “Falsità nelle dichiarazioni e notificazioni al Garante” (art. 168 Cod. Privacy) ed “Inosservanza di provvedimenti del Garante” (art. 170 Cod. Privacy) hanno già registrato nelle Aule di Tribunale sin dall’entrata in vigore del Codice Privacy -.
Ebbene, l’art. 167, commi primo e secondo, D. Lvo 196/2003, sottende la disciplina di una fattispecie delittuosa che – seppur connotata dall’elemento soggettivo del dolo specifico di profitto o di danno, unitamente all’estremo della condizione obiettiva di punibilità della verificazione di un nocumento alla vittima del reato – appare meramente sanzionatoria delle violazioni perpetrate ad alcuni dettami del Codice Privacy sulla natura, presupposti e modalità, di esecuzione delle operazioni di trattamento degli altrui dati personali.
Per l’effetto, gli enti potranno a tutt’oggi essere chiamati a rispondere in sede penale per l’altrui commissione del reato ex art. 167 Codice Privacy nel proprio interesse o vantaggio – con particolare riguardo alle violazioni dolose perpetrate da soggetti apicali o subordinati agli artt. 17, 23, 25, 26, 27 e 45, stesso Testo – cui l’ipotesi delittuosa in esame fa integrale rinvio.
Invero, e fatta salva l’applicabilità degli artt. 123, 126, 129 e 130, Codice Privacy, nei confronti delle sole società fornitrici di servizi di comunicazione elettronica, è da escludere in radice una qualsivoglia forma di responsabilità degli enti ex D. Lvo 231/2001 allorquando le persone fisiche ivi preposte al trattamento degli altrui dati personali provvedano scientemente a violare i diversi disposti degli artt. 18, 19, 20, 21 e 22, Codice Privacy – così come richiamati per relationem dall’art. 167 medesimo Testo -.
Difatti, la violazione di tali ultime disposizioni di legge – postulando il trattamento degli altrui dati personali nell’ambito di soggetti e/o enti pubblici non economici – non potrebbe mai imputarsi all’ente attraverso la rituale contestazione del combinato disposto di cui agli artt. 167 Codice Privacy e 24 bis D. Lvo 231/2001 per l’evidente contrasto con il principio generale di cui all’art. 1, comma terzo, medesimo Decreto Legislativo, ove è espressamente esclusa la stessa fonte della responsabilità amministrativa da reato nei confronti dello Stato, degli enti pubblici territoriali e non economici, ovvero, delle soggettività collettive aventi funzioni di rango costituzionale.
Così stando le cose, il focus dell’innovazione introdotta dall’art. 9 D.L. 63/2013 riguarderà prevalentemente le società commerciali di beni e/o servizi che, onde evitare la sottoposizione al rigoroso apparato sanzionatorio di cui all’art. 24 bis D. Lvo 231/2001, si appresteranno ad adottare i modelli organizzativi previsti dal medesimo Decreto e/o ad implementare quelli già esistenti – predisponendo tutte le migliori procedure atte ad escludere il pericolo di commissione del reato di cui all’art. 167 Codice Privacy per mano di soggetti/incaricati presso l’ente dell’esecuzione di operazioni di trattamento degli altrui dati personali.
Per la realizzazione dei delitti in materia di Privacy nell’interesse e/o a vantaggio dell’ente, l’art. 24 bis D. Lvo 231/2001 prevede l’irrogazione di una sanzione pecuniaria da 100 a 500 quote – oltre all’interdizione dall’esercizio dell’attività d’impresa, alla sospensione o revoca di autorizzazioni, licenze o concessioni, funzionali alla commissione dell’illecito dipendente da reato ed al divieto di pubblicizzare beni e servizi facenti parte del core business imprenditoriale.
Si auspica, dunque, che il Parlamento – nella conversione del D.L. 63/2013 prevista entro l’imminente 15 ottobre 2013 con il varo del disegno di legge n. 1540 – prenda atto dei profili applicativi cui è destinata ad imbattersi l’introduzione dei delitti in materia di Privacy nel solco del D. Lvo 231/2001, provvedendo eventualmente all’innesto delle ulteriori fattispecie contravvenzionali disciplinate dagli artt. 169 e 171 D. Lvo 196/2003, la cui esclusione dal Testo normativo in esame non possiede propriamente una specifica “ragion d’essere”.