a cura dell’avv. Laura Asti
L’art. 24 bis del d.lgs. 231/2001 (“Delitti informatici e trattamento illecito di dati”) ha avuto una vita travagliata.
Se infatti il d.l. n. 93 del 14 agosto 2013 aveva incluso i delitti di trattamento illecito di dati personali (art. 167 Codice Privacy), di falsità nelle dichiarazioni e notificazioni al Garante (art. 168 Codice Privacy) e di inosservanza ai provvedimenti del Garante (art. 170 Codice Privacy), nel novero dei reati presupposto dai quali potrebbe derivare la responsabilità amministrativa da reato per l’ente, tale modifica non è poi stata confermata in sede di conversione (legge di conversione 15 ottobre 2013, n. 119). L’articolo è stato poi modificato nuovamente nel 2019, con il d.lgs. n. 105 del 2019 (convertito, con modificazioni, dalla legge n. 133 del 18 novembre 2019).
Il risultato del “taglia e cuci” effettuato dal legislatore è, per chi deve affrontare la materia, a dir poco caotico.
Ad oggi, infatti, nonostante la rubrica dell’articolo 24-bis richiami direttamente il “trattamento illecito di dati”, non si ritrova nel testo dello stesso articolo alcun richiamo alle fattispecie penali contenute nel Codice Privacy (d.lgs. 196/2003, modificato dal d.lgs 101/2018).
Ciò non toglie che vi siano numerose sovrapposizioni tra il Codice Privacy, il GDPR e il sistema di responsabilità ex D.lgs. 231/2001.
Cerchiamo di approfondire.
Ai sensi dell’art. 24bis d.lgs. 231/2001, la responsabilità ex 231 “scatta” in relazione ai seguenti reati (che rientrano nel novero dei c.d. cybercrimes):
- Accesso abusivo a sistema informatico (art. 615-ter c.p.);
- Detenzione o diffusione abusiva di codici di accesso a sistemi informatici o telematici (615-quater);
- Diffusione di apparecchiature, dispositivi, o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (615-quinquies);
- Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (617-quater c.p.);
- Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.) e danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro Ente Pubblico o comunque di pubblica utilità (art. 635-ter c.p.);
- Danneggiamento di sistemi informatici o telematici (635-quater c.p.) e danneggiamento di sistemi informatici o telematici di pubblica utilità (635-quinquies c.p.);
- Reati di falso relativi a documenti informatici pubblici aventi efficacia probatoria (491-bis);
- Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (640-quinquies)
In che modo, quindi, viene in rilievo il GDPR?
Come è stato osservato (Paolo Balboni e Francesca Tugnoli, Reati informatici e tutela dei dati personali: profili di responsabilità degli enti, Giurisprudenza Penale, 2021/1-BIS, p. 3), […] se si pensa a qualunque delle fattispecie richiamate nel decalogo dei reati indicati all’art. 24 bis, si verifica anche un illecito trattamento di dati, tanto che, la società, sia essa titolare o responsabile del trattamento, deve avviare le indagini interne al fine di verificare se vi sia stata anche una compromissione dei dati personali trattati ed eventualmente aprire la procedura per la gestione dei casi di violazione dei dati personali ai sensi degli artt. 33 e 34 del Regolamento.
In altre parole: nel momento in cui l’azienda viene a conoscenza della commissione di un delitto informatico nell’ambito della propria attività commerciale, questa dovrà immediatamente interrogarsi sulle conseguenze di tale azione sui dati personali che essa tratta – sia in quanto titolare che responsabile del trattamento. Nel caso in cui accerti che il cybercrime è anche un data breach, scatteranno tutti gli obblighi previsti dagli articoli 33 e 34 del GDPR.
L’articolo 33 del GDPR prevede infatti che il titolare del trattamento debba notificare la violazione dei dati personali al Garante entro le 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Allo stesso modo, il responsabile del trattamento deve informare il Titolare senza ingiustificato ritardo dell’avvenimento di una violazione.
L’art. 34 del GDPR, invece, prevede che, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, vi sia l’obbligo ulteriore per il titolare del trattamento di comunicare la violazione all’interessato senza ingiustificato ritardo.
E la violazione degli stessi articoli 33 e 34 è sanzionata con una sanzione amministrativa pecuniaria fino a 10.000 € o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art. 83 (4) lett. a).
Ma questo non è l’unico profilo di sovrapposizione.
Si pensi infatti anche alle attività relative alla sicurezza dell’infrastruttura IT, che l’imprenditore dovrà porre in essere non solo in un’ottica di prevenzione della commissione di reati informatici, ai sensi del modello 231, ma anche per rispettare l’obbligo, previsto dall’art. 32 del GDPR, di adottare misure di sicurezza che garantiscano un livello di sicurezza adeguato al rischio del trattamento.
Nell’attesa, quindi, che le fattispecie di reato previste dal “nuovo” Codice Privacy rientrino a far parte dei reati presupposto previsti dall’art. 24-bis del d.lgs. 213/2001, l’imprenditore dovrà comunque porre in essere modelli integrati di compliance, che prevengano allo stesso tempo la verificazione di reati e di trattamenti illeciti dei dati personali.