Con la Legge 9 marzo 2022, n. 22, recante “Disposizioni in materia di reati contro il patrimonio culturale”, pubblicata in Gazzetta Ufficiale n. 68 – Serie generale del 22 marzo 2022 (in vigore da ieri, 23 marzo 2022) è stato ulteriormente esteso il novero dei reati-presupposto della responsabilità amministrativa degli enti derivante da reato, comprendendovi i delitti contro il patrimonio culturale.

L’intervento normativo, il cui intento primario è quello di riformare la disciplina della tutela dei beni culturali, ha inserito nel Codice Penale e nel  D.lgs. 8 giugno 2001, n. 231 diverse fattispecie incriminatrici, fino ad oggi presenti esclusivamente nel Codice dei beni culturali e del paesaggio (D.lgs. 22 gennaio 2004, n. 42).

La disciplina della responsabilità amministrativa derivante da reato degli enti si arricchisce, così, di due nuovi articoli: l’art. 25-septiesdecies, “Delitti contro il patrimonio culturale” e l’art. 25-duodeviicies, “Riciclaggio di beni culturali e devastazione e saccheggio di beni culturali e paesaggistici”.

Nel primo dei due (art. 25-septiesdecies) sono stati ricompresi i seguenti articoli:

·         Art. 518-bis c.p., “Furto di beni culturali”.

·         Art. 518-ter c.p., “Appropriazione indebita di beni culturali”.

·         Art. 518-quater c.p., “Ricettazione di beni culturali”.

·         Art. 518-octies c.p., “Falsificazione in scrittura privata relativa a beni culturali”.

·         Art. 518-novies c.p., “Violazioni in materia di alienazione di beni culturali”.

·         Art. 518-decies c.p., “Importazione illecita di beni culturali”.

·         Art. 518-undecies c.p., “Uscita o esportazione illecite di beni culturali”.

·         Art. 518-duodecies c.p., “Distruzione, dispersione, deterioramento, deturpamento, imbrattamento e uso illecito di beni culturali e paesaggistici”.

·         Art. 518-quaterdecies, “Contraffazione di opere d'arte”.

In caso di commissione di detti delitti da parte di un soggetto apicale o sottoposto e nell’interesse o a vantaggio dell’ente, a quest’ultimo potranno essere applicate sia sanzioni pecuniarie (da cento a novecento quote, a seconda del reato commesso) sia sanzioni interdittive (per una durata non superiore a 2 anni).

Il “nuovo” art. 25-duodevicies del D.lgs. 231/2001, invece, estende la responsabilità da reato degli enti ai nuovi delitti di cui agli artt. 518-sexies c.p. (“Riciclaggio di beni culturali”) e 518-terdecies c.p. (“Devastazione e saccheggio di beni culturali e paesaggistici”).

In caso di consumazione di uno di detti reati da parte di un soggetto apicale o sottoposto, nell’interesse o a vantaggio dell’ente, è prevista una sanzione pecuniaria da 500 a 1.000 quote, oltre – eventualmente - all'interdizione definitiva dall'esercizio dell'attività (nel solo caso in cui l'ente, ovvero una sua unità organizzativa, sia stabilmente utilizzato allo scopo unico o prevalente di consentire o agevolare la commissione dei delitti di riciclaggio, devastazione e saccheggio di beni culturali).

A seguito di dette novità normative appare opportuno, per le società, compiere, anche solo a scopo preventivo, un’analisi dei rischi, volto a verificare la rilevanza dei nuovi reati rispetto all’operatività aziendale svolta in concreto ed eventualmente aggiornare i modelli di organizzazione e gestione.

Segnaliamo due recenti sentenze di segno opposto della Corte di Cassazione, rese – a distanza di una settimana una dall’altra - in tema di infortuni sui luoghi di lavoro, violazione della normativa antinfortunistica e responsabilità amministrativa degli enti (ex D.lgs. 231/2001).

Cass. Pen., Sez. IV, 1° giugno 2021, n. 21522

Nel corso del 2017 un lavoratore dipendente di una società a responsabilità limitata, mentre operava sulla postazione dell’isola di fusione, veniva colpito alle spalle dalla tazza di caricamento che trasferiva il metallo fuso dal forno alla conchigliatrice, rimanendo incastrato fra quest’ultima e il forno. Il normale funzionamento del macchinario prevedeva che la tazza avrebbe dovuto arrestarsi a metà corsa, prima di proseguire verso il forno; tuttavia, in quell’occasione la tazza, anziché fermarsi, aveva proseguito la corsa, colpendo il lavoratore alle spalle, mentre caricava il forno e spingendolo verso di esso.

Sia il Tribunale di Busto Arsizio sia la Corte di Appello di Milano condannavano l’ente per illecito amministrativo, ai sensi e per gli effetti del combinato disposto dell’art. 5.1. lett. a) e 25 septies D.lgs. 231/2001.

La sentenza di condanna per l’ente è stata confermata anche in sede di legittimità, laddove è stato riconosciuto in via definitiva che la consapevole scelta di adoperare nel ciclo produttivo un macchinario privo del collaudo definitivo è stata adottata con l’intento di far conseguire all’ente il massimo profitto possibile; oltre a ciò, si è accertato che l’effettivo risparmio dei costi rispetto agli interventi di manutenzione richiesti, nonché alle attività di formazione e informazione dei dipendenti, è coinciso con il concreto vantaggio dell’ente.

Cass. Pen., Sez. IV, 8 giugno 2021, n. 22256

Nella vicenda di specie, un autista dipendente di una società, sceso dall’automezzo per effettuare operazioni a terra, veniva urtato dal muletto condotto un suo collega. Nelle fasi di merito, la responsabilità penale del datore di lavoro e quella amministrativa dell’ente sono state dichiarate ai sensi degli artt. 63 e 64 d.lgs 81/2008, per non aver organizzato il luogo di lavoro in maniera conforme a quanto previsto nell’allegato IV, punto 1.4, e, in particolare, per non aver predisposto una viabilità sicura e tale da evitare collusioni tra mezzi e persone.

La Corte di Cassazione, tuttavia, ha accolto il ricorso della società, non ritenendo ravvisabile, nel caso di specie, la responsabilità amministrativa dell’ente per la violazione di norma antinfortunistiche.

Infatti, a seguito dell’analisi dei fatti oggetto della vicenda, non sono stati riscontrati i requisiti dell’interesse e vantaggio a favore dell’ente; sul punto la Suprema Corte ha ricordato che “il requisito dell’interesse non ricorre quando la mancata adozione delle cautele antinfortunistiche risulti essere l’esito di una semplice sottovalutazione dei rischi o di una cattiva considerazione delle misure di prevenzione necessarie e non di una scelta finalisticamente orientata a risparmiare sui costi dell’impresa, e quello di vantaggio richiede la sistematica violazione delle norme prevenzionistiche, e, dunque, una politica di impresa disattenta alla materia della sicurezza sul lavoro, che consenta una riduzione dei costi e un contenimento della spesa con conseguente massimizzazione del profitto”.

In entrambe le sentenze, la IV Sezione Penale della Corte di Cassazione ha fornito un’ampia ed esaustiva analisi delle disposizioni e della giurisprudenza relativa ai reati derivanti dall’inosservanza della normativa sui luoghi di lavoro, applicando ai casi concreti, tra l’altro, i seguenti principi di diritto, ormai consolidati:
    1. i concetti di interesse e vantaggio vanno riferiti alla condotta e non all’evento e devono ritenersi criteri di imputazione oggettivi, alternativi e concorrenti fra loro;
    2.l’interesse dell’ente ricorre qualora l’autore del reato, pur non volendo il verificarsi dell’evento dannoso, ha consapevolmente violato la normativa cautelare allo scopo di conseguire un’utilità per l’ente;
    3.la nozione di vantaggio deve essere interpretata quale violazione sistematica delle norme prevenzionistiche, con l’intento di ridurre i costi e di contenere le spese sostenute dall’ente, massimizzando in tal modo il proprio profitto o la propria produzione, indipendentemente dalla volontà di ottenere il vantaggio stesso. 
 
Con riferimento specifico alle  norme antinfortunistiche, si ricorda, infine, che “il risparmio in favore dell’impresa, nel quale si concretizzano i criteri di imputazione oggettiva rappresentati dall’interesse e dal vantaggio, può consistere anche nella sola riduzione dei tempi di lavorazione, tant’è vero che il vantaggio è stato ravvisato anche nella velocizzazione degli interventi manutentivi che sia tale da incidere sui tempi di lavorazione” (Cass. Pen., Sez. IV, 8 giugno 2021, n. 22256).

Nel caso di specie, il Tribunale di Padova, in composizione monocratica, ha applicato - sull'accordo delle parti ex art. 444 cod. proc. pen. - ad una società responsabile del reato di lesioni commesso con violazione delle norme sulla tutela della salute e sicurezza sul lavoro la sanzione pecuniaria di € 12.900,00 (corrispondente a n. 50 quote societarie), oltre alle sanzioni interdittive di cui all’art. 9, comma 2, del D.lgs. 231/2001 per la durata di mesi tre.

Avverso detta sentenza ha proposto ricorso per cassazione l’Amministratore Unico della Società, ritenendo, tra l’altro, che le sanzioni interdittive non costituiscano una conseguenza automatica della condanna o dell'applicazione della pena su richiesta; oltre a ciò, nel caso specifico le sanzioni interdittive erano rimaste escluse dal realizzato accordo ex art. 444 cod. proc. pen., avente ad oggetto la sola applicazione della pena pecuniaria, per cui tali sanzioni non avrebbero potuto essere applicate dal giudice, in quanto in violazione dell'accordo raggiunto tra le parti.

La Corte di Cassazione, accogliendo il ricorso, ha dichiarato l’illegittimità della sentenza impugnata nella parte in cui ha applicato cumulativamente le sanzioni interdittive e ha ribadito il principio in forza del quale “nel caso di "patteggiamento" l'applicazione delle sanzioni interdittive possa essere consentita solo all'esito di un espresso accordo intervenuto tra le parti, mediante il quale vengano preventivamente stabiliti il tipo e la durata della sanzione ex art. 9, comma 2, d.lgs. n. 231 del 2001 in concreto da applicarsi”.

L’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001 ha richiesto un parere del Garante della Privacy in merito alla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza, sostenendo dalla sua che questi ultimi non siano da considerarsi  né titolari né responsabili del trattamento.
Il Garante è intervenuto sull’argomento con parere del 12 maggio 2020, approfondendo i concetti di “soggetto incaricato autorizzato”, “Responsabile del trattamento dei dati” e “Titolare del trattamento dei dati” ai sensi del Regolamento UE 2016/679 (GDPR).
Secondo il Garante privacy – Dipartimento Realtà economiche e Produttive, l’OdV in quanto tale - pur essendo dotato di autonomi poteri di iniziativa e controllo nell’ambito dell’attività di vigilanza sull’idoneità e adeguatezza dei Modelli di Organizzazione, Gestione e Controllo e di cura del loro aggiornamento - non è da considerarsi autonomo titolare del trattamento, in quanto i suoi compiti sono determinati dalla legge e dall’ente per il quale svolge tale ruolo.  Inoltre, proprio perché l’OdV non è distinto dall’ente, ma è “parte dello stesso” – a prescindere dalla circostanza che i suoi membri siano interni o esterni – esso non può nemmeno considerarsi un “responsabile del trattamento”, inteso come soggetto terzo chiamato ad effettuare un trattamento per conto del titolare.
Sorge, quindi, la necessità di considerare il ruolo dei singoli membri dell’OdV  in ragione delle modalità e tipologie dei trattamenti dati che li vedono coinvolti in ragione dello svolgimento dei loro compiti.
Secondo il Garante privacy, i singoli membri dell’OdV dovranno attenersi alle istruzioni impartite dall’ente Titolare del trattamento dati, affinché il trattamento avvenga in conformità ai principi di cui all’articolo 5 del GDPR  (attinenza, necessità, pertinenza etc). I singoli membri che compongono l’Organismo devono essere, quindi, intesi come soggetti autorizzati (c.d. incaricati del trattamento, art. 4, n. 10 GDPR) che agiscono - pur nell’indipendenza ed autonomia rispetto agli organi di gestione societaria – nell’adempimento dei propri compiti ai sensi  del GDPR.
L’ente, in conformità del principio dell’acccountability (art. 24 GDPR), procederà alla loro formale nomina e all’adozione delle misure tecniche ed organizzative idonee a garantire la protezione dei dati trattati, pur garantendo all’OdV l’autonomia e l’indipendenza che deve contraddistinguere tale organo.

The Association of the members of the Control Bodies under Italian Legislative Decree 231/2001 has requested an opinion to the Italian Data Protection Authority on the  qualification, for data protection purposes, of the Control Bodies, deeming the latter neither data controllers nor data processors.
The Authority issued an opinion on 12th May 2020, looking into the notions of “authorised subject”, “Data Processor” and “Data Controller” according to EU Regulation 2016/679 (GDPR).
According to the Data Protection Authority, the Control Body, as such – though granted autonomous powers of initiative and control on the suitability and adequacy of the Organisation, Management and Control Models and of any update thereof – it is not to be considered autonomous Data Controller, since its tasks are regulated by law and by the entity on behalf of which it operates.  Furthermore, since the Control Body is not separated from the entity, but is a “part thereof” – be its members internal or external – it cannot be considered a  “data processor”, intended as third subject requested to process data on behalf of the controller.
Therefore, it is necessary to regard the role of the Control Bodies’ members on the basis of the modality and kind of data processing in which they are involved by reason of their role.
According to the Data Protection Authority, the single members of the Control Bodies shall comply with the instructions given by the entity Data Controller, in order to guarantee that the processing follows the principles under article 5 of the GDPR  (relevance, necessity, pertinence etc). Members of the Control Body must therefore be considered as authorized subjects  under article 4, no. 10, of the GDPR) who operates  - even though autonomous and independent with respect to the management of the company – in the fulfillment of their duties according to the GDPR.
The entity, in compliance with the acccountability principle (article 24 GDPR), shall formally appoint them and adopt the adequate technical and organisational measures  to ensure protection of processed data , whilst granting the independence which the Control Body must possess.

La legge 19 dicembre 2019  n. 157– che ha convertito con modifiche il c.d. Decreto Fiscale (DL 26 ottobre 2019 n. 124) – ha introdotto nel D.lgs. 231 i reati tributari

Nello specifico, l’articolo 39 di detta Legge ha aggiunto al D.lgs. 231 l’articolo 25-quinquiesdecies,  relativo alla responsabilità amministrativa della società per i seguenti delitti previsti dal D.lgs. 74/2000:

-          dichiarazione fraudolenta mediante uso di fatture o altri documenti per operazioni inesistenti;

-          dichiarazione fraudolenta mediante altri artifici;

-          emissione di fatture o altri documenti per operazioni inesistenti;

-          occultamento o distruzione di documenti contabili

-          sottrazione fraudolenta al pagamento di imposte.

L’articolo 25-quinquiesdecies prevede per tali delitti l’applicazione delle sanzioni pecuniarie (da 400 a 500 quote, a seconda del reato, aumentate di un terzo se l’ente ha conseguito un profitto di rilavante entità in seguito alla commissione del reato) e delle sanzioni interdittive di cui all’articolo 9, comma 2, lettere c), d) e e) del D.lgs. 231, ossia:

c) il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio;

d) l'esclusione da agevolazioni, finanziamenti, contributi o sussidi e l'eventuale revoca di quelli già concessi;

e) il divieto di pubblicizzare beni o servizi.