Nel caso di specie, il Tribunale di Padova, in composizione monocratica, ha applicato - sull'accordo delle parti ex art. 444 cod. proc. pen. - ad una società responsabile del reato di lesioni commesso con violazione delle norme sulla tutela della salute e sicurezza sul lavoro la sanzione pecuniaria di € 12.900,00 (corrispondente a n. 50 quote societarie), oltre alle sanzioni interdittive di cui all’art. 9, comma 2, del D.lgs. 231/2001 per la durata di mesi tre.

Avverso detta sentenza ha proposto ricorso per cassazione l’Amministratore Unico della Società, ritenendo, tra l’altro, che le sanzioni interdittive non costituiscano una conseguenza automatica della condanna o dell'applicazione della pena su richiesta; oltre a ciò, nel caso specifico le sanzioni interdittive erano rimaste escluse dal realizzato accordo ex art. 444 cod. proc. pen., avente ad oggetto la sola applicazione della pena pecuniaria, per cui tali sanzioni non avrebbero potuto essere applicate dal giudice, in quanto in violazione dell'accordo raggiunto tra le parti.

La Corte di Cassazione, accogliendo il ricorso, ha dichiarato l’illegittimità della sentenza impugnata nella parte in cui ha applicato cumulativamente le sanzioni interdittive e ha ribadito il principio in forza del quale “nel caso di "patteggiamento" l'applicazione delle sanzioni interdittive possa essere consentita solo all'esito di un espresso accordo intervenuto tra le parti, mediante il quale vengano preventivamente stabiliti il tipo e la durata della sanzione ex art. 9, comma 2, d.lgs. n. 231 del 2001 in concreto da applicarsi”.

L’Associazione dei Componenti degli Organismi di Vigilanza ex d.lgs. 231/2001 ha richiesto un parere del Garante della Privacy in merito alla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza, sostenendo dalla sua che questi ultimi non siano da considerarsi  né titolari né responsabili del trattamento.
Il Garante è intervenuto sull’argomento con parere del 12 maggio 2020, approfondendo i concetti di “soggetto incaricato autorizzato”, “Responsabile del trattamento dei dati” e “Titolare del trattamento dei dati” ai sensi del Regolamento UE 2016/679 (GDPR).
Secondo il Garante privacy – Dipartimento Realtà economiche e Produttive, l’OdV in quanto tale - pur essendo dotato di autonomi poteri di iniziativa e controllo nell’ambito dell’attività di vigilanza sull’idoneità e adeguatezza dei Modelli di Organizzazione, Gestione e Controllo e di cura del loro aggiornamento - non è da considerarsi autonomo titolare del trattamento, in quanto i suoi compiti sono determinati dalla legge e dall’ente per il quale svolge tale ruolo.  Inoltre, proprio perché l’OdV non è distinto dall’ente, ma è “parte dello stesso” – a prescindere dalla circostanza che i suoi membri siano interni o esterni – esso non può nemmeno considerarsi un “responsabile del trattamento”, inteso come soggetto terzo chiamato ad effettuare un trattamento per conto del titolare.
Sorge, quindi, la necessità di considerare il ruolo dei singoli membri dell’OdV  in ragione delle modalità e tipologie dei trattamenti dati che li vedono coinvolti in ragione dello svolgimento dei loro compiti.
Secondo il Garante privacy, i singoli membri dell’OdV dovranno attenersi alle istruzioni impartite dall’ente Titolare del trattamento dati, affinché il trattamento avvenga in conformità ai principi di cui all’articolo 5 del GDPR  (attinenza, necessità, pertinenza etc). I singoli membri che compongono l’Organismo devono essere, quindi, intesi come soggetti autorizzati (c.d. incaricati del trattamento, art. 4, n. 10 GDPR) che agiscono - pur nell’indipendenza ed autonomia rispetto agli organi di gestione societaria – nell’adempimento dei propri compiti ai sensi  del GDPR.
L’ente, in conformità del principio dell’acccountability (art. 24 GDPR), procederà alla loro formale nomina e all’adozione delle misure tecniche ed organizzative idonee a garantire la protezione dei dati trattati, pur garantendo all’OdV l’autonomia e l’indipendenza che deve contraddistinguere tale organo.

The Association of the members of the Control Bodies under Italian Legislative Decree 231/2001 has requested an opinion to the Italian Data Protection Authority on the  qualification, for data protection purposes, of the Control Bodies, deeming the latter neither data controllers nor data processors.
The Authority issued an opinion on 12th May 2020, looking into the notions of “authorised subject”, “Data Processor” and “Data Controller” according to EU Regulation 2016/679 (GDPR).
According to the Data Protection Authority, the Control Body, as such – though granted autonomous powers of initiative and control on the suitability and adequacy of the Organisation, Management and Control Models and of any update thereof – it is not to be considered autonomous Data Controller, since its tasks are regulated by law and by the entity on behalf of which it operates.  Furthermore, since the Control Body is not separated from the entity, but is a “part thereof” – be its members internal or external – it cannot be considered a  “data processor”, intended as third subject requested to process data on behalf of the controller.
Therefore, it is necessary to regard the role of the Control Bodies’ members on the basis of the modality and kind of data processing in which they are involved by reason of their role.
According to the Data Protection Authority, the single members of the Control Bodies shall comply with the instructions given by the entity Data Controller, in order to guarantee that the processing follows the principles under article 5 of the GDPR  (relevance, necessity, pertinence etc). Members of the Control Body must therefore be considered as authorized subjects  under article 4, no. 10, of the GDPR) who operates  - even though autonomous and independent with respect to the management of the company – in the fulfillment of their duties according to the GDPR.
The entity, in compliance with the acccountability principle (article 24 GDPR), shall formally appoint them and adopt the adequate technical and organisational measures  to ensure protection of processed data , whilst granting the independence which the Control Body must possess.

La legge 19 dicembre 2019  n. 157– che ha convertito con modifiche il c.d. Decreto Fiscale (DL 26 ottobre 2019 n. 124) – ha introdotto nel D.lgs. 231 i reati tributari

Nello specifico, l’articolo 39 di detta Legge ha aggiunto al D.lgs. 231 l’articolo 25-quinquiesdecies,  relativo alla responsabilità amministrativa della società per i seguenti delitti previsti dal D.lgs. 74/2000:

-          dichiarazione fraudolenta mediante uso di fatture o altri documenti per operazioni inesistenti;

-          dichiarazione fraudolenta mediante altri artifici;

-          emissione di fatture o altri documenti per operazioni inesistenti;

-          occultamento o distruzione di documenti contabili

-          sottrazione fraudolenta al pagamento di imposte.

L’articolo 25-quinquiesdecies prevede per tali delitti l’applicazione delle sanzioni pecuniarie (da 400 a 500 quote, a seconda del reato, aumentate di un terzo se l’ente ha conseguito un profitto di rilavante entità in seguito alla commissione del reato) e delle sanzioni interdittive di cui all’articolo 9, comma 2, lettere c), d) e e) del D.lgs. 231, ossia:

c) il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio;

d) l'esclusione da agevolazioni, finanziamenti, contributi o sussidi e l'eventuale revoca di quelli già concessi;

e) il divieto di pubblicizzare beni o servizi.