Con provvedimento n. 157  in data 30 luglio 2019 il Garante privacy ha indicato alcune prescrizioni di natura tecnica per coloro che hanno necessità di notificare al Garante stesso la violazione di dati personali, ai sensi dell’art. 33 del Regolamento GDPR UE 2016/679 sul trattamento dei dati personali (il così detto data breach).

In particolare, il Garante ha messo a punto un modulo rinvenibile sul sito istituzionale dell’Autorità  stessa, che dovrebbe facilitare i titolari di trattamento oggetto di data breach nell’adempiere all’obbligo di notifica nel più breve tempo possibile –  e comunque non oltre le 72 ore dall’evento– dall’avverarsi di un episodio di data breach, ossia di violazione della sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati .

Il Titolare del trattamento dati, quindi, ha adesso un modulo formulato dal Garante privacy che dovrebbe facilitare la trasmissione delle informazioni richieste dal Regolamento 2016/679, avendole identificate il Garante stesso. Tale modulo dovrà essere trasmesso al Garante  mediante i sistemi telematici indicati sul sito istituzionale del Garante. Il provvedimento peraltro ha chiarito che con riferimento ai termini temporali, al contenuto e alle modalità delle comunicazioni delle violazioni dei dati personali indicati in precedenti provvedimenti (tra cui quelli ion tema di biometria del 204, in materia di informazioni bancarie del 2011, in materia di Dossier sanitario del 2015) si intendono eliminati e sostituiti da quelli di cui al Provvedimento in commento, in conformità con il Regolamento 2016/679.

Il Provvedimento n. 157/2019 si aggiunge alla restante documentazione in materia di data breach , tra cui si rammentano le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679 “ del Gruppo di Lavoro art. 29 del 2017 aggiornate,  modificate e fatte proprie dal Comitato Europeo per la protezione dei dati con provvedimento del 25 maggio 2018; nonché la Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, adottata dal Comitato europeo per la protezione dei dati in data 12 marzo 2019.

Infine, si fa presente che il Garante Privacy ha fatto partire in data 23 settembre u.s.  il "Privacy Sweep 2019", un’indagine a carattere internazionale dedicata quest’anno alla gestione dei data breach da parte di soggetti pubblici e privati. Allo Sweep (indagine a tappeto) del 2019 partecipano, oltre a quella italiana, altre 17 Autorità garanti della privacy di vari Paesi del mondo.

Il Garante per la protezione dei dati personali concentrerà la sua attività sul settore dell’e-commerce attraverso l’analisi di un campione significativo di aziende italiane.

Si informa che il 26 giugno 2019  è  entrato in vigore il Regolamento (UE) 2019/881 del Parlamento europeo del Consiglio del 17 aprile 2019, pubblicato sulla Gazzetta Ufficiale UE del 7 giugno u.s., relativo all’ENISA (European Union Agency for Network and Information Security)  - l’Agenzia dell’Unione europea per la cibersicurezza - e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione,  che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»).

Il Regolamento ha il duplice obiettivo, da un lato, di rinforzare il ruolo dell’Agenzia europea sulla cibersicurezza (ENISA) e, dall’altra, di creare le base per una certificazione uniforme a livello europeo per la sicurezza informatica dei prodotti ITC e dei servizi digitali.

Si tratta di un Regolamento importante emanato nel solco della normativa comunitaria in materia di protezione dei dati personali (GDPR Regolamento UE 2016/679) nonché della direttiva UE 2016/1148, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione , recepita in Italia con Decreto Legislativo n. 65 del 18 maggio 2018.

Obiettivo del Regolamento è quello di creare una disciplina comune che garantisca un elevato standard di sicurezza dei dispositivi telematici e un uso sicuro dei servizi TlC.

Compito dell’ENISA sarà quello di conseguire un elevato livello comune di cibersicurezza nell’Unione sostenendo attivamente gli Stati membri, le istituzione, gli organi e gli organismi dell’Unione Europea.

Inoltre, obiettivo dell’ENISA sarà quello di promuovere l’uso della certificazione europea della cibersicurezza a livello Europeo, per evitare la frammentazione del mercato interno.

Quanto sopra è una primissima informativa  a cui seguiranno approfondimenti ulteriori sul Regolamento UE 2019/881.

“In data 17 giugno 2019 è stata pubblicata in Gazzetta Ufficiale la legge di conversione 14 giugno 2019, n. 55 che ha convertito il decreto-legge 18 aprile 2019, n. 32 recante: «Disposizioni urgenti per il rilancio del settore dei contratti pubblici, per l'accelerazione degli interventi infrastrutturali, di rigenerazione urbana e di ricostruzione a seguito di eventi sismici.»
 
Si riportano qui di seguito, sinteticamente, le principali modifiche apportate dal citato provvedimento al Codice Appalti (D.Lgs. 50/2016 s.m.i.).


·         Regolamento di attuazione: entro 180 giorni dall’entrata in vigore del decreto dovrà essere emanato il regolamento di esecuzione, attuazione e integrazione del codice. Le Linee Guida e i decreti adottati in attuazione delle previgenti disposizioni rimarranno in vigore e o resteranno efficaci fino alla data di entrata in vigore del regolamento.

·         Limite del 40% al subappalto: fino al 31 dicembre 2020 il limite massimo subappaltabile sarà pari al 40% dell’importo complessivo del contratto. Tuttavia, sarà la Stazione Appaltante ad indicare nel bando, per ogni gara, la quota di lavoro o servizi subappaltabili; inoltre, non sarà obbligatorio indicare la terna dei subappaltatori.

·         Procedura negoziata fino a 1 milione di euro:

1)      nelle gare di importo compreso tra 40 mila euro e 150 mila euro per i lavori, o fino alle soglie comunitarie (221 mila euro) per i servizi e le forniture si procederà con affidamento diretto previa consultazione, ove esistenti, di almeno 3 operatori economici per i lavori e di almeno 5 operatori per i servizi e le forniture;
2)      nelle gare di importo compreso tra 150 mila euro e 350 mila euro si procederà con procedura negoziata previa consultazione, ove esistenti, di almeno 10 operatori economici;
3)      per gli affidamenti di importo compreso tra 350 mila euro e 1 milione di euro, si utilizzerà la procedura negoziata previa consultazione, ove esistenti, di almeno 15 operatori economici;
4)      per importi superiori a 1 milione di euro per i lavori, o alle soglie comunitarie per i servizi e le forniture, si dovrà ricorrere alle procedure ordinarie.

Viene inserita una disciplina di dettaglio per gli affidamenti "sottosoglia", per le indagini di mercato e per la formazione e gestione degli elenchi degli operatori economici, stabilendosi l'utilizzo del criterio del "minor prezzo" come alternativa sempre possibile all'OEPV per l'aggiudicazione dei contratti "sottosoglia”.

·         Affidamenti a terzi da parte dei concessionari: viene differito al 31 dicembre 2020 il termine entro il quale i titolari di concessioni già in essere devono adeguarsi alla percentuale di affidamento a terzi mediante procedure ad evidenza pubblica (80% - o 60% nel caso dei concessionari autostradali - dei contratti di lavori, servizi e forniture).
 
·         Appalto integrato: fino al 31 dicembre 2020, nei casi in cui l'elemento tecnologico o innovativo delle opere oggetto dell'appalto sia nettamente prevalente rispetto all'importo complessivo dei lavori, sarà consentito l’affidamento congiunto della progettazione esecutiva ed esecuzione dei lavori. La legge di conversione prevede che i requisiti minimi per lo svolgimento della progettazione siano previsti nei documenti di gara nel rispetto del Codice e del nuovo regolamento di attuazione.
 
·        Lavori di manutenzione sulla base del progetto definitivo: fino al 31 dicembre 2020, i lavori di manutenzione ordinaria e straordinaria potranno essere affidati sulla base del progetto definitivo e l'esecuzione potrà essere avviata a prescindere dall'avvenuta redazione e approvazione del progetto esecutivo, a meno che detti lavori non prevedano il rinnovo o la sostituzione di parti strutturali delle opere o di impianti. Il progetto definitivo dovrà avere un contenuto minimo prestabilito.
 
·         Commissari di gara: fino al 31 dicembre 2020 non vi sarà l'obbligo di servirsi in fase di gara di commissari indipendenti nominati all'interno di un albo gestito dall'ANAC (mai peraltro avviato).

·         Esame offerte: fino al 31 dicembre 2020 sarà consentito alla Stazione Appaltante (ove specificamente previsto nel bando di gara o nell'avviso con cui si indice la gara) - limitatamente alle procedure aperte - espletare l'operazione di esame delle offerte prima dell'operazione di verifica dei requisiti degli offerenti.

·         Criteri di aggiudicazione: viene eliminato l'obbligo di affidare i lavori di importo fino a 5,5 milioni di euro secondo il criterio del massimo ribasso. La Stazione Appaltante potrà scegliere in autonomia il criterio e, nel caso in cui ne scelga uno diverso da quello del prezzo più basso, non dovrà fornire nessuna giustificazione.
 
·         Certificati e cause di esclusione: i documenti e le certificazioni degli operatori avranno una durata di sei mesi. Per i certificati e i documenti (tranne il Durc), già acquisiti ma scaduti da meno di 60 giorni, per i quali sia in corso la procedura di rinnovo, la Stazione Appaltante potrà verificare direttamente presso gli enti certificatori l’eventuale presenza di cause di esclusione. Se gli enti non risponderanno entro 30 giorni, si riterrà confermato il contenuto dei certificati scaduti.”

Il Parlamento europeo ha approvato una nuova Direttiva, ancora non pubblicata sulla GUCE,   per proteggere a livello europeo gli informatori che rivelano violazioni del diritto comunitario in settori quali appalti pubblici, servizi finanziari, riciclaggio di denaro, sicurezza dei prodotti e dei trasporti, sicurezza nucleare, salute pubblica, protezione dei consumatori e dei dati.

Canali  sicuri di comunicazione
Per garantire gli informatori e la loro riservatezza questi potranno  comunicare le segnalazioni attraverso più canali di comunicazione: all’interno dell’ente interessato (es. azienda), direttamente alle autorità nazionali competenti, agli organi e alle agenzie competenti dell’UE. Quindi le aziende e le autorità nazionali dovranno creare tali canali di comunicazioni. In assenza di tali canali sicuri, il segnalante sarà comunque protetto qualora decidesse di divulgare pubblicamente le informazioni.

Saranno esentati da tali obblighi le piccole aziende e i piccoli comuni.

Salvaguardia contro le ritorsioni
La Direttiva vieta rappresaglie e introduce nuove tutele per evitare che chi denuncia possa essere sospeso, declassato o si trovi ad affrontare forme di ritorsione. Stessa tutela viene estesa per chi assiste gli informatori  (ad es. colleghi e parenti).
Gli Stati membri garantiranno accesso gratuito alle informazioni riguardanti i mezzi di ricorso possibili, l’assistenza legale durante i procedimenti. Gli informatori potranno ricevere durante i procedimenti sostegno finanziario e psicologico.

Prossime tappe
La legge dovrà essere approvata formalmente anche dai Ministri UE e successivamente alla pubblicazione sulla GUCE,  gli Stati membri avranno due anni per implementare la Direttiva.

Provvedimento del Garante Privacy del 4 aprile 2019 n. 9101974

In un recentissimo provvedimento (in data 4 aprile u.s.) il Garante privacy si è pronunciato, a seguito di molteplici segnalazioni anche da parte di privati cittadini,  in merito ad un caso di Data Breach che ha coinvolto  la piattaforma Rousseau ed altri siti web connessi al Movimento 5 stelle.
Come noto, il Regolamento 2016/679 in materia di trattamento dei dati personali prescrive all’art. 33 un obbligo di notificare al Garante, entro 72 ore dall’evento e/o dal momento in cui si viene a conoscenza dello stesso, casi di violazione dei dati personali (ad esempio episodi di intrusione in un sistema informatico e violazione dei sistemi di sicurezza per l’appropriazione illegittima dei dati contenuti su un server ovvero casi di crittografia dei file  tramite malware con contestuale richiesta di riscatto con pagamento in criptovalute). 
La vicenda in esame prende le mosse nel 2017 quando, a seguito di istruttoria, il Garante privacy ha emesso un primo provvedimento (in data 21 dicembre 2017 n. 7400401) indicando specifiche azioni di miglioramento delle piattaforme in questione, avendo rilevato numerose aree di criticità, dal punto di vista informatico, che ne compromettevano la sicurezza anche ai fini di accessi non autorizzati alle piattaforme stesse, con evidente violazione della normativa sulla tutela dei dati personali (l’allora vigente Codice privacy D.Lgs. 163/1996 e numerosi Provvedimenti Generali del Garante). Tra le preliminari misure necessarie prescritte nel 2017 il Garante privacy  ha richiesto, tra l’altro, anche:
- l’adeguamento della  lunghezza minima della password di accesso al sistema;
- l’adozione di protocolli di rete https per garantirne una maggiore sicurezza;
- l’adozione di algoritmi crittografici robusti per la garantire efficacemente le password degli utenti;- misure di auditing  per la verifica della liceità dei trattamenti dei dati  con riferimento al sistema di e-voting tramite le piattaforme in questione, mediante tenuta dei registri degli accessi degli amministratori di sistema  e delle operazioni compiute (log) sul data base della Piattaforma Rousseau  (in conformità con un Provvedimento generale del Garante privacy del 2008 in tema di amministratori di sistemi); nonché
-  miglioramento delle informative agli interessati ai sensi dell’allora vigente art. 13 del D.lgs. 196/2013.
Nel provvedimento veniva, peraltro,  dichiarata l’illiceità dei trattamenti dei dati degli utenti  da parte dei titolari dei siti riconducibili al Movimento 5 stelle, in ragione della comunicazione a soggetti terzi (Wind Tre spa e ITNET srl) dei dati medesimi in  mancanza di idoneo presupposto.

A fronte di tali preliminari prescrizioni, il Garante privacy ha effettuato la  necessaria  ulteriore istruttoria per accertare se  e come fossero state implementate le misure prescritte nel 2017.

All’esito di tali verifiche   - e dopo  due provvedimenti di proroga dei termini a seguito di richiesta dall’Associazione Movimento 5 Stelle e dalla Piattaforma Russeau -   ed una volta effettuati  gli accertamenti di natura tecnica volti a verificare in concreto la robustezza dei sistemi di sicurezza adottati rispetto alle criticità rilevate dall’Autorità Garante della privacy nel 2017, sono emerse ancora delle inadempienze che hanno condotto, il Garante ad irrogare una sanzione amministrativa all’associazione Rousseau, in qualità di Responsabile del trattamento dati del Movimento 4 Stelle, pari a € 50 mila, in conformità a quanto previsto dall’art. 58 del Regolamento 2016/679 (GDPR), per essere emersa una conclamata violazione dell’art. 32 del GDPR (Sicurezza del trattamento).

Tra le maggiori violazioni alla normativa in materia di tutela dei dati personali emerse a seguito degli accertamenti del Garante privacy (Provvedimento del 4 aprile u.s.) si segnalano le seguenti:

-          obsolescenza di alcune componenti software dei siti web (il distributore del software Csm in questione non rilascia infatti più aggiornamenti dal 2013);

-          a fronte dell’adozione di un sistema di tracciatura dell’attività compiuta, il sistema in uso alle Piattaforme non consente di tracciare adeguatamente  gli accessi (lettura e/o modifica) al database da parte degli Amministratori di Sistema dell’Associazione Rousseau che possono compiere operazioni, ad esempio, sui dati degli utenti senza che il loro operato possa essere adeguatamente tracciato., per cui non è possibile effettuare l’auditing informatico richiesto dal Garante, esponendo i dati personali presenti sulle Piattaforme a rischi di violazione elevati;

-          le misure adottate non hanno eliminato la possibilità di alterare , sopprimere o estrarre copie offline dei risultati delle operazioni di e-voting sulla piattaforma: in sostanza, non è garantita l’integrità, l’autenticità e la segretezza delle espressioni di voto (caratteristiche delle operazioni di e-voting) da parte di coloro che svolgono la funzione di Data Base Administrator (sul punto il Garante così si pronuncia “In questo senso sussistono forti perplessità sul significato da attribuire al termine “certificazione” riferito dal titolare del trattamento all’intervento del notaio  o  di altro soggetto terzo di fiducia in una fase successiva alle operazioni di voto con lo scopo di asseverare gli esiti […] stante l’impossibilità di svolgere alcuna significativa verifica sui dati che sono, per loro natura e modalità di trattamento, tecnicamente alterabili in pressoché ogni fase del procedimento di votazione e scrutinio antecedente la c.d. “certificazione”);

-          infine, utilizzo della medesime credenziali di autenticazione  assegnate ad incaricati dotati di elevati privilegi per la gestione delle piattaforme applicative a supporto dei siti www.movimento5stelle.it e rousseau.movimento5stelle.it; tale circostanza impedisce di attribuire le azioni compiute in un sistema informativo ad un determinato incaricato, con pregiudizio anche per il titolare, privato della possibilità di controllare l’operato di tali figure tecniche rilevanti. 

Unitamente alla sanzione amministrativa, il Garante privacy ha assegnato termini ben precisi per l’adeguamento ed il miglioramento delle piattaforme in questione, ordinando all’ Associazione Movimento 5 stelle, quale titolare del trattamento,  e all’Associazione Rousseau, quale responsabile del trattamento, di procedere altresì con la valutazione di impatto sulla protezione dei dati con specifico riferimento alla funzionalità di e-voting delle piattaforme.

Avv. Grazia Quacquarelli, LL. M.

Il 16 marzo 2019 sono entrate in vigore alcune norme contenute nel D.lgs. 12 gennaio 2019, n. 14 (c.d. “Codice della crisi d'impresa e dell'insolvenza in attuazione della legge 19 ottobre 2017, n. 155”), che si compone di 391 articoli (molti dei quali entreranno in vigore nell’agosto del 2020) e pubblicato sulla Gazzetta Ufficiale n. 38 del 14 febbraio 2019.
Tra le norme in vigore dal 16 marzo u.s. - come puntualmente indicato dall’art. 389, comma 2, del D.lgs. 14/2019 (di seguito anche “Codice della Crisi”) – ne segnaliamo alcune più rilevanti e che modificano il Codice Civile. 
A.      Art. 375 del Codice della Crisi
Modifica l’art. 2086 del codice civile (e la relativa rubrica), introducendo un secondo comma che impone all’imprenditore che opera in forma societaria o collettiva di istituire “un assetto organizzativo, amministrativo e contabile” adeguato alla natura e alle dimensioni dell’impresa, “anche in funzione della rilevazione tempestiva della crisi d’impresa e della perdita della continuità aziendale”.
Si prevede anche l’obbligo, per l’imprenditore, di attivarsi senza indugio per l’adozione e per l’attuazione di “uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale”.
Il legislatore ha inteso, quindi, responsabilizzare maggiormente l’imprenditore, obbligandolo a dotarsi di una struttura interna adeguata ed idonea a rilevare tempestivamente la crisi d’impresa e, conseguentemente, ad attivarsi per tentare di recuperare la continuità aziendale.
B.      Art. 377 del Codice della Crisi
Modifica gli artt. 2257, 2380-bis, 2409-novies e 2475 del codice civile (dettati, rispettivamente, in tema di società semplici, società per azioni e società a responsabilità limitata), imponendo l’adozione di assetti organizzativi societari adeguati e ribadendo che l’amministrazione della società spetta esclusivamente agli amministratori, i quali compiono le operazioni necessarie per l’attuazione dell’oggetto sociale.
C.      Art. 379 del Codice della Crisi
Modifica l’art. 2477 del codice civile, prevedendo, per le società a responsabilità limitata, l’obbligo di nominare l’organo di controllo (sindaco unico o collegio sindacale) o il revisore se:
I.            la società è tenuta alla redazione del bilancio consolidato;
II.            la società controlla una società obbligata alla revisione legale dei conti;
III.            la società ha superato per due esercizi consecutivi almeno uno dei seguenti limiti: 1) totale dell’attivo dello stato patrimoniale: 2 milioni di euro; 2) ricavi delle vendite e delle prestazioni: 2 milioni di euro; 3) dipendenti occupati in media durante l’esercizio: 10 unità.
Secondo quanto previsto dal quinto comma dell’art. 2477 cod. civ. l’obbligo di nomina dell’organo di controllo o del revisore deve essere adempiuto, da parte dall’assemblea dei soci, entro 30 giorni dall’approvazione del bilancio in cui vengono superati i limiti sopra indicati; in caso di inerzia da parte dell’assemblea, alla nomina provvede il tribunale, su richiesta di qualsiasi interessato o “su segnalazione del conservatore del registro delle imprese” (come introdotto dal Codice della Crisi).
Infine, le società a responsabilità limitata e le società cooperative - se ricorrono i requisiti di cui all’art. 2477, comma 1, del codice civile – dovranno nominare gli organi di controllo o il revisore e, se necessario, uniformare l’atto costitutivo e lo statuto alle novità normative in commento entro nove mesi dalla data del 16 marzo u.s. (quindi entro il 16 dicembre 2019).

Con D.L. 87/2008, convertito in Legge n. 96/2018, è stato reintrodotto il reato di somministrazione fraudolenta (ex art. 38 bis D.lgs. 81/2015) che si configura nei casi in cui “la somministrazione di lavoro è  posta in essere con la specifica finalità di eludere norme inderogabili di legge o di contratto collettivo applicate al lavoratore”. La sanzione penale prevista è quella dell’ammenda pari ad € 20 per ciascun lavoratore, per ciascun giorno di somministrazione.
L’Ispettorato del Lavoro, con circolare n 3/2019, ha fornito interessanti indicazioni in merito alle varie declinazioni di tale ipotesi di reato, che può configurarsi:
- attraverso la figura dell’appalto illecito, volto cioè ad eludere l’applicazione di norme inderogabili di legge o di CCNL con conseguente risparmio per il committente sul costo del lavoro; oppure
- attraverso il coinvolgimento di agenzia per il lavoro, laddove il datore di lavoro licenzi un proprio dipendente per riutilizzarlo tramite agenzia di somministrazione, violando le norme di legge o di CCNL; infine,
- attraverso distacchi transnazionali “non autentici”,  nella misura in cui il distacco sia funzionale all’elusione di disposizioni dell’ordinamento interno e/o del CCNL applicato dal committente italiano.
Oltre alle sanzioni di natura pecuniaria, l’Ispettorato del lavoro dovrà adottare provvedimenti prescrittivi  volti, ad esempio, all’assunzione dei lavoratori alle dirette dipendenze dell’utilizzatore  per tutta la durata del contratto. 
L’Ispettorato del lavoro, infine, ha indicato tra gli elementi  a supporto dell’esistenza di una volontà fraudolenta (oltre all’elusione delle normative inderogabili), la sussistenza di condizioni di sofferenza economica dell’impresa che potrebbe assumere rilevanza in considerazione dell’impossibilità di sostenere i costi del personale, a fronte del fatturato annuo.

In data 16 gennaio 2019 è stata  pubblicata in  Gazzetta Ufficiale (GU n. 13 del 16 gennaio 2019) la Legge 9 gennaio 2019, n. 3, recante “Misure per il contrasto dei reati contro la pubblica amministrazione, nonche' in materia di prescrizione del reato e in materia di trasparenza dei partiti e movimenti politici”,  che entrerà in vigore il 31 gennaio 2019.
Il provvedimento contiene rilevanti novità in tema di  prevenzione e contrasto della corruzione nella Pubblica Amministrazione e, più in generale, in ambito di diritto penale.
Più precisamente, viene tra l’altro modificato lo spazio edittale dei delitti di corruzione (le parole “da uno a sei anni” vengono modificate con “da tre a otto anni”) e appropriazione indebita (le parole “con la reclusione fino a tre anni e con la multa fino a euro 1.032” sono sostituite da “con la reclusione da due a cinque anni e con la multa da euro 1.000 a euro 3.000”); per il reato di corruzione impropria, inoltre, la pena è aumentata da un anno a tre anni di reclusione (nel minimo) e da sei a otto anni (nel massimo).
Infine, i condannati per reati contro la Pubblica Amministrazione (tra cui peculato, corruzione e concussione) non potranno più beneficiare delle pene alternative alla detenzione, come i permessi premio e l’assegnazione di lavoro esterno. Ogni condanna per tali reati, ove commessi in danno o a vantaggio di un’attività imprenditoriale, o comunque in relazione ad essa, comporta – a titolo di pena accessoria - l’interdizione dai pubblici uffici e l’incapacità di contrarre con la P.A. L’interdizione e l’incapacità possono essere perpetue (salvo che per ottenere le prestazioni di un pubblico servizio) o temporanee, ove la reclusione comminata sia inferiore a un dato periodo di tempo o ricorrano specifiche circostanze attenuanti.
Con la legge Anticorruzione viene modificato anche il D.lgs. 8 giugno 2001, n. 231, sia innalzando i termini di durata massima delle sanzioni interdittive a carico degli enti in conseguenza di delitti di corruzione, sia introducendo il traffico di influenze illecite (art. 346 bis c.p.) nel catalogo dei reati presupposto.

+Link+

Si segnala  un’ interessante sentenza della Corte Suprema di Cassazione (Cass. Pen., Sez. V, n. 565/2019, depositata in cancelleria l’8 gennaio 2019) in materia di accesso abusivo a un sistema informatico.
La vicenda processuale tra origine dal comportamento di un lavoratore dipendente di una banca che, utilizzando l’account di posta elettronica aziendale concessogli in uso, ha inviato due e-mail alla casella di posta elettronica di un collega  (privo dell’autorizzazione a ricevere quei dati specifici), allegando un file excel contenente informazioni bancarie riservate (nominativi dei correntisti e saldo di conto corrente), oltre ad inviare altre due e-mail (di contenuto analogo) che il destinatario ha girato al proprio indirizzo di posta personale.
La banca, scoperto quanto accaduto, decideva di denunciare i dipendenti, in considerazione della circostanza che il secondo dipendente, destinatario delle email e che aveva sollecitato le stesse, non aveva alcuna credenziale e/o autorizzazione ad accedere a tali dati; la Corte di appello di Milano, con sentenza del 10 luglio 2017 , confermava la responsabilità (accertata e dichiarata in primo grado) anche del destinatario delle e-mail, considerandolo concorrente nel reato previsto e punito all’art. 615 ter c.p. (“accesso abusivo a un sistema informatico o telematico”). L’apporto concorsuale dell’imputato, più precisamente, sarebbe consistito nell’avere istigato il collega a commettere il reato, chiedendogli di trasmettere i dati di cui sopra, pur non essendo autorizzato a prenderne visione.
Avverso la pronuncia della Corte di Appello il dipendente ha proposto ricorso per cassazione, deducendo, tra l’altro, violazione di legge e vizio di motivazione in ordine alla ritenuta sussistenza del reato di cui all’art. 615 ter cod. pen., sul presupposto che “il semplice invio di una e-mail da un collega all’altro, tramite la propria casella di posta elettronica, non possa integrare il profilo oggettivo del delitto in rassegna”.
La Corte Suprema di Cassazione, tuttavia, ha ritenuto la relativa censura infondata, ribadendo il principio di diritto contenuto in Cass. SS.UU. n. 41210 del 18 maggio 2017, secondo cui “è illecito e abusivo qualsiasi comportamento del dipendente che si ponga in contrasto con i suddetti doveri [di fedeltà e di lealtà, n.d.a.] manifestandosi in tal modo la ontologica incompatibilità dell’accesso al sistema informatico, connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere”.
Ne consegue, pertanto, che anche trattenersi in un sistema informatico per un tempo maggiore rispetto a quello consentito e/o per compiere un’attività vietata - ossia la “trasmissione della lista a soggetto non autorizzato a prenderne cognizione” - configura la condotta prevista e punita dall’art. 615 ter cod. pen.; come detto, inoltre, può concorrere nel reato de quo anche il dipendente che chieda al collega di trasmettergli determinati dati di cui il primo non è autorizzato a prendere visione.

Sulla Gazzetta Ufficiale Serie Generale n.290 del 14 dicembre 2018 è stato pubblicato il Decreto Legge 14 dicembre 2018, n. 135  “Disposizioni urgenti in materia di sostegno e semplificazione per le imprese e per la pubblica amministrazione” (di seguito “Decreto semplificazioni”), che è entrato in vigore il 15 dicembre 2018. Tra le novità contenute nel Decreto Semplificazioni segnaliamo che, con l’art. 6 del menzionato provvedimento, a far data dal 1° gennaio 2019 è stato soppresso il sistema di  controllo  della tracciabilità dei rifiuti (SISTRI), previsto dall'articolo  188-ter del decreto legislativo 3 aprile 2006, n. 152 (T.U. ambiente). Conseguentemente, dall’inizio del prossimo anno e fino alla definizione di un nuovo sistema di tracciabilità dei rifiuti - il quale, secondo quanto previsto dal comma 3 dell’art. 6 del Decreto Semplificazioni, sarà organizzato e gestito direttamente dal Ministero dell’ambiente e della tutela del territorio e del mare -, i soggetti tenuti alla tracciabilità dei rifiuti continueranno ad adempiere ai propri obblighi attraverso i moduli cartacei, compilando i registri di carico e scarico e i formulari di identificazione dei rifiuti.