E’
stata pubblica in G.U. n. 272 del 20 novembre 2019 la Legge 18
novembre 2019, n.133 di “Conversione con modificazioni del Decreto
Legge 21 settembre 2019, n. 105, recante disposizioni urgenti in
materia di Perimetro di sicurezza nazionale e cibernetica”.
La nuova versione del Decreto Legge convertito prevede una serie
di importanti scadenze tra le quali:
- entro il
22 Marzo 2020, con decreto del Presidente del Consiglio dei ministri
verranno individuate le amministrazioni pubbliche, enti ed operatori
pubblici e privati aventi una sede nel territorio nazionale, inclusi
nel perimetro di sicurezza nazionale cibernetica;
- entro il
22 Settembre 2020, tra l’altro:
a) saranno definite le procedure per notificare gli incidenti aventi
impatto sulla sicurezza cibernetica al CSIRT italiano (Gruppo di
intervento per la sicurezza in caso di incidenti);
b) saranno stabilite le misure volte a garantire elevati livelli di
sicurezza delle reti sulla base degli standard UE ed internazionali
riguardo alle politiche di sicurezza, alla protezione dei dati,
all'integrità delle reti.
“Criterio
del blocco unitario”
È legittima la scelta della stazione appaltante, operata in sede di
indizione di una gara pubblica per l’affidamento di un appalto di
lavori secondo il criterio del minor prezzo ex art. 96 c. 4, D. Lgs.
n. 50 del 2016, di non applicare il c.d. “criterio del blocco
unitario”, alla stregua del quale, ai fini del calcolo della soglia di
anomalia, le offerte aventi identico ribasso percentuale sono
considerate come un’unica offerta, e, quindi, di considerare ogni
singola offerta, ove l’Amministrazione si sia avvalsa del sistema di
sorteggio ex art.97, comma 2, d. lgs. n. 50 del 2016 e, segnatamente,
abbia sorteggiato quello previsto dalla lett. b) della stessa norma.
Infatti, la scelta dell’amministrazione di non avvalersi del criterio
del c.d. “blocco unitario”, oltre a non trovare alcun ostacolo
normativo nel D. Lgs. n. 50 del 2016, risulta chiaramente esplicitata
e motivata nella stessa lex specialis di gara.
Entro il
giorno 16 del mese successivo, il committente deve effettuare un
controllo e verificare la congruità tra l’ammontare complessivo degli
importi ricevuti (da appaltatori, affidatari e/o subappaltatori) e le
trattenute effettuate dalle imprese. A tal fine queste ultime
trasmettono via PEC al committente (e le imprese subappaltatrici anche
all’appaltatrice):
- elenco
nominativo dei lavoratori impiegati nel mese precedente per
l’esecuzione dei lavori e/o dei servizi (identificati con codice
fiscale), con dettaglio ore lavoro prestate, ammontare della
retribuzione corrisposta e dettaglio delle ritenute fiscali eseguite
nel mese precedenti;
- dati utili per
compilare le deleghe di pagamento volte al versamento di quanto
dovuto;
- dati del
bonifico effettuato.
Versamento diretto delle imprese esecutrici
In alternativa, il Decreto fiscale prevede la possibilità per le
imprese esecutrici di provvedere al versamento diretto delle ritenute
qualora sussistano i requisiti indicati nel Decreto stesso (tra cui
essere in attività da almeno 5 anni, non avere subito accertamenti
esecutivi per tributi e contributi previdenziali superiori a €
50.000,etc.).
Sono
accessibili gli atti posti in essere dalle SOA nell’ambito
dell’attività di certificazione
Le SOA, pur avendo natura giuridica di società per azioni di diritto
speciale, svolgono una funzione pubblicistica di certificazione, che
sfocia nel rilascio di un’attestazione con valore di atto pubblico,
sicché la loro attività configura un “esercizio privato di pubblica
funzione” e le attestazioni di qualificazione, risultato dell’attività
di certificazione delle SOA, sono peculiari atti pubblici, destinati
ad avere una specifica efficacia probatoria. Ne discende che gli atti
posti in essere nell’ambito della suddetta attività sono certamente
accessibili.
Una
recente sentenza del Tribunale di Padova (550/2019 del 16 luglio
2019), che si inserisce nel filone della sentenza sui così detti
riders, si è pronunciata in materia di genuinità e regolarità
dell’appalto laddove le direttive sono impartite da un software del
Committente.
Il caso ha riguardato alcuni dipendenti di una cooperativa che
svolgevano la mansione di picker, ossia di addetti al prelievo e
movimentazione della merce.
Secondo questi dipendenti (ricorrenti) le istruzioni di lavoro erano
ricevute direttamente dal committente, sia attraverso un
terminale mobile in dotazione ai lavoratori, sia , in un successivo
momento, a voce, tramite collegamento mediante cuffie e
microfono. Tale sistema combinato consentiva al committente di
conoscere in tempo reale le operazioni svolte dal singolo lavoratore e
la durata di ciascuna di esse.
I ricorrenti hanno chiesto l’accertamento di un rapporto di lavoro
direttamente in capo al committente con il versamento delle differenze
retributive, chiedendo in subordine il riconoscimento della
responsabilità solidale della Cooperativa con il Committente, ai sensi
dell’Art. 29 del D. Lgs. 276/2003.
Il Tribunale di Padova è stato, dunque, chiamato a decidere chi fosse
il reale datore di lavoro, ossia chi “presiedeva all’organizzazione
del lavoro nel magazzino e chi quindi esercitava la direzione sui
lavoratori che vi erano addetti”.
Il concetto di subordinazione deve, secondo il Tribunale di Padova,
tener conto dell’evoluzione tecnologica che ha reso per molti settori
obsoleta la relazione tra “superiore” e “subordinato”, soprattutto
laddove è rimesso alle macchine guidare il processo produttivo. I
software ed il sistema di riconoscimento vocale dei singoli dipendenti
della cooperativa messi a disposizione dalla Committente hanno posto
quest’ultima nella posizione di poter controllare e dirigere le
operazioni di lavoro, oltre a trattare dati di soggetti terzi senza
aver dato evidenza dell’esistenza di pre-autorizzazioni in tal senso.
Tali circostanze sono state considerate ritenute dal Tribunale di
Padova elementi utili a ritenere che il Committente abbia
esercitato i poteri del datore di lavoro. Infatti, il governo
complessivo dell’attività aziendale e la direzione del lavoro dei
singoli addetti possono essere intesi come elementi di un
rapporto informatizzato con l’apparente committente.
Il Tribunale, accogliendo il ricorso, ha quindi accertato che la
cooperativa dovesse intendersi come mera “interposta” nei rapporti di
lavoro facenti capo alla Committente; pertanto, i ricorrenti sono
stati ritenuti dipendenti di quest’ultima con inquadramento adeguato
al c.c.n.l. applicato dalla stessa.
Consorzi
stabili – obbligo di indicazione quote di esecuzione dei consorziati –
esclusione – inammissibile
La sentenza ha ad oggetto il provvedimento con cui è stato escluso da
una gara pubblica un consorzio stabile che non aveva ottemperato
all’obbligo previsto da disciplinare di gara - in asserita
applicazione dell’art. 48, comma 4, d.lgs. 50/2016 - di indicare la
quota parte del servizio che avrebbe svolto ciascun consorziato.
Secondo il TAR Lombardia, l’esclusione è illegittima, poiché l’art.
48, comma 4, d.lgs. 50/2016 si applica ai raggruppamenti temporanei di
imprese ed ai consorzi ordinari, non ai consorzi stabili, che invece
costituiscono un’autonoma struttura organizzativa, cui imputare
integralmente la prestazione da eseguirsi, della quale il consorzio
stabile risponde in proprio, senza dover specificare la quota di
esecuzione di ciascun consorziato..
Con
Decreto Legge n. 105 del 21 settembre 2019 sono state emanate
“Disposizioni urgenti in materia di Perimetro di sicurezza nazionale
cibernetica” .
Il D.L. in questione prevede, al fine di assicurare un livello
elevato di sicurezza delle reti e dei sistemi informativi ed
informativi delle amministrazioni pubbliche e degli enti nazionali,
pubblici e privati, che svolgono una funzione essenziale dello
Stato o prestano un servizio essenziale per il
mantenimento di attività fondamentali per gli interessi dello
Stato, l’istituzione di un perimetro di sicurezza nazionale
cibernetica.
Entro 4 mesi dall’entrata in vigore della relativa legge di
conversione verrà predisposto, con Decreto del Presidente del
Consiglio, un elenco dei soggetti, pubblici e privati,
interessati dalla nuova normativa e tenuti al rispetto delle
misure e degli obblighi in essa previsti.
Nei successivi 10 mesi, sempre con Decreto del Presidente del Consigli
, verranno inoltre:
- definite le
procedure di notifica degli incidenti di data breach che impatteranno
sui sevizi informativi al nuovo Gruppo di intervento per la sicurezza
informatica in caso di incidente (CSIRT- Cyber Security incident
response team), il quale inoltra poi tali segnalazioni al Dipartimento
delle informazioni per la sicurezza ed in ultimo al Ministero
dell’interno;
- stabilite le
misure volte a garantire livelli di sicurezza delle reti (tra cui le
politiche di sicurezza, la mitigazione e gestione degli incidenti e
loro prevenzione, integrità delle reti etc.).
Il Decreto Legge 105/2019, inoltre, menziona espressamente
la tecnologia 5G e la necessità di prevenire attacchi informatici,
assicurando così l’integrità dei sistemi di comunicazione a banda
larga destinata ad una sempre maggiore diffusione.
La normativa in commento vuole rappresentare un adeguamento
dell’Italia agli standard internazionali di sicurezza informatica,
rinviando poi alla normativa di secondo livello il dettaglio
della disciplina in oggetto.
CORTE
DI GIUSTIZIA U.E., SEZ. V – sentenza 26 settembre 2019 (causa
C‑63/18)
Limite subappalto al 30% – incompatibilità con diritto comunitario
Nella sentenza in esame, la Corte di Giustizia Europea, tra l’altro,
si è pronunciata sul tema della conformità al diritto comunitario
della disciplina nazionale italiana sui contratti pubblici nella parte
in cui fissa il limite massimo subappaltabile al 30% dell’importo
contrattuale.
Come riporta la Corte, il Governo italiano ha giustificato tale
limitazione alla luce di particolari circostanze rilevanti in Italia,
dove il subappalto è sempre setato uno dei meccanismi utilizzati per
perseguire intenti criminali.
La Corte di Giustizia ha rilevato che la normativa italiana proibisce,
in termini generici ed astratti, il ricorso al subappalto che superi
una percentuale fissa dell’appalto pubblico, che si applica
indipendentemente dal settore economico interessato dall’appalto di
cui trattasi, dalla natura dei lavori o dall’identità dei
subappaltatori. Un siffatto divieto generale, ha ritenuto la Corte,
non lascia alcuno spazio a una valutazione caso per caso da parte da
parte dell’ente aggiudicatore.
Peraltro, come già rilevato dalla Commissione europea, misure meno
restrittive sarebbero idonee a raggiungere l’obiettivo perseguito dal
legislatore italiano, come nel caso di quelle previste
dall’articolo 71 della direttiva 2014/24 e richiamate nella sentenza.
D’altronde, come indica il giudice del rinvio, il diritto italiano già
prevede numerose attività interdittive espressamente finalizzate ad
impedire l’accesso alle gare pubbliche alle imprese sospettate di
condizionamento mafioso o comunque collegate a interessi riconducibili
alle principali organizzazioni criminali operanti nel Paese.
La Corte di Giustizia ha quindi ritenuto che il limite al ricorso del
subappalto come quella indicato non può essere ritenuta compatibile
con la Direttiva 2014/24, la quale deve essere interpretata nel senso
di precludere alle legislazioni nazionali che limitino al 30% la quota
del contratto che l’appaltatore può subappaltare a terzi.
Consiglio di Stato, SEZ. V – sentenza 4
ottobre 2019 n. 6698
Revisione tariffe concessione raccolta e smaltimento rifiuti –
esercizio poteri autoritativi - giurisdizione amministrativa
Il Consiglio di Stato si è pronunciato in merito alla questione di
giurisdizione sussistente in materia di revisione delle tariffe di una
concessione per la raccolta e lo smaltimento dei rifiuti delle navi
scalanti.
Il Collegio afferma la sussistenza della giurisdizione amministrativa
alla luce dell’art. 133, comma 1, lett. c) c.p.a., che, nel
circoscrivere le materie di giurisdizione esclusiva del giudice
amministrativo, assegna al giudice ordinario le controversie “di
contenuto meramente patrimoniale, ovvero inerenti quantificazione e
pagamento dei corrispettivi in questione”, sempreché non siano con
esse posti in discussione i poteri discrezionali dell’amministrazione
concedente.
La revisione delle tariffe richiede l’esercizio di poteri
amministrativi di carattere discrezionale, mediante i quali vengono
determinate autoritativamente le tariffe applicate all’utenza, con il
necessario contemperamento delle ragioni dell’utenza di accesso al
servizio con quelle del gestore di mantenimento dell’equilibrio
economico del contratto.
La giurisdizione ordinaria sussisterebbe invece nel diverso caso di
controversia relativa alle somme dovute – solitamente in aggiunta alle
tariffe praticate nei confronti dell’utenza - dall’amministrazione
concedente al concessionario nel rapporto bilaterale, e solo ove si
controverta della mera quantificazione, di tali indennità, canoni o
corrispettivi.
CDS, SEZ. V, 27 settembre 2019, n. 6490.
Omessa dichiarazione di una precedente esclusione per irregolarità
fiscale – Necessità che le informazioni risultino, comunque, dal
Casellario informatico dell’ANAC.
Una precedente espulsione da una gara pubblica per irregolarità
fiscale non può assumere rilievo, quale motivo di esclusione, in
termini di grave illecito professionale e, quindi, di circostanza da
dichiarare, posto che diversamente opinando, si realizzerebbe
un’indefinita protrazione di efficacia, “a strascico”, delle
violazioni relative all’obbligo di pagamento di debiti per imposte e
tasse, laddove l’art. 80, comma 4, riconosce efficacia escludente alla
partecipazione alla gara solamente sino al momento in cui il
concorrente non provveda alla regolarizzazione della propria
posizione.
Inoltre, per potersi ritenere integrata la causa di esclusione di cui
all’art. 80, comma 5, lettera c) è necessario che le informazioni di
cui si lamenta la mancata segnalazione risultino, comunque, dal
Casellario informatico dell’ANAC in quanto solo rispetto a tali
notizie potrebbe porsi un onere dichiarativo ai fini della
partecipazione alle procedure di affidamento; eventuali esclusioni da
precedenti procedure, per quanto accertate dal giudice amministrativo,
assumono pertanto rilevanza solo se e fino a quanto risultino iscritte
nel Casellario, qualora l’ANAC ritenga che emerga il dolo o la colpa
grave dell’impresa interessata, in considerazione dell’importanza e
della gravità dei fatti.
CDS, SEZ. III, 25 settembre 2019, n.
6433.
Onere dichiarativo di risoluzione contrattuale sub judice.
Nel caso di precedenti risoluzioni contrattuali sub judice –
quantunque sia stata eliminata dall’attuale lettera c-ter) dell’art.
80, comma 5, del D.lgs. 50/2016, la connotazione della
risoluzione contrattuale rilevante come “non contestata in giudizio
ovvero confermata all’esito di un giudizio” – con la sentenza in
commento, il Consiglio di Stato, in linea con i più recenti
orientamenti dell’Anac ha ritenuto che ove gli eventi che avrebbero
dovuto essere dichiarati non risultino dal Casellario informatico
dell’ANAC la relativa omissione non può considerarsi idonea
all’applicazione di una sanzione automaticamente espulsiva. In tal
senso, infatti, l’esclusione dell’operatore per omessa dichiarazione
sarebbe sproporzionata e lesiva del legittimo affidamento suscitato
anche da atti interpretativi dell’Autorità di settore.
TAR Lazio, Roma, Sez. III, sentenza 3
ottobre 2019, n. 11522
Natura giuridica di Trenitalia – Sussistenza di una “rete”
nell’attività di trasporto AV/AC – Nozione della “gestione della
rete” destinata a fornire un servizio al pubblico nel campo del
trasporto (ferroviario)
La natura giuridica di Trenitalia va accomunata a quella della sua
holding, Ferrovie dello Stato italiane s.p.a., succeduto all’Ente
Ferrovie dello Stato nella qualità di concessionario ex lege del
servizio ferroviario ed ente geneticamente preposto ad un servizio
pubblico essenziale di trasporto
2. L’attività di trasporto ad alta velocità, ancorché liberalizzata,
non esula dal concetto di “rete” di cui all’art. 118 del D.lgs. n.
50/2016, i cui presupposti si concretizzano nei rilevanti compiti che
il d.lgs. 112/15 attribuisce al gestore dell’infrastruttura (quale è
Rete Ferroviaria Italiana RFI) in relazione alla individuazione (a
titolo esemplificativo) delle tratte, degli orari, della frequenza e
della capacità di trasporto.
Rientrano nell’ambito di applicazione dell’art. 118 del D.lgs. n.
50/2016 – e, qualora riconducibili al novero degli “enti
aggiudicatori”, soggiacciono quindi alle regole dell’evidenza pubblica
per l’affidamento di attività strumentali – anche i “vettori
ferroviari”; questi ultimi vanno ricompresi a pieno titolo tra i
soggetti incaricati della “gestione della rete” (che ricomprende
qualsiasi attività svolta da un’impresa ferroviaria, consistente nel
fornire servizi di trasporto al pubblico esercitando un diritto di
utilizzo della rete ferroviaria – v. Corte di Giustizia dell’unione
Europea, sent. 2019, C – 388/17 – Konkurrensverket contro SJ AB).
CDS, Sezione V, 20 settembre 2019, n.
6251
Il termine per impugnare scatta solo con la piena conoscenza
dell’aggiudicazione
In materia di appalti, ai fini della decorrenza del termine per
impugnare gli atti di gara, la comunicazione dell’aggiudicazione da
parte della stazione appaltante resta la via esclusiva che non può
essere surrogata da altre forme di pubblicità legali, quali la
pubblicazione all’albo pretorio del Comune o sul profilo della
committente e neppure dalla pubblicazione sulla Gazzetta Ufficiale
dell’Ue. Lo afferma è il Consiglio di Stato accogliendo il ricorso di
una società estromessa da un appalto per il trasporto scolastico,
aggiudicato alla società concorrente dopo una ulteriore verifica dei
requisiti, resa necessaria per la presenza di alcune anomalie in un
primo momento. La ricorrente non aveva ricevuto alcuna comunicazione e
solo dopo l’accesso agli atti era riuscito a conoscere l’esito della
procedura, impugnandola secondo i giudici di primo grado tardivamente.
Per il Consiglio di Stato, invece, non è possibile desumere la
cosiddetta piena conoscenza dell’aggiudicazione «da un elemento
indiziario», dovendo il termine per impugnare decorrere da quando il
concorrente abbia acquisito piena contezza del nominativo
dell’aggiudicatario e del carattere definitivo dell’aggiudicazione.
CORTE DI GIUSTIZIA UE, SEZ. V, 18 settembre 2019 (Causa C-526/17)
Illegittimità proroga concessione lavori pubblici
Secondo la Corte di Giustizia, avendo l’Italia con convenzione del
2009 prorogato dal 31 ottobre 2028 al 31 dicembre 2046 la concessione
di lavori pubblici di un’autostrada senza pubblicare alcun bando di
gara è venuta meno agli obblighi previsti dall’art. 2 della direttiva
2004/18/CEE, che impone il rispetto dei principi di parità di
trattamento, non discriminazione e trasparenza in tema di appalti
pubblici, e l’art. 58 che stabilisce che “le amministrazioni
aggiudicatrici che intendono procedere alla concessione di lavori
pubblici rendono nota tale intenzione mediante un bando”.
Tale proroga, infatti, ad avviso della Corte di Giustizia costituisce
“una modifica sostanziale delle condizioni della concessione”.
CDS, SEZ. II, 30 settembre 2019, n. 6534
Ammissibilità della memoria di replica.
Con la pronuncia in esame, il Consiglio di Stato ha chiarito che le
memorie di replica, previste e regolate dall’art. 73, comma 1, c.p.a.,
hanno fine esclusivo di consentire di rispondere alle deduzioni
contenute nelle nuove memorie depositate dalle controparti in vista
dell’udienza di discussione.
Da ciò ne segue che la replica è inammissibile qualora controparte non
abbia depositato memoria conclusionale e che il suo oggetto deve
restare, comunque, contenuto nei limiti della funzione di contrasto
alle difese svolte nella memoria conclusionale avversaria, onde
evitare che si traduca in un mezzo per eludere il termine per il
deposito delle memorie conclusionali, proponendo tardivamente
argomenti che avrebbero dovuto trovare posto nella memoria per
l’udienza di discussione.
CASSAZIONE N. 15724, 11/06/2019
Consecuzione tra procedure concorsuali: la traslazione dall’una
all’altra procedura consente di trasferire la precedenza derivante
dalla prededuzione (articolo 69bis l.f.).
La consecuzione è un fenomeno generalissimo, consistente nel
collegamento tra procedure concorsuali di qualsiasi tipo, volte a
regolare una coincidente situazione di dissesto dell’impresa, che
trova nell’articolo 69-bis della legge Fallimentare una sua
particolare disciplina, nel caso in cui esso si atteggi a consecuzione
tra una o più procedure minori e un fallimento finale. Il fenomeno
della consecuzione funge elemento di congiunzione tra procedure
distinte e consente di traslare dall’una all’altra procedura la
precedenza procedimentale in cui consiste la prededuzione, facendo sì
che la stessa valga non solo nell’ambito in cui è maturata, ma anche
nell’altro che alla prima sia conseguito.
CASSAZIONE, SEZIONE III, ORDINANZA 7 MARZO 2019 N. 6590
Necessità di reiterazione delle istanze istruttorie in sede di
conclusioni.
La parte che si sia vista rigettare dal giudice di primo grado le
proprie richieste istruttorie ha l’onere di
reiterarle al momento della precisazione delle conclusioni
poiché, diversamente, le stesse debbono intendersi rinunciate e non
possono essere riproposte in appello, non potendosi ritenere assolto
tale onere attraverso il richiamo generico al contenuto dei precedenti
atti difensivi, atteso che la precisazione delle conclusioni deve
avvenire in modo specifico, coerentemente con la funzione sua propria
di delineare con precisione il “thema” sottoposto al giudice e di
porre la controparte nella condizione di prendere posizione in ordine
alle richieste, istruttorie e di merito, definitivamente
proposte.
CASSAZIONE, SEZIONE VI, ORDINANZA 6
MARZO 2019 N. 6444
L’accordo transattivo a seguito del ricorso in cassazione comporta
la cessazione della materia del contendere. Differenza tra
rinuncia agli atti e rinuncia all’azione sul piano della
definizione del processo.
Nell’ipotesi in cui nel corso del giudizio di legittimità le parti
raggiungano un accordo che definisce la controversia, si deve
dichiarare cessata la materia del contendere, con conseguente venir
meno dell’efficacia della sentenza impugnata, non essendo
riconducibile la situazione a una delle tipologie di decisione di cui
agli articoli 382, terzo comma, 383 e 184 c.p.c., né risultando
configurabile un sopravvenuto disinteresse delle parti alla decisione
del ricorso, cioè una sopravvenuta inammissibilità del ricorso stesso.
Si veda anche: Tribunale di Roma n. 1206/2018 del 18/01/2018: “A
differenza della rinuncia agli atti del giudizio – atto processuale
indipendente dalle cause e dalle finalità, che produce l’effetto
tipico di estinguere la fase processuale nella quale interviene – la
transazione – atto stragiudiziale di definizione della lite – non
incide direttamente sul processo, determinandone l’estinzione, ma sul
diritto sostanziale che ne forma oggetto, comportando cessazione della
materia del contendere (ex plurimis Cass. 23.4.1999, n. 4035; Cass.
27.2.1998, n. 2197). Mentre la rinuncia agli atti priva la parte del
potere di ottenere una pronuncia di merito e, corrispondentemente, il
giudice del potere – dovere di emetterla, lasciando impregiudicata la
situazione sottostante, di tal che la domanda può essere riproposta in
altro processo, diversamente avviene nella transazione, che, appunto,
perché pone fine al contrasto insorto tra le parti mediante un nuovo
regolamento di interessi, incide sul diritto sostanziale e preclude la
proposizione di una nuova domanda sul medesimo oggetto” (in tal senso,
ex plurimis, Cass. Civ., Sez. III, 21 febbraio 2003, n. 2647).
Con
provvedimento n. 157 in data 30 luglio 2019 il Garante privacy
ha indicato alcune prescrizioni di natura tecnica per coloro che hanno
necessità di notificare al Garante stesso la violazione di dati
personali, ai sensi dell’art. 33 del Regolamento GDPR UE 2016/679 sul
trattamento dei dati personali (il così detto data breach).
In particolare, il Garante ha messo a punto un modulo rinvenibile sul
sito istituzionale dell’Autorità stessa, che dovrebbe facilitare
i titolari di trattamento oggetto di data breach nell’adempiere
all’obbligo di notifica nel più breve tempo possibile – e
comunque non oltre le 72 ore dall’evento– dall’avverarsi di un
episodio di data breach, ossia di violazione della sicurezza che
comporta, accidentalmente o in modo illecito, la distruzione, la
perdita, la modifica, la divulgazione non autorizzata o l’accesso ai
dati personali trasmessi, conservati o comunque trattati .
Il Titolare del trattamento dati, quindi, ha adesso un modulo
formulato dal Garante privacy che dovrebbe facilitare la trasmissione
delle informazioni richieste dal Regolamento 2016/679, avendole
identificate il Garante stesso. Tale modulo dovrà essere trasmesso al
Garante mediante i sistemi telematici indicati sul sito
istituzionale del Garante. Il provvedimento peraltro ha chiarito che
con riferimento ai termini temporali, al contenuto e alle modalità
delle comunicazioni delle violazioni dei dati personali indicati in
precedenti provvedimenti (tra cui quelli ion tema di biometria del
204, in materia di informazioni bancarie del 2011, in materia di
Dossier sanitario del 2015) si intendono eliminati e sostituiti da
quelli di cui al Provvedimento in commento, in conformità con il
Regolamento 2016/679.
Il Provvedimento n. 157/2019 si aggiunge alla restante documentazione
in materia di data breach , tra cui si rammentano le “Linee guida
sulla notifica delle violazioni dei dati personali ai sensi del
Regolamento (UE) 2016/679 “ del Gruppo di Lavoro art. 29 del 2017
aggiornate, modificate e fatte proprie dal Comitato Europeo per
la protezione dei dati con provvedimento del 25 maggio 2018; nonché la
Opinion 5/2019 on the interplay between the ePrivacy Directive and the
GDPR, adottata dal Comitato europeo per la protezione dei dati in data
12 marzo 2019.
Infine, si fa presente che il Garante Privacy ha fatto partire in data
23 settembre u.s. il "Privacy Sweep 2019", un’indagine a
carattere internazionale dedicata quest’anno alla gestione dei data
breach da parte di soggetti pubblici e privati. Allo Sweep (indagine a
tappeto) del 2019 partecipano, oltre a quella italiana, altre 17
Autorità garanti della privacy di vari Paesi del mondo.
Il Garante per la protezione dei dati personali concentrerà la sua
attività sul settore dell’e-commerce attraverso l’analisi di un
campione significativo di aziende italiane.
Si informa
che il 26 giugno 2019 è entrato in vigore il Regolamento
(UE) 2019/881 del Parlamento europeo del Consiglio del 17 aprile 2019,
pubblicato sulla Gazzetta Ufficiale UE del 7 giugno u.s., relativo
all’ENISA (European Union Agency for Network and Information
Security) - l’Agenzia dell’Unione europea per la cibersicurezza
- e alla certificazione della cibersicurezza per le tecnologie
dell’informazione e della comunicazione, che abroga il
regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»).
Il Regolamento ha il duplice obiettivo, da un lato, di rinforzare il
ruolo dell’Agenzia europea sulla cibersicurezza (ENISA) e, dall’altra,
di creare le base per una certificazione uniforme a livello europeo
per la sicurezza informatica dei prodotti ITC e dei servizi digitali.
Si tratta di un Regolamento importante emanato nel solco della
normativa comunitaria in materia di protezione dei dati personali
(GDPR Regolamento UE 2016/679) nonché della direttiva UE 2016/1148,
recante misure per un livello comune elevato di sicurezza delle reti e
dei sistemi informativi nell’Unione , recepita in Italia con Decreto
Legislativo n. 65 del 18 maggio 2018.
Obiettivo del Regolamento è quello di creare una disciplina comune che
garantisca un elevato standard di sicurezza dei dispositivi telematici
e un uso sicuro dei servizi TlC.
Compito dell’ENISA sarà quello di conseguire un elevato livello comune
di cibersicurezza nell’Unione sostenendo attivamente gli Stati membri,
le istituzione, gli organi e gli organismi dell’Unione Europea.
Inoltre, obiettivo dell’ENISA sarà quello di promuovere l’uso della
certificazione europea della cibersicurezza a livello Europeo, per
evitare la frammentazione del mercato interno.
Quanto sopra è una primissima informativa a cui seguiranno
approfondimenti ulteriori sul Regolamento UE 2019/881.
“In data
17 giugno 2019 è stata pubblicata in Gazzetta Ufficiale la legge di
conversione 14 giugno 2019, n. 55 che ha convertito il decreto-legge
18 aprile 2019, n. 32 recante: «Disposizioni urgenti per il rilancio
del settore dei contratti pubblici, per l'accelerazione degli
interventi infrastrutturali, di rigenerazione urbana e di
ricostruzione a seguito di eventi sismici.»
Si riportano qui di seguito, sinteticamente, le principali modifiche
apportate dal citato provvedimento al Codice Appalti (D.Lgs. 50/2016
s.m.i.).
·
Regolamento di attuazione: entro 180 giorni
dall’entrata in vigore del decreto dovrà essere emanato il regolamento
di esecuzione, attuazione e integrazione del codice. Le Linee Guida e
i decreti adottati in attuazione delle previgenti disposizioni
rimarranno in vigore e o resteranno efficaci fino alla data di entrata
in vigore del regolamento.
·
Limite del 40% al subappalto: fino al 31 dicembre 2020 il
limite massimo subappaltabile sarà pari al 40% dell’importo
complessivo del contratto. Tuttavia, sarà la Stazione Appaltante ad
indicare nel bando, per ogni gara, la quota di lavoro o servizi
subappaltabili; inoltre, non sarà obbligatorio indicare la terna dei
subappaltatori.
·
Procedura negoziata fino a 1 milione di euro:
1) nelle
gare di importo compreso tra 40 mila euro e 150 mila euro per i
lavori, o fino alle soglie comunitarie (221 mila euro) per i servizi e
le forniture si procederà con affidamento diretto previa
consultazione, ove esistenti, di almeno 3 operatori economici per i
lavori e di almeno 5 operatori per i servizi e le forniture;
2) nelle gare di importo compreso tra
150 mila euro e 350 mila euro si procederà con procedura negoziata
previa consultazione, ove esistenti, di almeno 10 operatori economici;
3) per gli affidamenti di importo
compreso tra 350 mila euro e 1 milione di euro, si utilizzerà la
procedura negoziata previa consultazione, ove esistenti, di almeno 15
operatori economici;
4) per importi superiori a 1 milione di
euro per i lavori, o alle soglie comunitarie per i servizi e le
forniture, si dovrà ricorrere alle procedure ordinarie.
Viene inserita una disciplina di dettaglio per gli affidamenti
"sottosoglia", per le indagini di mercato e per la formazione e
gestione degli elenchi degli operatori economici, stabilendosi
l'utilizzo del criterio del "minor prezzo" come alternativa sempre
possibile all'OEPV per l'aggiudicazione dei contratti "sottosoglia”.
·
Affidamenti a terzi da parte dei
concessionari: viene differito al 31 dicembre 2020 il termine
entro il quale i titolari di concessioni già in essere devono
adeguarsi alla percentuale di affidamento a terzi mediante procedure
ad evidenza pubblica (80% - o 60% nel caso dei concessionari
autostradali - dei contratti di lavori, servizi e forniture).
·
Appalto integrato: fino al 31
dicembre 2020, nei casi in cui l'elemento tecnologico o innovativo
delle opere oggetto dell'appalto sia nettamente prevalente rispetto
all'importo complessivo dei lavori, sarà consentito l’affidamento
congiunto della progettazione esecutiva ed esecuzione dei lavori. La
legge di conversione prevede che i requisiti minimi per lo svolgimento
della progettazione siano previsti nei documenti di gara nel rispetto
del Codice e del nuovo regolamento di attuazione.
· Lavori di manutenzione sulla base del progetto
definitivo: fino al 31 dicembre 2020, i lavori di
manutenzione ordinaria e straordinaria potranno essere affidati sulla
base del progetto definitivo e l'esecuzione potrà essere avviata a
prescindere dall'avvenuta redazione e approvazione del progetto
esecutivo, a meno che detti lavori non prevedano il rinnovo o la
sostituzione di parti strutturali delle opere o di impianti. Il
progetto definitivo dovrà avere un contenuto minimo prestabilito.
·
Commissari di gara: fino al 31 dicembre 2020 non vi sarà
l'obbligo di servirsi in fase di gara di commissari indipendenti
nominati all'interno di un albo gestito dall'ANAC (mai peraltro
avviato).
·
Esame offerte: fino al 31 dicembre 2020 sarà consentito alla
Stazione Appaltante (ove specificamente previsto nel bando di gara o
nell'avviso con cui si indice la gara) - limitatamente alle procedure
aperte - espletare l'operazione di esame delle offerte prima
dell'operazione di verifica dei requisiti degli offerenti.
·
Criteri di aggiudicazione:
viene eliminato l'obbligo di affidare i lavori di importo fino a 5,5
milioni di euro secondo il criterio del massimo ribasso. La Stazione
Appaltante potrà scegliere in autonomia il criterio e, nel caso in cui
ne scelga uno diverso da quello del prezzo più basso, non dovrà
fornire nessuna giustificazione.
·
Certificati e cause di esclusione:
i documenti e le certificazioni degli operatori avranno una durata di
sei mesi. Per i certificati e i documenti (tranne il Durc), già
acquisiti ma scaduti da meno di 60 giorni, per i quali sia in corso la
procedura di rinnovo, la Stazione Appaltante potrà verificare
direttamente presso gli enti certificatori l’eventuale presenza di
cause di esclusione. Se gli enti non risponderanno entro 30 giorni, si
riterrà confermato il contenuto dei certificati scaduti.”
Il
Parlamento europeo ha approvato una nuova Direttiva, ancora non
pubblicata sulla GUCE, per proteggere a livello europeo
gli informatori che rivelano violazioni del diritto comunitario in
settori quali appalti pubblici, servizi finanziari, riciclaggio di
denaro, sicurezza dei prodotti e dei trasporti, sicurezza nucleare,
salute pubblica, protezione dei consumatori e dei dati.
Canali sicuri di comunicazione
Per garantire gli informatori e la loro riservatezza questi
potranno comunicare le segnalazioni attraverso più canali di
comunicazione: all’interno dell’ente interessato (es. azienda),
direttamente alle autorità nazionali competenti, agli organi e alle
agenzie competenti dell’UE. Quindi le aziende e le autorità nazionali
dovranno creare tali canali di comunicazioni. In assenza di tali
canali sicuri, il segnalante sarà comunque protetto qualora decidesse
di divulgare pubblicamente le informazioni.
Saranno esentati da tali obblighi le piccole aziende e i piccoli
comuni.
Salvaguardia contro le ritorsioni
La Direttiva vieta rappresaglie e introduce nuove tutele per evitare
che chi denuncia possa essere sospeso, declassato o si trovi ad
affrontare forme di ritorsione. Stessa tutela viene estesa per chi
assiste gli informatori (ad es. colleghi e parenti).
Gli Stati membri garantiranno accesso gratuito alle informazioni
riguardanti i mezzi di ricorso possibili, l’assistenza legale durante
i procedimenti. Gli informatori potranno ricevere durante i
procedimenti sostegno finanziario e psicologico.
Prossime tappe
La legge dovrà essere approvata formalmente anche dai Ministri UE e
successivamente alla pubblicazione sulla GUCE, gli Stati membri
avranno due anni per implementare la Direttiva.
Provvedimento del Garante Privacy del 4 aprile 2019 n. 9101974
In un recentissimo provvedimento (in
data 4 aprile u.s.) il Garante privacy si è pronunciato, a seguito di
molteplici segnalazioni anche da parte di privati cittadini, in
merito ad un caso di Data Breach che ha coinvolto la piattaforma
Rousseau ed altri siti web connessi al Movimento 5 stelle.
Come noto, il Regolamento 2016/679 in materia di trattamento dei dati
personali prescrive all’art. 33 un obbligo di notificare al Garante,
entro 72 ore dall’evento e/o dal momento in cui si viene a conoscenza
dello stesso, casi di violazione dei dati personali (ad esempio
episodi di intrusione in un sistema informatico e violazione dei
sistemi di sicurezza per l’appropriazione illegittima dei dati
contenuti su un server ovvero casi di crittografia dei file
tramite malware con contestuale richiesta di riscatto con pagamento in
criptovalute).
La vicenda in esame prende le mosse nel 2017 quando, a seguito di
istruttoria, il Garante privacy ha emesso un primo provvedimento (in
data 21 dicembre 2017 n. 7400401) indicando specifiche azioni di
miglioramento delle piattaforme in questione, avendo rilevato numerose
aree di criticità, dal punto di vista informatico, che ne
compromettevano la sicurezza anche ai fini di accessi non autorizzati
alle piattaforme stesse, con evidente violazione della normativa sulla
tutela dei dati personali (l’allora vigente Codice privacy D.Lgs.
163/1996 e numerosi Provvedimenti Generali del Garante). Tra le
preliminari misure necessarie prescritte nel 2017 il Garante
privacy ha richiesto, tra l’altro, anche:
- l’adeguamento della lunghezza minima della password di accesso
al sistema;
- l’adozione di protocolli di rete https per garantirne una maggiore
sicurezza;
- l’adozione di algoritmi crittografici robusti per la garantire
efficacemente le password degli utenti;- misure di auditing per
la verifica della liceità dei trattamenti dei dati con
riferimento al sistema di e-voting tramite le piattaforme in
questione, mediante tenuta dei registri degli accessi degli
amministratori di sistema e delle operazioni compiute (log) sul
data base della Piattaforma Rousseau (in conformità con un
Provvedimento generale del Garante privacy del 2008 in tema di
amministratori di sistemi); nonché
- miglioramento delle informative agli interessati ai sensi
dell’allora vigente art. 13 del D.lgs. 196/2013.
Nel provvedimento veniva, peraltro, dichiarata l’illiceità dei
trattamenti dei dati degli utenti da parte dei titolari dei siti
riconducibili al Movimento 5 stelle, in ragione della comunicazione a
soggetti terzi (Wind Tre spa e ITNET srl) dei dati medesimi in
mancanza di idoneo presupposto.
A fronte di tali preliminari
prescrizioni, il Garante privacy ha effettuato la
necessaria ulteriore istruttoria per accertare se e come
fossero state implementate le misure prescritte nel 2017.
All’esito di tali verifiche
- e dopo due provvedimenti di proroga dei termini a seguito di
richiesta dall’Associazione Movimento 5 Stelle e dalla Piattaforma
Russeau - ed una volta effettuati gli accertamenti
di natura tecnica volti a verificare in concreto la robustezza dei
sistemi di sicurezza adottati rispetto alle criticità rilevate
dall’Autorità Garante della privacy nel 2017, sono emerse ancora delle
inadempienze che hanno condotto, il Garante ad irrogare una sanzione
amministrativa all’associazione Rousseau, in qualità di Responsabile
del trattamento dati del Movimento 4 Stelle, pari a € 50 mila, in
conformità a quanto previsto dall’art. 58 del Regolamento 2016/679
(GDPR), per essere emersa una conclamata violazione dell’art. 32 del
GDPR (Sicurezza del trattamento).
Tra le maggiori violazioni alla
normativa in materia di tutela dei dati personali emerse a seguito
degli accertamenti del Garante privacy (Provvedimento del 4 aprile
u.s.) si segnalano le seguenti:
- obsolescenza
di alcune componenti software dei siti web (il distributore del
software Csm in questione non rilascia infatti più aggiornamenti dal
2013);
- a fronte
dell’adozione di un sistema di tracciatura dell’attività compiuta, il
sistema in uso alle Piattaforme non consente di tracciare
adeguatamente gli accessi (lettura e/o modifica) al database da
parte degli Amministratori di Sistema dell’Associazione Rousseau che
possono compiere operazioni, ad esempio, sui dati degli utenti senza
che il loro operato possa essere adeguatamente tracciato., per cui non
è possibile effettuare l’auditing informatico richiesto dal Garante,
esponendo i dati personali presenti sulle Piattaforme a rischi di
violazione elevati;
- le misure
adottate non hanno eliminato la possibilità di alterare , sopprimere o
estrarre copie offline dei risultati delle operazioni di e-voting
sulla piattaforma: in sostanza, non è garantita l’integrità,
l’autenticità e la segretezza delle espressioni di voto
(caratteristiche delle operazioni di e-voting) da parte di coloro che
svolgono la funzione di Data Base Administrator (sul punto il Garante
così si pronuncia “In questo senso sussistono forti perplessità sul
significato da attribuire al termine “certificazione” riferito dal
titolare del trattamento all’intervento del notaio o di
altro soggetto terzo di fiducia in una fase successiva alle operazioni
di voto con lo scopo di asseverare gli esiti […] stante
l’impossibilità di svolgere alcuna significativa verifica sui dati che
sono, per loro natura e modalità di trattamento, tecnicamente
alterabili in pressoché ogni fase del procedimento di votazione e
scrutinio antecedente la c.d. “certificazione”);
- infine,
utilizzo della medesime credenziali di autenticazione assegnate
ad incaricati dotati di elevati privilegi per la gestione delle
piattaforme applicative a supporto dei siti www.movimento5stelle.it e
rousseau.movimento5stelle.it; tale circostanza impedisce di attribuire
le azioni compiute in un sistema informativo ad un determinato
incaricato, con pregiudizio anche per il titolare, privato della
possibilità di controllare l’operato di tali figure tecniche
rilevanti.
Unitamente alla sanzione amministrativa, il Garante privacy ha
assegnato termini ben precisi per l’adeguamento ed il miglioramento
delle piattaforme in questione, ordinando all’ Associazione Movimento
5 stelle, quale titolare del trattamento, e all’Associazione
Rousseau, quale responsabile del trattamento, di procedere altresì con
la valutazione di impatto sulla protezione dei dati con specifico
riferimento alla funzionalità di e-voting delle piattaforme.
Avv. Grazia Quacquarelli, LL. M.
Il
16 marzo 2019 sono entrate in vigore alcune norme contenute nel
D.lgs. 12 gennaio 2019, n. 14 (c.d. “Codice della crisi d'impresa e
dell'insolvenza in attuazione della legge 19 ottobre 2017, n. 155”),
che si compone di 391 articoli (molti dei quali entreranno in vigore
nell’agosto del 2020) e pubblicato sulla Gazzetta Ufficiale n. 38
del 14 febbraio 2019.
Tra le norme in vigore dal 16 marzo u.s. - come puntualmente
indicato dall’art. 389, comma 2, del D.lgs. 14/2019 (di seguito
anche “Codice della Crisi”) – ne segnaliamo alcune più rilevanti e
che modificano il Codice Civile.
A. Art. 375 del Codice della Crisi
Modifica l’art. 2086 del codice civile (e la relativa rubrica),
introducendo un secondo comma che impone all’imprenditore che opera
in forma societaria o collettiva di istituire “un assetto
organizzativo, amministrativo e contabile” adeguato alla natura e
alle dimensioni dell’impresa, “anche in funzione della rilevazione
tempestiva della crisi d’impresa e della perdita della continuità
aziendale”.
Si prevede anche l’obbligo, per l’imprenditore, di attivarsi senza
indugio per l’adozione e per l’attuazione di “uno degli strumenti
previsti dall’ordinamento per il superamento della crisi e il
recupero della continuità aziendale”.
Il legislatore ha inteso, quindi, responsabilizzare maggiormente
l’imprenditore, obbligandolo a dotarsi di una struttura interna
adeguata ed idonea a rilevare tempestivamente la crisi d’impresa e,
conseguentemente, ad attivarsi per tentare di recuperare la
continuità aziendale.
B. Art. 377 del Codice della Crisi
Modifica gli artt. 2257, 2380-bis, 2409-novies e 2475 del codice
civile (dettati, rispettivamente, in tema di società semplici,
società per azioni e società a responsabilità limitata), imponendo
l’adozione di assetti organizzativi societari adeguati e ribadendo
che l’amministrazione della società spetta esclusivamente agli
amministratori, i quali compiono le operazioni necessarie per
l’attuazione dell’oggetto sociale.
C. Art. 379 del Codice della Crisi
Modifica l’art. 2477 del codice civile, prevedendo, per le società a
responsabilità limitata, l’obbligo di nominare l’organo di controllo
(sindaco unico o collegio sindacale) o il revisore se:
I.
la società è tenuta alla redazione del bilancio consolidato;
II.
la società controlla una società obbligata alla revisione legale dei
conti;
III.
la società ha superato per due esercizi consecutivi almeno uno dei
seguenti limiti: 1) totale dell’attivo dello stato patrimoniale: 2
milioni di euro; 2) ricavi delle vendite e delle prestazioni: 2
milioni di euro; 3) dipendenti occupati in media durante
l’esercizio: 10 unità.
Secondo quanto previsto dal quinto comma dell’art. 2477 cod. civ.
l’obbligo di nomina dell’organo di controllo o del revisore deve
essere adempiuto, da parte dall’assemblea dei soci, entro 30 giorni
dall’approvazione del bilancio in cui vengono superati i limiti
sopra indicati; in caso di inerzia da parte dell’assemblea, alla
nomina provvede il tribunale, su richiesta di qualsiasi interessato
o “su segnalazione del conservatore del registro delle imprese”
(come introdotto dal Codice della Crisi).
Infine, le società a responsabilità limitata e le società
cooperative - se ricorrono i requisiti di cui all’art. 2477, comma
1, del codice civile – dovranno nominare gli organi di controllo o
il revisore e, se necessario, uniformare l’atto costitutivo e lo
statuto alle novità normative in commento entro nove mesi dalla data
del 16 marzo u.s. (quindi entro il 16 dicembre 2019).
Con
D.L. 87/2008, convertito in Legge n. 96/2018, è stato reintrodotto
il reato di somministrazione fraudolenta (ex art. 38 bis D.lgs.
81/2015) che si configura nei casi in cui “la somministrazione di
lavoro è posta in essere con la specifica finalità di eludere
norme inderogabili di legge o di contratto collettivo applicate al
lavoratore”. La sanzione penale prevista è quella dell’ammenda pari
ad € 20 per ciascun lavoratore, per ciascun giorno di
somministrazione.
L’Ispettorato del Lavoro, con circolare n 3/2019, ha fornito
interessanti indicazioni in merito alle varie declinazioni di tale
ipotesi di reato, che può configurarsi:
- attraverso la figura dell’appalto illecito, volto cioè ad eludere
l’applicazione di norme inderogabili di legge o di CCNL con
conseguente risparmio per il committente sul costo del lavoro;
oppure
- attraverso il coinvolgimento di agenzia per il lavoro, laddove il
datore di lavoro licenzi un proprio dipendente per riutilizzarlo
tramite agenzia di somministrazione, violando le norme di legge o di
CCNL; infine,
- attraverso distacchi transnazionali “non autentici”, nella
misura in cui il distacco sia funzionale all’elusione di
disposizioni dell’ordinamento interno e/o del CCNL applicato dal
committente italiano.
Oltre alle sanzioni di natura pecuniaria, l’Ispettorato del lavoro
dovrà adottare provvedimenti prescrittivi volti, ad esempio,
all’assunzione dei lavoratori alle dirette dipendenze
dell’utilizzatore per tutta la durata del contratto.
L’Ispettorato del lavoro, infine, ha indicato tra gli elementi
a supporto dell’esistenza di una volontà fraudolenta (oltre
all’elusione delle normative inderogabili), la sussistenza di
condizioni di sofferenza economica dell’impresa che potrebbe
assumere rilevanza in considerazione dell’impossibilità di sostenere
i costi del personale, a fronte del fatturato annuo.
In
data 16 gennaio 2019 è stata pubblicata in Gazzetta
Ufficiale (GU n. 13 del 16 gennaio 2019) la Legge 9 gennaio 2019, n.
3, recante “Misure per il contrasto dei reati contro la pubblica
amministrazione, nonche' in materia di prescrizione del reato e in
materia di trasparenza dei partiti e movimenti politici”, che
entrerà in vigore il 31 gennaio 2019.
Il provvedimento contiene rilevanti novità in tema di
prevenzione e contrasto della corruzione nella Pubblica
Amministrazione e, più in generale, in ambito di diritto penale.
Più precisamente, viene tra l’altro modificato lo spazio edittale
dei delitti di corruzione (le parole “da uno a sei anni” vengono
modificate con “da tre a otto anni”) e appropriazione indebita (le
parole “con la reclusione fino a tre anni e con la multa fino a euro
1.032” sono sostituite da “con la reclusione da due a cinque anni e
con la multa da euro 1.000 a euro 3.000”); per il reato di
corruzione impropria, inoltre, la pena è aumentata da un anno a tre
anni di reclusione (nel minimo) e da sei a otto anni (nel massimo).
Infine, i condannati per reati contro la Pubblica Amministrazione
(tra cui peculato, corruzione e concussione) non potranno più
beneficiare delle pene alternative alla detenzione, come i permessi
premio e l’assegnazione di lavoro esterno. Ogni condanna per tali
reati, ove commessi in danno o a vantaggio di un’attività
imprenditoriale, o comunque in relazione ad essa, comporta – a
titolo di pena accessoria - l’interdizione dai pubblici uffici e
l’incapacità di contrarre con la P.A. L’interdizione e l’incapacità
possono essere perpetue (salvo che per ottenere le prestazioni di un
pubblico servizio) o temporanee, ove la reclusione comminata sia
inferiore a un dato periodo di tempo o ricorrano specifiche
circostanze attenuanti.
Con la legge Anticorruzione viene modificato anche il D.lgs. 8
giugno 2001, n. 231, sia innalzando i termini di durata massima
delle sanzioni interdittive a carico degli enti in conseguenza di
delitti di corruzione, sia introducendo il traffico di influenze
illecite (art. 346 bis c.p.) nel catalogo dei reati presupposto.
Si
segnala un’ interessante sentenza della Corte Suprema di
Cassazione (Cass. Pen., Sez. V, n. 565/2019, depositata in
cancelleria l’8 gennaio 2019) in materia di accesso abusivo a un
sistema informatico.
La vicenda processuale tra origine dal comportamento di un
lavoratore dipendente di una banca che, utilizzando l’account di
posta elettronica aziendale concessogli in uso, ha inviato due
e-mail alla casella di posta elettronica di un collega (privo
dell’autorizzazione a ricevere quei dati specifici), allegando un
file excel contenente informazioni bancarie riservate (nominativi
dei correntisti e saldo di conto corrente), oltre ad inviare altre
due e-mail (di contenuto analogo) che il destinatario ha girato al
proprio indirizzo di posta personale.
La banca, scoperto quanto accaduto, decideva di denunciare i
dipendenti, in considerazione della circostanza che il secondo
dipendente, destinatario delle email e che aveva sollecitato le
stesse, non aveva alcuna credenziale e/o autorizzazione ad accedere
a tali dati; la Corte di appello di Milano, con sentenza del 10
luglio 2017 , confermava la responsabilità (accertata e dichiarata
in primo grado) anche del destinatario delle e-mail, considerandolo
concorrente nel reato previsto e punito all’art. 615 ter c.p.
(“accesso abusivo a un sistema informatico o telematico”). L’apporto
concorsuale dell’imputato, più precisamente, sarebbe consistito
nell’avere istigato il collega a commettere il reato, chiedendogli
di trasmettere i dati di cui sopra, pur non essendo autorizzato a
prenderne visione.
Avverso la pronuncia della Corte di Appello il dipendente ha
proposto ricorso per cassazione, deducendo, tra l’altro, violazione
di legge e vizio di motivazione in ordine alla ritenuta sussistenza
del reato di cui all’art. 615 ter cod. pen., sul presupposto che “il
semplice invio di una e-mail da un collega all’altro, tramite la
propria casella di posta elettronica, non possa integrare il profilo
oggettivo del delitto in rassegna”.
La Corte Suprema di Cassazione, tuttavia, ha ritenuto la relativa
censura infondata, ribadendo il principio di diritto contenuto in
Cass. SS.UU. n. 41210 del 18 maggio 2017, secondo cui “è illecito e
abusivo qualsiasi comportamento del dipendente che si ponga in
contrasto con i suddetti doveri [di fedeltà e di lealtà, n.d.a.]
manifestandosi in tal modo la ontologica incompatibilità
dell’accesso al sistema informatico, connaturata ad un utilizzo
dello stesso estraneo alla ratio del conferimento del relativo
potere”.
Ne consegue, pertanto, che anche trattenersi in un sistema
informatico per un tempo maggiore rispetto a quello consentito e/o
per compiere un’attività vietata - ossia la “trasmissione della
lista a soggetto non autorizzato a prenderne cognizione” - configura
la condotta prevista e punita dall’art. 615 ter cod. pen.; come
detto, inoltre, può concorrere nel reato de quo anche il dipendente
che chieda al collega di trasmettergli determinati dati di cui il
primo non è autorizzato a prendere visione.
Sulla
Gazzetta Ufficiale Serie Generale n.290 del 14 dicembre 2018 è stato
pubblicato il Decreto Legge 14 dicembre 2018, n. 135
“Disposizioni urgenti in materia di sostegno e semplificazione per le
imprese e per la pubblica amministrazione” (di seguito “Decreto
semplificazioni”), che è entrato in vigore il 15 dicembre 2018. Tra le
novità contenute nel Decreto Semplificazioni segnaliamo che, con
l’art. 6 del menzionato provvedimento, a far data dal 1° gennaio 2019
è stato soppresso il sistema di controllo della
tracciabilità dei rifiuti (SISTRI), previsto dall'articolo
188-ter del decreto legislativo 3 aprile 2006, n. 152 (T.U. ambiente).
Conseguentemente, dall’inizio del prossimo anno e fino alla
definizione di un nuovo sistema di tracciabilità dei rifiuti - il
quale, secondo quanto previsto dal comma 3 dell’art. 6 del Decreto
Semplificazioni, sarà organizzato e gestito direttamente dal Ministero
dell’ambiente e della tutela del territorio e del mare -, i soggetti
tenuti alla tracciabilità dei rifiuti continueranno ad adempiere ai
propri obblighi attraverso i moduli cartacei, compilando i registri di
carico e scarico e i formulari di identificazione dei rifiuti.
© Copyright 2018. Caporale, Carbone, Giuffrè. All rights reserved. Powered by MODICIA