Il
Parlamento europeo ha approvato una nuova Direttiva, ancora non
pubblicata sulla GUCE, per proteggere a livello europeo
gli informatori che rivelano violazioni del diritto comunitario in
settori quali appalti pubblici, servizi finanziari, riciclaggio di
denaro, sicurezza dei prodotti e dei trasporti, sicurezza nucleare,
salute pubblica, protezione dei consumatori e dei dati.
Canali sicuri di comunicazione
Per garantire gli informatori e la loro riservatezza questi
potranno comunicare le segnalazioni attraverso più canali di
comunicazione: all’interno dell’ente interessato (es. azienda),
direttamente alle autorità nazionali competenti, agli organi e alle
agenzie competenti dell’UE. Quindi le aziende e le autorità nazionali
dovranno creare tali canali di comunicazioni. In assenza di tali
canali sicuri, il segnalante sarà comunque protetto qualora decidesse
di divulgare pubblicamente le informazioni.
Saranno esentati da tali obblighi le piccole aziende e i piccoli
comuni.
Salvaguardia contro le ritorsioni
La Direttiva vieta rappresaglie e introduce nuove tutele per evitare
che chi denuncia possa essere sospeso, declassato o si trovi ad
affrontare forme di ritorsione. Stessa tutela viene estesa per chi
assiste gli informatori (ad es. colleghi e parenti).
Gli Stati membri garantiranno accesso gratuito alle informazioni
riguardanti i mezzi di ricorso possibili, l’assistenza legale durante
i procedimenti. Gli informatori potranno ricevere durante i
procedimenti sostegno finanziario e psicologico.
Prossime tappe
La legge dovrà essere approvata formalmente anche dai Ministri UE e
successivamente alla pubblicazione sulla GUCE, gli Stati membri
avranno due anni per implementare la Direttiva.
Provvedimento del Garante Privacy del 4 aprile 2019 n. 9101974
In un recentissimo provvedimento (in
data 4 aprile u.s.) il Garante privacy si è pronunciato, a seguito di
molteplici segnalazioni anche da parte di privati cittadini, in
merito ad un caso di Data Breach che ha coinvolto la piattaforma
Rousseau ed altri siti web connessi al Movimento 5 stelle.
Come noto, il Regolamento 2016/679 in materia di trattamento dei dati
personali prescrive all’art. 33 un obbligo di notificare al Garante,
entro 72 ore dall’evento e/o dal momento in cui si viene a conoscenza
dello stesso, casi di violazione dei dati personali (ad esempio
episodi di intrusione in un sistema informatico e violazione dei
sistemi di sicurezza per l’appropriazione illegittima dei dati
contenuti su un server ovvero casi di crittografia dei file
tramite malware con contestuale richiesta di riscatto con pagamento in
criptovalute).
La vicenda in esame prende le mosse nel 2017 quando, a seguito di
istruttoria, il Garante privacy ha emesso un primo provvedimento (in
data 21 dicembre 2017 n. 7400401) indicando specifiche azioni di
miglioramento delle piattaforme in questione, avendo rilevato numerose
aree di criticità, dal punto di vista informatico, che ne
compromettevano la sicurezza anche ai fini di accessi non autorizzati
alle piattaforme stesse, con evidente violazione della normativa sulla
tutela dei dati personali (l’allora vigente Codice privacy D.Lgs.
163/1996 e numerosi Provvedimenti Generali del Garante). Tra le
preliminari misure necessarie prescritte nel 2017 il Garante
privacy ha richiesto, tra l’altro, anche:
- l’adeguamento della lunghezza minima della password di accesso
al sistema;
- l’adozione di protocolli di rete https per garantirne una maggiore
sicurezza;
- l’adozione di algoritmi crittografici robusti per la garantire
efficacemente le password degli utenti;- misure di auditing per
la verifica della liceità dei trattamenti dei dati con
riferimento al sistema di e-voting tramite le piattaforme in
questione, mediante tenuta dei registri degli accessi degli
amministratori di sistema e delle operazioni compiute (log) sul
data base della Piattaforma Rousseau (in conformità con un
Provvedimento generale del Garante privacy del 2008 in tema di
amministratori di sistemi); nonché
- miglioramento delle informative agli interessati ai sensi
dell’allora vigente art. 13 del D.lgs. 196/2013.
Nel provvedimento veniva, peraltro, dichiarata l’illiceità dei
trattamenti dei dati degli utenti da parte dei titolari dei siti
riconducibili al Movimento 5 stelle, in ragione della comunicazione a
soggetti terzi (Wind Tre spa e ITNET srl) dei dati medesimi in
mancanza di idoneo presupposto.
A fronte di tali preliminari
prescrizioni, il Garante privacy ha effettuato la
necessaria ulteriore istruttoria per accertare se e come
fossero state implementate le misure prescritte nel 2017.
All’esito di tali verifiche
- e dopo due provvedimenti di proroga dei termini a seguito di
richiesta dall’Associazione Movimento 5 Stelle e dalla Piattaforma
Russeau - ed una volta effettuati gli accertamenti
di natura tecnica volti a verificare in concreto la robustezza dei
sistemi di sicurezza adottati rispetto alle criticità rilevate
dall’Autorità Garante della privacy nel 2017, sono emerse ancora delle
inadempienze che hanno condotto, il Garante ad irrogare una sanzione
amministrativa all’associazione Rousseau, in qualità di Responsabile
del trattamento dati del Movimento 4 Stelle, pari a € 50 mila, in
conformità a quanto previsto dall’art. 58 del Regolamento 2016/679
(GDPR), per essere emersa una conclamata violazione dell’art. 32 del
GDPR (Sicurezza del trattamento).
Tra le maggiori violazioni alla
normativa in materia di tutela dei dati personali emerse a seguito
degli accertamenti del Garante privacy (Provvedimento del 4 aprile
u.s.) si segnalano le seguenti:
- obsolescenza
di alcune componenti software dei siti web (il distributore del
software Csm in questione non rilascia infatti più aggiornamenti dal
2013);
- a fronte
dell’adozione di un sistema di tracciatura dell’attività compiuta, il
sistema in uso alle Piattaforme non consente di tracciare
adeguatamente gli accessi (lettura e/o modifica) al database da
parte degli Amministratori di Sistema dell’Associazione Rousseau che
possono compiere operazioni, ad esempio, sui dati degli utenti senza
che il loro operato possa essere adeguatamente tracciato., per cui non
è possibile effettuare l’auditing informatico richiesto dal Garante,
esponendo i dati personali presenti sulle Piattaforme a rischi di
violazione elevati;
- le misure
adottate non hanno eliminato la possibilità di alterare , sopprimere o
estrarre copie offline dei risultati delle operazioni di e-voting
sulla piattaforma: in sostanza, non è garantita l’integrità,
l’autenticità e la segretezza delle espressioni di voto
(caratteristiche delle operazioni di e-voting) da parte di coloro che
svolgono la funzione di Data Base Administrator (sul punto il Garante
così si pronuncia “In questo senso sussistono forti perplessità sul
significato da attribuire al termine “certificazione” riferito dal
titolare del trattamento all’intervento del notaio o di
altro soggetto terzo di fiducia in una fase successiva alle operazioni
di voto con lo scopo di asseverare gli esiti […] stante
l’impossibilità di svolgere alcuna significativa verifica sui dati che
sono, per loro natura e modalità di trattamento, tecnicamente
alterabili in pressoché ogni fase del procedimento di votazione e
scrutinio antecedente la c.d. “certificazione”);
- infine,
utilizzo della medesime credenziali di autenticazione assegnate
ad incaricati dotati di elevati privilegi per la gestione delle
piattaforme applicative a supporto dei siti www.movimento5stelle.it e
rousseau.movimento5stelle.it; tale circostanza impedisce di attribuire
le azioni compiute in un sistema informativo ad un determinato
incaricato, con pregiudizio anche per il titolare, privato della
possibilità di controllare l’operato di tali figure tecniche
rilevanti.
Unitamente alla sanzione amministrativa, il Garante privacy ha
assegnato termini ben precisi per l’adeguamento ed il miglioramento
delle piattaforme in questione, ordinando all’ Associazione Movimento
5 stelle, quale titolare del trattamento, e all’Associazione
Rousseau, quale responsabile del trattamento, di procedere altresì con
la valutazione di impatto sulla protezione dei dati con specifico
riferimento alla funzionalità di e-voting delle piattaforme.
Avv. Grazia Quacquarelli, LL. M.
Il
16 marzo 2019 sono entrate in vigore alcune norme contenute nel
D.lgs. 12 gennaio 2019, n. 14 (c.d. “Codice della crisi d'impresa e
dell'insolvenza in attuazione della legge 19 ottobre 2017, n. 155”),
che si compone di 391 articoli (molti dei quali entreranno in vigore
nell’agosto del 2020) e pubblicato sulla Gazzetta Ufficiale n. 38
del 14 febbraio 2019.
Tra le norme in vigore dal 16 marzo u.s. - come puntualmente
indicato dall’art. 389, comma 2, del D.lgs. 14/2019 (di seguito
anche “Codice della Crisi”) – ne segnaliamo alcune più rilevanti e
che modificano il Codice Civile.
A. Art. 375 del Codice della Crisi
Modifica l’art. 2086 del codice civile (e la relativa rubrica),
introducendo un secondo comma che impone all’imprenditore che opera
in forma societaria o collettiva di istituire “un assetto
organizzativo, amministrativo e contabile” adeguato alla natura e
alle dimensioni dell’impresa, “anche in funzione della rilevazione
tempestiva della crisi d’impresa e della perdita della continuità
aziendale”.
Si prevede anche l’obbligo, per l’imprenditore, di attivarsi senza
indugio per l’adozione e per l’attuazione di “uno degli strumenti
previsti dall’ordinamento per il superamento della crisi e il
recupero della continuità aziendale”.
Il legislatore ha inteso, quindi, responsabilizzare maggiormente
l’imprenditore, obbligandolo a dotarsi di una struttura interna
adeguata ed idonea a rilevare tempestivamente la crisi d’impresa e,
conseguentemente, ad attivarsi per tentare di recuperare la
continuità aziendale.
B. Art. 377 del Codice della Crisi
Modifica gli artt. 2257, 2380-bis, 2409-novies e 2475 del codice
civile (dettati, rispettivamente, in tema di società semplici,
società per azioni e società a responsabilità limitata), imponendo
l’adozione di assetti organizzativi societari adeguati e ribadendo
che l’amministrazione della società spetta esclusivamente agli
amministratori, i quali compiono le operazioni necessarie per
l’attuazione dell’oggetto sociale.
C. Art. 379 del Codice della Crisi
Modifica l’art. 2477 del codice civile, prevedendo, per le società a
responsabilità limitata, l’obbligo di nominare l’organo di controllo
(sindaco unico o collegio sindacale) o il revisore se:
I.
la società è tenuta alla redazione del bilancio consolidato;
II.
la società controlla una società obbligata alla revisione legale dei
conti;
III.
la società ha superato per due esercizi consecutivi almeno uno dei
seguenti limiti: 1) totale dell’attivo dello stato patrimoniale: 2
milioni di euro; 2) ricavi delle vendite e delle prestazioni: 2
milioni di euro; 3) dipendenti occupati in media durante
l’esercizio: 10 unità.
Secondo quanto previsto dal quinto comma dell’art. 2477 cod. civ.
l’obbligo di nomina dell’organo di controllo o del revisore deve
essere adempiuto, da parte dall’assemblea dei soci, entro 30 giorni
dall’approvazione del bilancio in cui vengono superati i limiti
sopra indicati; in caso di inerzia da parte dell’assemblea, alla
nomina provvede il tribunale, su richiesta di qualsiasi interessato
o “su segnalazione del conservatore del registro delle imprese”
(come introdotto dal Codice della Crisi).
Infine, le società a responsabilità limitata e le società
cooperative - se ricorrono i requisiti di cui all’art. 2477, comma
1, del codice civile – dovranno nominare gli organi di controllo o
il revisore e, se necessario, uniformare l’atto costitutivo e lo
statuto alle novità normative in commento entro nove mesi dalla data
del 16 marzo u.s. (quindi entro il 16 dicembre 2019).
Con
D.L. 87/2008, convertito in Legge n. 96/2018, è stato reintrodotto
il reato di somministrazione fraudolenta (ex art. 38 bis D.lgs.
81/2015) che si configura nei casi in cui “la somministrazione di
lavoro è posta in essere con la specifica finalità di eludere
norme inderogabili di legge o di contratto collettivo applicate al
lavoratore”. La sanzione penale prevista è quella dell’ammenda pari
ad € 20 per ciascun lavoratore, per ciascun giorno di
somministrazione.
L’Ispettorato del Lavoro, con circolare n 3/2019, ha fornito
interessanti indicazioni in merito alle varie declinazioni di tale
ipotesi di reato, che può configurarsi:
- attraverso la figura dell’appalto illecito, volto cioè ad eludere
l’applicazione di norme inderogabili di legge o di CCNL con
conseguente risparmio per il committente sul costo del lavoro;
oppure
- attraverso il coinvolgimento di agenzia per il lavoro, laddove il
datore di lavoro licenzi un proprio dipendente per riutilizzarlo
tramite agenzia di somministrazione, violando le norme di legge o di
CCNL; infine,
- attraverso distacchi transnazionali “non autentici”, nella
misura in cui il distacco sia funzionale all’elusione di
disposizioni dell’ordinamento interno e/o del CCNL applicato dal
committente italiano.
Oltre alle sanzioni di natura pecuniaria, l’Ispettorato del lavoro
dovrà adottare provvedimenti prescrittivi volti, ad esempio,
all’assunzione dei lavoratori alle dirette dipendenze
dell’utilizzatore per tutta la durata del contratto.
L’Ispettorato del lavoro, infine, ha indicato tra gli elementi
a supporto dell’esistenza di una volontà fraudolenta (oltre
all’elusione delle normative inderogabili), la sussistenza di
condizioni di sofferenza economica dell’impresa che potrebbe
assumere rilevanza in considerazione dell’impossibilità di sostenere
i costi del personale, a fronte del fatturato annuo.
In
data 16 gennaio 2019 è stata pubblicata in Gazzetta
Ufficiale (GU n. 13 del 16 gennaio 2019) la Legge 9 gennaio 2019, n.
3, recante “Misure per il contrasto dei reati contro la pubblica
amministrazione, nonche' in materia di prescrizione del reato e in
materia di trasparenza dei partiti e movimenti politici”, che
entrerà in vigore il 31 gennaio 2019.
Il provvedimento contiene rilevanti novità in tema di
prevenzione e contrasto della corruzione nella Pubblica
Amministrazione e, più in generale, in ambito di diritto penale.
Più precisamente, viene tra l’altro modificato lo spazio edittale
dei delitti di corruzione (le parole “da uno a sei anni” vengono
modificate con “da tre a otto anni”) e appropriazione indebita (le
parole “con la reclusione fino a tre anni e con la multa fino a euro
1.032” sono sostituite da “con la reclusione da due a cinque anni e
con la multa da euro 1.000 a euro 3.000”); per il reato di
corruzione impropria, inoltre, la pena è aumentata da un anno a tre
anni di reclusione (nel minimo) e da sei a otto anni (nel massimo).
Infine, i condannati per reati contro la Pubblica Amministrazione
(tra cui peculato, corruzione e concussione) non potranno più
beneficiare delle pene alternative alla detenzione, come i permessi
premio e l’assegnazione di lavoro esterno. Ogni condanna per tali
reati, ove commessi in danno o a vantaggio di un’attività
imprenditoriale, o comunque in relazione ad essa, comporta – a
titolo di pena accessoria - l’interdizione dai pubblici uffici e
l’incapacità di contrarre con la P.A. L’interdizione e l’incapacità
possono essere perpetue (salvo che per ottenere le prestazioni di un
pubblico servizio) o temporanee, ove la reclusione comminata sia
inferiore a un dato periodo di tempo o ricorrano specifiche
circostanze attenuanti.
Con la legge Anticorruzione viene modificato anche il D.lgs. 8
giugno 2001, n. 231, sia innalzando i termini di durata massima
delle sanzioni interdittive a carico degli enti in conseguenza di
delitti di corruzione, sia introducendo il traffico di influenze
illecite (art. 346 bis c.p.) nel catalogo dei reati presupposto.
Si
segnala un’ interessante sentenza della Corte Suprema di
Cassazione (Cass. Pen., Sez. V, n. 565/2019, depositata in
cancelleria l’8 gennaio 2019) in materia di accesso abusivo a un
sistema informatico.
La vicenda processuale tra origine dal comportamento di un
lavoratore dipendente di una banca che, utilizzando l’account di
posta elettronica aziendale concessogli in uso, ha inviato due
e-mail alla casella di posta elettronica di un collega (privo
dell’autorizzazione a ricevere quei dati specifici), allegando un
file excel contenente informazioni bancarie riservate (nominativi
dei correntisti e saldo di conto corrente), oltre ad inviare altre
due e-mail (di contenuto analogo) che il destinatario ha girato al
proprio indirizzo di posta personale.
La banca, scoperto quanto accaduto, decideva di denunciare i
dipendenti, in considerazione della circostanza che il secondo
dipendente, destinatario delle email e che aveva sollecitato le
stesse, non aveva alcuna credenziale e/o autorizzazione ad accedere
a tali dati; la Corte di appello di Milano, con sentenza del 10
luglio 2017 , confermava la responsabilità (accertata e dichiarata
in primo grado) anche del destinatario delle e-mail, considerandolo
concorrente nel reato previsto e punito all’art. 615 ter c.p.
(“accesso abusivo a un sistema informatico o telematico”). L’apporto
concorsuale dell’imputato, più precisamente, sarebbe consistito
nell’avere istigato il collega a commettere il reato, chiedendogli
di trasmettere i dati di cui sopra, pur non essendo autorizzato a
prenderne visione.
Avverso la pronuncia della Corte di Appello il dipendente ha
proposto ricorso per cassazione, deducendo, tra l’altro, violazione
di legge e vizio di motivazione in ordine alla ritenuta sussistenza
del reato di cui all’art. 615 ter cod. pen., sul presupposto che “il
semplice invio di una e-mail da un collega all’altro, tramite la
propria casella di posta elettronica, non possa integrare il profilo
oggettivo del delitto in rassegna”.
La Corte Suprema di Cassazione, tuttavia, ha ritenuto la relativa
censura infondata, ribadendo il principio di diritto contenuto in
Cass. SS.UU. n. 41210 del 18 maggio 2017, secondo cui “è illecito e
abusivo qualsiasi comportamento del dipendente che si ponga in
contrasto con i suddetti doveri [di fedeltà e di lealtà, n.d.a.]
manifestandosi in tal modo la ontologica incompatibilità
dell’accesso al sistema informatico, connaturata ad un utilizzo
dello stesso estraneo alla ratio del conferimento del relativo
potere”.
Ne consegue, pertanto, che anche trattenersi in un sistema
informatico per un tempo maggiore rispetto a quello consentito e/o
per compiere un’attività vietata - ossia la “trasmissione della
lista a soggetto non autorizzato a prenderne cognizione” - configura
la condotta prevista e punita dall’art. 615 ter cod. pen.; come
detto, inoltre, può concorrere nel reato de quo anche il dipendente
che chieda al collega di trasmettergli determinati dati di cui il
primo non è autorizzato a prendere visione.
Sulla
Gazzetta Ufficiale Serie Generale n.290 del 14 dicembre 2018 è stato
pubblicato il Decreto Legge 14 dicembre 2018, n. 135
“Disposizioni urgenti in materia di sostegno e semplificazione per le
imprese e per la pubblica amministrazione” (di seguito “Decreto
semplificazioni”), che è entrato in vigore il 15 dicembre 2018. Tra le
novità contenute nel Decreto Semplificazioni segnaliamo che, con
l’art. 6 del menzionato provvedimento, a far data dal 1° gennaio 2019
è stato soppresso il sistema di controllo della
tracciabilità dei rifiuti (SISTRI), previsto dall'articolo
188-ter del decreto legislativo 3 aprile 2006, n. 152 (T.U. ambiente).
Conseguentemente, dall’inizio del prossimo anno e fino alla
definizione di un nuovo sistema di tracciabilità dei rifiuti - il
quale, secondo quanto previsto dal comma 3 dell’art. 6 del Decreto
Semplificazioni, sarà organizzato e gestito direttamente dal Ministero
dell’ambiente e della tutela del territorio e del mare -, i soggetti
tenuti alla tracciabilità dei rifiuti continueranno ad adempiere ai
propri obblighi attraverso i moduli cartacei, compilando i registri di
carico e scarico e i formulari di identificazione dei rifiuti.
© Copyright 2018. Caporale, Carbone, Giuffrè. All rights reserved. Powered by MODICIA
