Reati informatici e tutela dei dati personali: alcuni punti di contatto tra la normativa privacy e il d.lgs. n. 231/2001

Con il presente contributo si intende illustrare il (parziale) legame sussistente tra il modello organizzativo privacy (MOP) e il modello di organizzazione e gestione (MOG) ex D.Lgs. n. 231 del 8.6.2001[1], alla luce delle previsioni di cui all’art. 32 del Regolamento UE n. 2016/679 (GDPR), le quali impongono ad una società di dotarsi di misure di sicurezza tecniche ed organizzative adeguate alla tutela dei dati personali[2].

1. I reati informatici “presupposto” ex D.Lgs. n. 231/2001. La rubrica dell’art. 24 bis del D.Lgs. n. 231/01 richiama, in modo espresso, il “trattamento illecito di dati personali”, sebbene, poi, l’elencazione, contenuta all’interno della disposizione normativa di specie, non citi alcuna delle fattispecie previste dagli artt. 167 ss. del novellato D.Lgs. n. 296/2003 (Codice Privacy)[3].

A parere di chi scrive, la ratio sottesa alla permanenza di tale richiamo risiede nell’oggettiva (ed inevitabile) circostanza che, in caso di commissione di un reato informatico, sussiste un evidente profilo di interdisciplinarietà con un trattamento illecito di dati personali: infatti, se si tiene a mente un qualsivoglia illecito illustrato nel decalogo di cui all’art. 24 bis del D.Lgs. n. 231/01 si verifica presumibilmente, appunto, anche un illecito trattamento di dati personali, tanto che la società, sia essa Titolare o Responsabile del trattamento, deve avviare le indagini interne al fine di verificare se vi sia stata anche una compromissione dei dati personali oggetto di trattamento, e, di conseguenza, intraprendere la procedura di gestione di una violazione dei dati personali (data breach) ex artt. 33 e 34 del GDPR[4].

Tanto premesso, occorre ora esaminare le fattispecie di reato disciplinate dall’art. 24 bis del D.Lgs. n. 231/01.

a) Accesso abusivo al sistema informatico (art. 615 ter c.p.). Il delitto in esame viene commesso da chi abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero si mantiene, al suo interno, contro la volontà espressa o tacita di chi ha il diritto di escluderlo: a tal riguardo, giova precisare che, ad opinione (consolidata) della giurisprudenza di legittimità (ex multis: Corte di Cassazione n. 8541 del 27.2.2019), risponde del reato di specie anche chi abbia usato il proprio accesso al sistema per il perseguimento di scopi estranei a quelli per i quali era stato previamente autorizzato[5].

b) Detenzione o diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615 quater c.p.). Il delitto è commesso da chiunque, al fine di procurare a sé un profitto o di arrecare ad altri un danno, abusivamente si procuri, riproduca, diffonda, comunichi o consegni codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico protetto da misure di sicurezza o comunque fornisca indicazioni o istruzioni idonee al predetto scopo. Nello specifico, il reato di specie sussiste sia nell’ipotesi in cui il soggetto sia in possesso legittimamente delle credenziali di accesso (es. Amministratore di Sistema) e le comunichi indebitamente a terzi, oppure nel caso in cui detto soggetto se le procuri indebitamente[6].

c) Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615 quinquies c.p.). Il delitto in parola viene commesso da chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti, o l’alterazione del suo funzionamento, si procura, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a disposizione di altri apparecchiature, dispositivi o programmi informatici.

d) Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617 quater c.p.). Il delitto consiste nella fraudolenta intercettazione ovvero nell’impedimento, interruzione di comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi.

e) Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617 quinques c.p.). Tale reato viene commesso mediante l’installazione di apparecchiature volte ad intercettare o impedire comunicazioni informatiche commesse dal personale incaricato della gestione delle infrastrutture di rete aziendale.

f) Danneggiamento di informazioni, dati e programmi informatici (art. 635 bis c.p.) e danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro Ente Pubblico o comunque di pubblica utilità (art. 635 ter c.p.). Il delitto consiste nella distruzione, deterioramento, cancellazione, alterazione o soppressione di informazioni, dati o programmi informatici altrui. Invece, viene integrata l’ipotesi di cui all’art. 635 ter c.p. nel caso in cui il soggetto passivo titolare del programma sia lo Stato o comunque laddove la condotta sia a protezione di programmi di pubblica utilità.

g) Danneggiamento di sistemi informatici o telematici (art. 635 quater c.p.) e danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635 quinquies c.p.). Il delitto in esame viene commesso, salvo che il fatto costituisca più grave reato, da chiunque mediante le condotte di cui all’art. 635 bis c.p., ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia o rende inservibili i sistemi informatici altrui o ne ostacola il funzionamento; anche in tal caso, se la condotta ha ad oggetto sistemi pubblici o di pubblica necessità il reato rilevante è l’art. 635 quinquies c.p.

h) Documenti informatici (art. 491 bis c.p.). L’art. 491 bis c.p. stabilisce che qualora le falsità regolate dal Capo III del Titolo VII c.p. riguardino un documento informatico pubblico avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti gli atti pubblici.

i) Frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640 quinquies c.p.). Commette il reato in esame solo il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un’ingiusto profitto o di arrecare un danno viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato.

2. I reati previsti dal novellato Codice Privacy. Con riferimento alla tutela penale nell’ambito della protezione dei dati personali, il Considerando n. 149), da leggersi, in combinato disposto, con l’art. 84 paragrafo 1) del GDPR, sancisce che, stante la natura di ordine pubblico del precetto penale, ciascun singolo Stato debba poter stabilire le disposizioni concernenti le sanzioni penali applicabili per la violazione del GDPR e delle norme nazionali attuative dello stesso.

Orbene, si illustrano, di seguito, le norme di diritto penale, contenute all’interno del Codice Privacy.

a) Trattamento illecito di dati personali (art. 167). L’art. 167 del novellato D.Lgs. n. 196/2003 dispone espressamente che: “1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2 sexies e 2 octies, o delle misure di garanzia di cui all’articolo 2 septies ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2 quinquiesdecies arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni. 3. Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all’interessato…”.

Come è evidente, esso rappresenta un norma penale in bianco, in quanto non contiene la descrizione esaustiva delle condotte vietate, bensì per l’identificazione del precetto vietato fa rinvio ad altre norme del Codice Privacy, le quali stabiliscono i criteri di liceità di un determinato trattamento di dati personali la cui violazione integra la fattispecie de quo[7].

b) Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (art. 167 bis). E’ un reato di nuovo conio, che mira a punire, in sostanza, la comunicazione o la diffusione illecita (anche senza il consenso) di un archivio[8] automatizzato o di una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, al fine di trarre profitto o di arrecare un danno: anche tale disposizione presenta elementi di difficile compatibilità con il principio di tassatività, stante la mancanza di una definizione univoca di “parte sostanziale” di un archivio, sul quale ricade, di riflesso, la condotta ed il concetto di larga scala[9].

c) Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (art. 167 ter). E’ una nuova ed ulteriore fattispecie incriminatrice che sanziona l’acquisizione, con mezzi fraudolenti, di un archivio automatizzato o una parte sostanziale di esso contenente dati personali, al fine di trarre profitto per sé (o per altri)[10].

d) Violazione delle disposizioni in materia di controllo a distanza e indagini sulle opinioni dei lavoratori (art. 171). Si tratta della fattispecie penale che mira a reprimere le violazioni dell’art. 4 della Legge n. 300/1970 (Statuto dei Lavoratori), finalizzate ad evitare (o meglio, regolamentare) le forme, a distanza, di controllo dell’attività dei lavoratori.

3. Compliance aziendale, integrata tra D.Lgs. n. 231/01 e normativa “privacy”. L’attività di compliance ex D.Lgs. 231/2001 presuppone l’adozione di policy e protocolli aziendali, i quali – in ragione di un approccio basato sulla responsabilizzazione dei soggetti (accountability) e sull’analisi del processo, in ragione di un preventivo risk assessment[11] volto a prevenire i reati (informatici) presupposto – assolvono alla necessità di formalizzare e regolamentare un particolare processo aziendale, e di indirizzare i comportamenti dei soggetti che, a vario titolo, sono coinvolti in quell’attività[12].

Com’è noto, il risk base approach permea, parimenti, tutto il GDPR, il quale prescrive una preventiva (e, non più, successiva) tutela dei dati personali, fondata, appunto, sulla responsabilizzazione del Titolare (e/o del Responsabile) del trattamento che si sostanzia nello svolgimento dell’analisi dei rischi su tutte le operazioni di trattamento effettuate, con il ricorso, ove necessario, alla valutazione d’impatto ex art. 35 del GDPR, in un’ottica di privacy by design e by default[13].

Dunque, il trade d’union tra la protezione dei dati personali, la tutela della sicurezza informatica e la responsabilità amministrativa degli Enti si rinviene – oltre che nell’ipotesi patologica in cui si abbia un incidente di sicurezza, al quale può derivare una violazione dei dati personali (e la conseguente valutazione circa la necessità (o meno) di effettuare una notifica al Garante Privacy e una comunicazione ai soggetti interessati ex artt. 33 e 34 del GDPR) – senz’altro nell’art. 32 del GDPR[14], il quale impone l’adozione di adeguate misure di sicurezza tecnica ed organizzative[15], volte, di riflesso, a garantire la sicurezza informatica tesa a salvaguardare la protezione e l’intangibilità dei dati (informatici).

[1] Il D.Lgs. n. 231/2001 ha introdotto, all’interno dell’ordinamento italiano, un regime di responsabilità amministrativa dipendente dalla commissione di alcuni reati a carico delle società; si tratta di un “terzo genere” di responsabilità che si aggiunge a quella personale dell’autore dell’illecito, ma autonoma rispetto a quest’ultima (infatti, sussiste anche qualora l’autore dell’illecito rimanga sconosciuto). Solo il Giudice Penale può applicare una sanzione amministrativa alla società, e soltanto se sussistono tutti i requisiti oggettivi e soggettivi indicati nel D.Lgs. n. 231/2001: i) commissione di un “reato presupposto”; ii) l’autore del “reato presupposto” può essere un soggetto in posizione apicale (ossia, una persona che riveste un ruolo di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché una persona che esercita, anche di fatto, la gestione ed il controllo dello stesso) o un sottoposto (ovvero, una persona soggetta alla direzione o alla vigilanza di un soggetto apicale); iii) il reato è stato commesso nell’interesse (ossia, finalizzato al conseguimento di una determinata utilità, indipendentemente dal suo concreto ottenimento) o a vantaggio dell’ente (tale aspetto rileva quando si è effettivamente conseguito un vantaggio in conseguenza dell’illecito, anche se non espressamente preventivato e voluto al momento della condotta); iv) il reato rappresenta espressione della politica aziendale o quantomeno deriva da una colpa dell’organizzazione. Cfr., al riguardo, la sentenza della Corte di Cassazione n. 18842 del 6.5.2019: “La colpa di organizzazione, da intendersi in senso normativo, è fondata, nel sistema introdotto dal d.lgs. n. 231 del 2001, sul rimprovero derivante dall’inottemperanza da parte dell’ente dell’obbligo di adottare le cautele, organizzative e gestionali, necessarie a prevenire la commissione dei reati previsti tra quelli idonei a fondare la responsabilità del soggetto collettivo, dovendo tali accorgimenti essere consacrati in un documento che individua i rischi e delinea le misure atte a contrastarli”.

[2] L’analisi del rischio è al centro di qualsiasi sistema di gestione, in quanto è il punto di partenza per l’elaborazione del Modello 231 e del Modello Privacy: infatti, nel primo consiste nell’analisi delle attività aziendali esposte al rischio di commissione dei reati presupposto (cd. attività sensibili) e nella relativa gap analysis; il secondo si fonda, invece, sull’identificazione del livello di rischio per ciascun trattamento di dati personali, anche alla luce dell’assessment e, appunto, della gap analysis sull’infrastruttura ICT.

[3] L’art. 24 bis del D.Lgs. n. 231/2001 (“Delitti informatici e trattamento illecito di dati”) ha avuto una vita travagliata. Se, infatti, il D.L. n. 93 del 14.8.2013 aveva incluso i delitti di trattamento illecito di dati personali (art. 167 del previgente Codice Privacy), di falsità nelle dichiarazioni e notificazioni al Garante (art. 168 del previgente Codice Privacy) e di inosservanza ai provvedimenti del Garante (art. 169 del previgente Codice Privacy) nel novero dei reati presupposto dai quali potrebbe derivare una responsabilità amministrativa da reato per l’Ente, tale modifica non è stata poi confermata in sede di conversione (Legge n. 119 del 15.10.2013). Peraltro, tale articolo è stato, infine, nuovamente modificato nel 2019, con il D.Lgs. n. 105/2019, convertito, con modificazioni, dalla Legge n. 133 del 18.11.2019.

[4] A livello di compliance aziendale, i riferimenti normativi da tenere in considerazione quando si affronta la cybersecurity sono, dunque, la Legge n. 48/2008, la Direttiva NIS n. 1148/2016 (attuata, in Italia, con il D.Lgs. n. 65/2018) e il D.L. n. 105/2019 in materia di costituzione del Perimetro di Sicurezza Nazionale Cibernetica (convertito, con modificazioni, dalla Legge n. 133 del 18.11.2019), oltre che la normativa comunitaria e nazionale sulla protezione dei dati personali (ivi inclusi, i connessi atti di soft law).

[5] In merito, si precisa che per “abusivo” si intende un’introduzione non autorizzata ovvero una permanenza contro la volontà del titolare dello ius escludendi alios: nello specifico, è stato affermato che l’introduzione abusiva consiste, in sostanza, in un accesso alla conoscenza del contenuto del sistema informatico o telematico concretamente considerato, propedeutico alla cognizione dei dati e delle informazioni rinvenibili nella memoria di un elaboratore o trasmissibili da una apparecchiatura telematica.

[6] La condotta è abusiva quando i codici di accesso sono ottenuti a seguito della violazione di una norma o di una clausola contrattuale che vieta quella condotta.

[7] Il nocumento rappresenta un elemento costitutivo della fattispecie tipica in questione: cfr. Corte di Cassazione n. 40103/2015: “In tema di trattamento illecito dei dati personali, il nocumento per la persona alla quale i dati illecitamente trattati si riferiscono, previsto dall’art. 167 del D.Lgs. 30 giugno 2003, n. 196, costituisce – per la sua omogeneità rispetto all’interesse leso, e la sua diretta derivazione causale dalla condotta tipica – un elemento costitutivo del reato, e non una condizione oggettiva di punibilità; ne consegue che esso deve essere previsto e voluto o comunque accettato dall’agente come conseguenza della propria azione, indipendentemente dal fatto che costituisca o si identifichi con il fine dell’azione stessa”.

[8] Art. 4 n. 6) del GDPR (“archivio”: “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”), da leggersi assieme al relativo Considerando n. 15) (“Al fine di evitare l’insorgere di gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate. La protezione delle persone fisiche dovrebbe applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati personali sono contenuti o destinati a essere contenuti in un archivio. Non dovrebbero rientrare nell’ambito di applicazione del presente regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine”).

[9] Cfr., sul punto, il Considerando n. 91) del GDPR e Linee Guida n. 243/2017 del WP Art. 29 (ora, EDPB).

[10] Gli elementi essenziali di tale reato sono i medesimi di quelli dell’art. 167 bis del Codice Privacy. Il reato in parola presenta elementi di comunanza con i reati informatici, e soprattutto rispetto all’accesso abusivo al sistema informatico ex art. 615 ter c.p.

[11] La mappatura dei rischi impone l’attribuzione di uno specifico punteggio a ciascuna attività o processo sensibile, oltre che l’analisi di quali processi effettivamente possono essere oggetto di rischio per la realtà aziendale, e verificare se, alla luce dei presidi in essere, vi sia anche un rischio residuo, eventualmente da mitigare tramite l’adozione di apposite misure tecniche e/o organizzative. Ad esempio, sono considerate aree di rischio di commissione di reati informatici le seguenti attività: gestione degli accessi (anche fisici), e dei profili autorizzativi; gestione delle attività online; gestione della sicurezza informatica; gestione del processo di creazione, trattamento, archiviazione e distruzione delle informazioni.

[12] La redazione della policy è il momento in cui si comprende la prassi in essere (“as is”), si valutano eventuali necessità di miglioramento, e si formalizzano le fasi dello stesso, in base a criteri di segregazione e delle funzioni.

[13] In sostanza, vi sono tre differenti livelli di valutazione: un primo livello, incentrato su una valutazione del rischio generica e non formalizzata, che trova fondamento negli artt. 24 e 35 del GDPR; un secondo livello, al quale si ricorre se il trattamento è suscettibile di provocare un rischio elevato per i diritti e le libertà delle persone fisiche oggetto di trattamento che presuppone il ricorso ad una valutazione d’impatto ex art. 35 del GDPR; un terzo livello, a cui si ricorre, infine, ove il risultato della valutazione restituisce un rischio elevato che non può mitigato dall’adozione di ulteriori misure aggiuntive e che, dunque, necessita del ricorso ad una valutazione preventiva ad opera del Garante Privacy.

[14] Art. 32 del GDPR: “1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

[15] Esempio di misure di sicurezza tecniche: password; credenziali logiche di accesso ad un sistema. Esempio di misure di sicurezza organizzative: presidio fisico del luogo ove è collocato l’elaboratore; formazione periodica; procedure formalizzate.