Categoria: Diritto penale

Google: Garante privacy stop all’uso degli Analytics

google analyticsGoogle: Garante privacy stop all’uso degli Analytics: dati trasferiti negli Usa senza adeguate garanzie

Il sito web che utilizza il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento Ue, viola la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.

Lo ha affermato il Garante per la privacy a conclusione di una complessa istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre autorità privacy europee. Dall’indagine del Garante è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti. Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

All’esito di tali accertamenti il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito Caffeina Media S.r.l. che gestisce un sito web, ingiungendo alla stessa di conformarsi al Regolamento europeo entro novanta giorni. Il tempo indicato è stato ritenuto congruo per consentire al gestore di adottare misure adeguate per il trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.

Il Garante ha evidenziato, in particolare, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, rilevando al riguardo che, alla luce delle indicazioni fornite dall’EDPB (Raccomandazione n. 1/2020 del 18 giugno 2021), le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati personali degli utenti.

Con l’occasione l’Autorità richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, l’illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA, anche in considerazione delle numerose segnalazioni e quesiti che stanno pervenendo all’Ufficio. E invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, con la normativa in materia di protezione dei dati personali.

Allo scadere del termine di 90 giorni assegnato alla società destinataria del provvedimento, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.

Accedi qui al provvedimento del 9.6.2022 del Garante della Privacy e al comunicato stampa del 23.6.2022,

Scarica qui la nostra newsletter in materia.

No all’abuso d’ufficio se si esercita un potere discrezionale

abuso d'ufficioCome noto, il reato di abuso d’ufficio è stato riformato dall’art. 23 del Decreto-legge 16 luglio 2020, n. 76 (v. la nostra newsletter del 20.7.2020).

Il nuovo testo dell’art. 323 c.p. recita “Salvo che il fatto non costituisca un più grave reato, il pubblico ufficiale o l’incaricato di pubblico servizio che, nello svolgimento delle funzioni o del servizio, in violazione di specifiche regole di condotta espressamente previste dalla legge o da atti aventi forza di legge e dalle quali non residuino margini di discrezionalità, ovvero omettendo di astenersi in presenza di un interesse proprio o di un prossimo congiunto o negli altri casi prescritti, intenzionalmente procura a sé o ad altri un ingiusto vantaggio patrimoniale ovvero arreca ad altri un danno ingiusto è punito con la reclusione da uno a quattro anni. La pena è aumentata nei casi in cui il vantaggio o il danno hanno un carattere di rilevante gravità”.

La riforma è stata introdotta con l’intento di tranquillizzare funzionari e amministratori pubblici, chiamati a “darsi da fare” per facilitare la ripresa del paese, finalità perseguita con una asserita maggiore specificità della fattispecie.

Con sentenza 8/2022 del 18.1.2022 la Corte Costituzionale era stata chiamata a pronunciarsi su detto articolo, negando che tale norma abbia depotenziato eccessivamente la tutela del buon andamento e dell’imparzialità della pubblica amministrazione (articoli 3 e 97 della Costituzione). Scarica qui sentenza e comunicato della Consulta.

Ora, mutando il proprio orientamento abbastanza sedimentato, anche la S.C. di Cassazione, Sezione VI penale, con sentenza 13136/2022 afferma che “Fermi restando l’immutato riferimento all’elemento psicologico del dolo intenzionale e l’immodificato richiamo alla fattispecie dell’abuso di ufficio per violazione, da parte del pubblico ufficiale o dell’incaricato di pubblico servizio, dell’obbligo di astensione in presenza di un interesse proprio o di un prossimo congiunto o negli altri casi prescritti (ipotesi di reato che non è variata nei suoi elementi costitutivi), il delitto di abuso di ufficio per violazione di legge, inconseguenza delle indicate modifiche introdotte nell’art. 323 cod. pen., è ora configurabile solamente nei casi in cui la violazione da parte dell’agente pubblico abbia avuto ad oggetto “specifiche regole di condotta” e non anche regole di carattere generale; solo se tali specifiche regole sono dettate “da norme di legge o da atti aventi forza di legge”, dunque non anche quelle fissate da meri regolamenti ovvero da altri atti normativi di fonte subprimaria; e, in ogni caso, a condizione che le regole siano formulate in termini da non lasciare alcun margine di discrezionalità all’agente, restando perciò esclusa l’applicabilità della norma incriminatrice laddove quelle regole di condotta rispondano in concreto, anche in misura marginale, all’esercizio di un potere discrezionale (in questo senso, tra le altre, Sez. 6, n. 8057 del 28/01/2021, Asole, Rv. 280965; Sez. 6, n. 442 del 09/12/2020, dep. 2021, Garau, Rv. 280296)”.

Di fatto viene affermato che non costituisce più reato il comportamento caratterizzato da esercizio di un potere di discrezionalità.

Scarica qui la sentenza integrale.

Datore di lavoro e RSPP

datore di lavoro e rsppInteressante pronuncia della Cassazione in tema di deleghe e sicurezza sul lavoro.

Afferma la S.C. con sentenza 16562/2022 che il datore di lavoro che assommi su di sé anche la qualifica di RSPP (Responsabile del Servizio di Prevenzione e Protezione) quando la normativa preveda che tali ruoli siano rivestiti da soggetti diversi, incorre in un “colposo difetto di organizzazione” che può essere considerato ai fini dell’imputazione di responsabilità di un infortunio sul lavoro.

Viene affermato che la considerazione che l’imputato alla qualifica datoriale -formale e sostanziale – abbia impropriamente cumulato quella di responsabile del servizio di prevenzione e protezione, quindi anche di soggetto deputato alla elaborazione materiale della valutazione del rischio, contribuisce a costituire in capo al medesimo soggetto un coacervo di tutti gli obblighi che convergono in materia di valutazione del rischio, di posizione di garanzia, di adempimenti datoriali. Infatti, sebbene la qualità di datore di lavoro e quella di responsabile del servizio di prevenzione e protezione, in relazione alle dimensioni dell’azienda, avrebbe dovuto risiedere in capo a soggetti diversi, aver unificato entrambe le funzioni, per scelta dello stesso datore di lavoro, contribuisce da un lato a recare confusione nell’ambito dei ruoli decisionali e consultivi nella gerarchia della organizzazione e gestione della sicurezza del lavoro, e dall’altro a concentrare in capo al medesimo soggetto tutti gli oneri esecutivi, elaborativi e decisionali in materia di valutazione, gestione, organizzazione del rischio e di esercizio dei poteri decisionali e di spesa che caratterizzano la figura del datore di lavoro.

Il cumulo di due diversi ruoli – in un caso non previsto dalla normativa vigente all’epoca dei fatti – laddove tali ruoli secondo l’architettura normativa tipica avrebbero dovuto risiedere in capo a soggetti diversi, e invece sono stati confusi, depone per una colpevole opacità e disfunzione organizzativa.

Si tratta di un duplice profilo causale colposo che nel caso concreto ha manifestato tutta la sua nocività e ha ingenerato da parte dei lavoratori un incolpevole e legittimo affidamento sul corretto svolgimento dei ruoli e sull’esercizio dei poteri inerenti alle diverse posizioni di garanzia.

Il ruolo consultivo e interlocutorio del r.s.p.p. deve essere funzionalmente distinto da qualsiasi ruolo decisionale, soprattutto da quello datoriale, perché altrimenti si incrociano posizioni e funzioni con compiti strutturalmente diversi, che devono cooperare su piani diversi, decisionale il primo, consultivo il secondo.

La dialettica tra chi esercita i poteri organizzativi e chi ha un ruolo tecnico ed elaborativo costituisce la sintesi di base da cui prende le mosse ogni determinazione organizzativa, amministrativa, tecnica, produttiva, in materia di sicurezza. Di conseguenza la confusione dei ruoli di per sé è indice di un colposo difetto di organizzazione che ricade sul datore di lavoro, tutt’altro che esimente.

Scarica qui la sentenza integrale.

Responsabilità penale del consigliere senza deleghe

consigliere senza delegheIn assenza di deleghe ad alcuno dei componenti del consiglio di amministrazione di una società o di un consorzio, deve ritenersi gravante su tutti i consiglieri, la responsabilità solidale per gli illeciti deliberati o posti essere dal consiglio di amministrazione, da riferirsi solidalmente a ciascuno di essi.

Tali principi sono applicabili per i membri del consiglio di amministrazione di una società di capitali in assenza di deleghe su specifiche materie o attribuzioni concernenti la gestione della società.

E’ quanto affermato dalla sentenza della S.C. di Cassazione, sezione III penale, n. 11087 del 28.3.2022.

Ricorda infatti sul punto il Supremo Collegio che l’art. 2392 cod. civ., norma che regola la posizione di garanzia degli amministratori all’interno delle S.p.A., dispone che questi sono solidalmente responsabili verso la società dei danni derivanti dall’inosservanza dei doveri loro imposti dalla legge o dallo statuto, a meno che non si tratti di attribuzioni proprie o del comitato esecutivo o attribuite in concreto ad uno o più di essi, così come ribadisce specificamente per il consiglio di amministrazione l’art. 2381, secondo comma, cod. civ.

Dovendosi perciò distinguere l’ipotesi in cui il consiglio di amministrazione operi con o senza deleghe, deriva dal suddetto assetto normativo che, a meno che l’atto non rientri nelle attribuzioni delegate al comitato esecutivo o taluno dei consiglieri che ne sono parte, tutti i componenti del consiglio di amministrazione rispondano — salvo il meccanismo di esonero contemplato dal terzo comma dell’art. 2392 cod. civ. che prevede l’esternazione e l’annotazione dell’opinione in contrasto da parte del consigliere dissenziente nonché immune da colpa- degli illeciti deliberati dal consiglio anche se in fatto non decisi o compiuti da tutti i suoi componenti.

Diversa è invece l’ipotesi in cui specifiche materie siano state attribuite ad uno o più amministratori, nel qual caso gli illeciti compiuti investono esclusivamente la responsabilità dei consiglieri ad esse delegati, salva in tal caso la responsabilità solidale dei consiglieri non operativi, ovverosia esenti da delega, in conseguenza non già della posizione di garanzia sancita dall’art. 2392, primo comma, cod. civ., bensì per effetto della violazione dolosa o colposa del dovere di informazione che grava, anche a seguito della riforma legislativa attuata con il d.lgs. 6/2003, sui singoli amministratori in ordine all’andamento della gestione sociale e sulle operazioni più significative che pone su costoro, in presenza di segnali di allarme, l’onere di attivarsi per assumere ulteriori informazioni rispetto a quelle fornitegli dagli organi delegati e di fare quanto nelle loro possibilità per impedire il compimento dell’atto pregiudizievole o eliderne le conseguenze dannose.

Scarica qui la sentenza integrale.

La cancellazione della società non determina l’estinzione dell’illecito 231

cancellazione società 231La S.C. di Cassazione con sentenza 9006/2022 ha dichiarato che “la cancellazione della società può certamente porre un problema di soddisfacimento del relativo credito ma non pone un problema di accertamento della responsabilità dell’ente per fatti anteriori alla sua cancellazione, responsabilità che nessuna norma autorizza a ritenere destinata a scomparire per effetto della cancellazione dell’ente stesso. Occorre, dunque, ad avviso del Collegio, affermare, il seguente principio di diritto: «la cancellazione dal registro delle imprese della società alla quale si contesti (nel processo penale che si celebra anche nei confronti di persone fisiche imputate di lesioni colpose con violazione della disciplina antinfortunistica) la violazione dell’art. 25-septies, comma 3, del d. Igs. 8 giugno 2001, n. 231, in relazione al reato di cui all’art. 590 cod. pen., che si assume commesso nell’interesse ed a vantaggio dell’ente, non determina l’estinzione dell’illecito alla stessa addebitato»”.

Nel motivare tale decisione, “in consapevole contrasto” con altri precedenti di legittimità, la S.C. ha affermato che l’estinzione della persona giuridica, nelle società di capitali, comporta che la titolarità dell’impresa passi direttamente ai singoli soci, non avendo luogo una divisione in senso tecnico, come si ricava dagli artt. 2493 e 2495, comma 3, cod. civ., disciplinanti, rispettivamente, la distribuzione ai soci dell’attivo e l’azione esperibile da parte dei creditori nei confronti dei soci.

E ancora la Cassazione ha ricordato che il silenzio serbato dal legislatore circa le vicende estintive dell’ente non può indurre ad accontentarsi di un accostamento che appare essere solo suggestivo con l’estinzione della persona fisica. Ciò – tra l’altro – perché: a) in linea generale, le cause estintive dei reati sono notoriamente un numerus clausus, non estensibile; b) quando il legislatore della responsabilità delle persone giuridiche ha inteso far riferimento a cause estintive degli illeciti, lo ha fatto espressamente; c) essendo pacifico il principio di diritto fissato dalle Sezioni Unite (Sez. U, n. 11170 del 25/09/2014, dep. 2015, Uniland Spa ed altro, Rv. 263682), secondo cui «In tema di responsabilità da reato degli enti, il fallimento della persona giuridica non determina l’estinzione dell’illecito amministrativo previsto dal d. Igs. n. 231 del 2001», non si comprende la ratio di un diverso trattamento della cancellazione della società, da cui discenderebbe l’estinzione dell’illecito amministrativo contestato all’ente, rispetto al caso di dichiarazione di fallimento, allorché è expressis verbis prevista la esclusione dell’effetto estintivo.

Scarica qui la sentenza integrale.