In attesa della conversione in legge entro il 17 ottobre prossimo, si ricorda che il decreto legge n. 93/2013 - riguardante principalmente la prevenzione e il contrasto della violenza di genere - ha modificato anche la disciplina della responsabilità amministrativa degli enti ampliando l’elenco dei reati presupposto.Precisamente, l’art. 9 del decreto legge citato è intervenuto sull’art. 24-bis del decreto legislativo 231/2001 estendendo la possibile responsabilità dell’ente in relazione alla consumazione dei reati di:
· frode informatica con sostituzione di identità digitale (art. 640-ter , terzo comma , del codice penale);
· utilizzo indebito, falsificazione o alterazione di carte di credito o di pagamento ai sensi dell’art. 55, comma 9 del decreto legislativo n. 231/2007 in tema di antiriciclaggio e prevenzione del finanziamento al terrorismo;
· “trattamento illecito di dati”, “falsità nelle dichiarazioni e notificazioni al Garante”, violazione delle norme in materia di “misure di sicurezza”, “inosservanza dei provvedimenti del Garante” di cui agli articoli 167 , 168 , 169 e 170 del decreto legislativo n. 196/2003 (Codice in materia di protezione dei dati personali).
Salvo importanti cambi di rotta in fase di conversione, pertanto, si pone a breve l’esigenza di una revisione dei “modelli 231” adottati, con interventi di natura formale – per “aggiornare” i testi dei documenti -, ma soprattutto sostanziali in termini di attenta ed scrupolosa mappatura dei rischi in relazione ai reati neo introdotti (in particolare i cosiddetti “reati privacy”) e conseguente valutazione/predisposizione di misure preventive adeguate.
Con l’occasione, si segnala alle imprese bancarie e alle società appartenenti a gruppi bancari l’opportunità di far procedere l’analisi e predisposizione dei presidi penal-preventivi in ottica 231/2001 con riferimento specifico ai “reati privacy” di pari passo con l’attuazione, ove non ancora effettuata, delle prescrizioni di cui alla Delibera n. 192/2011 del Garante per la protezione dei dati personali in tema di circolazione delle informazioni riferite ai cliente all’interno dei gruppi bancari e “tracciabilità” delle operazioni bancarie.
Se, infatti, un recente provvedimento del medesimo Garante (per l’esattezza il n. 357 del 18 luglio 2013) , oltre a fornire chiarimenti in ordine alla delibera n. 192/2011, ha prorogato al 3 giugno 2014 il termine precedentemente fissato per completarne l’attuazione, tale implementazione comporta l’adozione di misure necessarie per tracciare le operazioni bancarie effettuate dagli "incaricati del trattamento" sui dati bancari dei clienti (anche occasionali) rimettendo ai "titolari" (cioè gli enti) la discrezionalità nell'individuare le soluzioni organizzative più idonee, allo scopo di evitare abusi nel trattamento dei dati e, pertanto, con la finalità di prevenire trattamenti illeciti di dati e violazione delle misure di sicurezza dei dati medesimi.
Si ricorda che il tracciamento riguarda le operazioni bancarie sia di tipo dispositivo, sia di semplice visualizzazione (ad es. consultazione di SIC e CAI), effettuate utilizzando informazioni concernenti la situazione economica e patrimoniale del cliente e il provvedimento trova applicazione nei confronti delle banche, incluse quelle facenti parte di gruppi, e delle società che appartengono agli stessi gruppi , anche se diverse dalle banche, qualora i relativi "incaricati", per il tipo di attività loro richiesta, accedano ad informazioni in grado di rivelare lo stato patrimoniale e contabile del cliente.
.jpg)
.jpg)
.jpg)
.jpg)
