Lo smart working, causa emergenza sanitaria da Coronavirus, negli ultimi mesi è diventato la modalità di lavoro più utilizzata. Ciò che serve è un pc e una connessione internet, quanto basta per trovarsi di fronte a dei reati informatici, ancor più probabile se il lavoro è svolto in modalità BYOD (Bring Your Own Device), cioè utilizzando i device dei dipendenti. Quali sono le conseguenze? E qual è il collegamento tra il decreto 231/2001 e il GDPR? Scopriamolo insieme.

Contesto normativo

Il decreto 231/2001 sancisce la responsabilità degli enti, identificando una fattispecie complessa, poiché aggiuntiva e conseguente al reato, presupponendo, infatti, proprio la commissione di un reato da parte della persona fisica operante all’interno dell’ente. 

 

Nel 2001 i reati informatici non erano contemplati nel decreto, furono aggiunti solo a seguito della Legge 48/2008 che ha ratificato la Convenzione Cybercrime di Budapest. Ma alcuni dei i reati informatici, all’interno del decreto, ebbero vita breve e furono eliminati nel 2013, a causa delle varie critiche da parte di dottrina e giurisprudenza, nonché dall’allora Presidente di Confindustria.

Possiamo notare, infatti, come le sanzioni del GDPR (vedi articolo 83), siano molto più gravose di quelle dettate dal decreto 231/2001. Addirittura, quelle del GDPR, in alcuni casi possono raggiungere l’importo di 10 o 20 milioni di euro, in base al tipo di infrazione, nonché del 2% o 4% del fatturato mondiale annuo (della società o totale) riferito all’esercizio precedente, se superiore.

È dunque evidente come la preoccupazione generale fosse quella di evitare un esborso economico così pregnante, motivo per cui si decise di non inserire questi reati all’interno del decreto.

​

Codice privacy

Nel 1975, col caso Soraya, la Suprema Corte mutò il proprio orientamento riconoscendo formalmente l'esistenza del diritto alla privacy nel nostro ordinamento, diritto consistente nella tutela di situazioni e vicende strettamente personali e familiari. L'Italia fu la penultima in Europa ad approvare una legge di tutela della privacy di applicazione generale, trasfusa nel Codice Privacy, cioè il Decreto legislativo 30 giugno 2003, n. 196

 

Nonostante alcuni reati informatici siano stati inseriti all’interno del decreto, ciò che ancora manca è una disciplina sulla violazione dei dati personali, di primaria importanza soprattutto ai giorni nostri, considerata la sempre maggiore diffusione di piattaforme come i social network. 

Infatti, reati di questo genere non sono stati inseriti all’interno del decreto 231/2001, bensì sono stati disciplinati direttamente dal Codice Privacy, all’interno del quale possiamo individuare, a titolo di esempio, il trattamento illecito di dati ex art. 167, con cui  si ritengono punibili anche condotte come il revenge porn; la comunicazione e diffusione illecita di dati personali ex art. 167 bis; l’acquisizione fraudolenta di dati personali ex art. 167 ter, il cui elemento caratterizzante è il trattamento su larga scala dei dati; l’interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante ex art. 168, il quale punisce chiunque, in un procedimento dinanzi all’Autorità Garante, dichiari o attesti falsamente notizie o produca atti o documenti falsi; l’inosservanza dei provvedimenti del Garante ex art. 170; o ancora, le violazioni in materia di controlli a distanza dei lavoratori, confermando le fattispecie previste dallo Statuto dei lavoratori (si vedano ad esempio agli articoli 4 e 8 dello Statuto). 

​

Decreto 231/2001

Come abbiamo già sottolineato, all’interno del decreto 231 sono presenti alcuni reati informatici, inseriti a seguito della Convenzione del 2008, tuttavia questi non sono inerenti ai dati personali. Nel 2001, come nel 2008, infatti, Internet ricopriva un ruolo più marginale all’interno delle nostre vite, così come i social network, gli smartphone, e la rete in generale.

Alla luce di ciò, risultava possibile per il legislatore pensare di dover tutelare i sistemi informatici, così come prevedere l’eventualità che un amministratore di sistema utilizzasse le password di accesso alle caselle e-mail dei dipendenti al fine di controllare le loro attività (art. 615-quater c.p); tuttavia, come avrebbe potuto immaginare di dover verificare il contenuto del materiale scambiato in rete, per tutelarne la circolazione? Come avrebbe potuto immaginare, nel 2001, la possibilità che i nostri dati circolassero in rete, divenendo noti a tutti, o quasi, alla velocità della luce, senza il nostro consenso o con un consenso poco informato (si pensi, ad esempio, al caso Facebook)? 

​

La necessità di una riforma

Introducendo questo tipo di reati si potrebbe colmare una disciplina che sempre più spesso ricorre ad interpretazioni estensive per tutelare il bene giuridico del dato personale, risultando così in pieno contrasto con il principio di tassatività tipico del sistema penalistico (art. 1 c.p.). 

 

La necessità di una riforma che abbia come scopo l’inserimento, all’interno del decreto, di reati che hanno come ratio la tutela della privacy e dei dati personali, appare sempre più necessaria. Viviamo in un mondo globalizzato, in cui la diffusione istantanea delle informazioni e il libero scambio senza limiti di formato, lingua e tempo rappresentano una realtà ormai acquisita ed i volumi trasmessi di dati, immagini e video sono in crescita costante; appare pertanto opportuno che questi aspetti, con cui oggi abbiamo costantemente a che fare, vengano opportunamente regolati e disciplinati, per garantirne la corretta fruizione e salvaguardare i diritti degli utenti. 

​

​