home / Archivio / 231 e Compliance - Raccolta del 2022


231 e Compliance pubblicato il 31/12/2023

Il Garante privacy blocca ChatGPT per illecita gestione dei dati personali

(GPDP, provvedimento n. 112 del 30 marzo 2023) Stralcio a cura di Lorenzo Litterio
nota di Marco Piliero A seguito di una violazione di dati (c.d. data breach) che ha riguardato l’applicativo ChatGPT (acronimo di Generative Pretrained Transformer), il Garante per la protezione dei dati personali, ossia l’autorità amministrativa indipendente istituita dalla legge 31 dicembre 1996, n. 675, c.d. legge sulla privacy, con il compito di verificare il rispetto della normativa di settore, si è pronunciata il 30 marzo scorso sul rispetto da parte dello stesso della disciplina relativa al trattamento dei dati personali, contenuta in primis nel Regolamento del Parlamento europeo e del Consiglio del 27 aprile 2016, n. 679, c.d. Regolamento generale sulla protezione dei dati (GDPR nel prosieguo). Sviluppata e gestita dalla società americana OpenAI, la chatbot costituisce uno dei più noti software di intelligenza artificiale relazionale che, avvalendosi di algoritmi di apprendimento automatico, è in grado di generare risposte simili a quelle umane nell’ambito di una conversazione con l’utente. All’esito del provvedimento adottato in via d’urgenza, avendo riscontrato alcune violazioni del GDPR, il Garante ha imposto la limitazione del trattamento dei dati personali degli utenti italiani ad OpenAI. Le violazioni alla normativa di settore hanno riguardato, anzitutto, la mancanza di una informativa sul trattamento dei dati personali rivolta agli utenti ed a tutti gli interessati i cui dati vengono raccolti da OpenAI. Volendo procedere con ordine, è utile rammentare che a mente dell’articolo 4 del GDPR, che contiene le definizioni utili per orientarsi nella materia della privacy, l’interessato è la persona fisica, identificata o identificabile, cui si riferiscono i dati personali oggetto del trattamento. Per trattamento, o processing, poi, si intende qualsiasi operazione o insieme di operazioni eseguite su dati personali o su insiemi di dati personali, anche con mezzi automatizzati, quali raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, recupero, consultazione, utilizzo, divulgazione mediante trasmissione, diffusione o messa a disposizione in altro modo, allineamento o combinazione, restrizione, cancellazione o distruzione. Con riferimento a queste attività, in applicazione dei principi di cui all’articolo 5 del GDPR, specie di quelli di trasparenza e correttezza, il titolare del trattamento deve fornire agli interessati, tra le altre cose, le informazioni richieste dagli articoli 12 e seguenti del GDPR. Questo avviene attraverso l’informativa. Essa consiste in una comunicazione rivolta all'interessato, con cui quest’ultimo viene reso edotto delle finalità e delle modalità dei trattamenti che avranno ad oggetto i suoi dati personali. Inoltre, essa consente all'interessato di esprimere, qualora richiesto come base giuridica del trattamento, un valido consenso allo stesso. Come si può agilmente intuire, l’informativa riveste un ruolo centrale nell’assicurare la concreta e corretta applicazione dei principi ispiratori del GDPR, tra cui rientrano quelli sopra citati; per comprendere l’importanza attribuita loro dal legislatore, basti richiamare il concetto della accountability, cioè della responsabilizzazione del titolare del trattamento, chiamato dall’articolo 5 ad essere in grado di comprovare il rispetto dei principi che disciplinano la materia. In seconda battuta, il Garante ha rilevato l'assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali allo scopo di addestrare gli algoritmi sottesi al funzionamento della piattaforma. Al fine di comprendere le concrete implicazioni di quanto appena detto, occorre tener presente che le informazioni immesse nell’applicativo vengono utilizzare, oltre che, come detto, per generare risposte nell’ambito di una conversazione, anche per continuare ad alimentare l’algoritmo che vi sta alla base; ciò posto, si pensi al caso di un adolescente utente che, cercando nell’app un supporto psicologico o un amico virtuale con cui condividere gli avvenimenti della propria giovinezza che lo impensieriscono, vi introduca informazioni delicate, magari dati anagrafici di persone reali, che vengono poi riutilizzare dall’algoritmo per allenarsi. Ancora, le informazioni restituite dal software non corrispondono sempre al dato reale: ciò in quanto la maggior parte delle intelligenze artificiali sono addestrate partendo da fonti aperte, proprio per questo assoggettate a controlli meno rigorosi circa la veridicità delle informazioni in esse contenute. Si determina così un trattamento di dati inesatto. Infine, sebbene il servizio si rivolga, stando ai termini pubblicati da OpenAI, a soggetti di età superiore ai tredici anni, è stato evidenziato che l’assenza di filtri per la verifica dell’età degli utenti, ovvero di altre misure come ad esempio il blocco dell’app di fronte a dichiarazioni in cui l’utente espliciti la propria minore età, espone i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e coscienza. Per vero, non è la prima volta che il Garante si pronuncia sulla specifica tematica: alle medesime conclusioni, infatti, è addivenuto con riferimento ad applicativi quali TikTok e, soprattutto, dell’altra chatbot Replika. Questa, grazie all’intelligenza artificiale, è in grado di generare un amico immaginario virtuale che, come si può leggere nella descrizione dell’app stessa, può aiutare l’utente a comprendere i propri pensieri e sentimenti, a tenere traccia dei propri stati d’animo, a calmare l’ansia, a gestire lo stress, a socializzare e trovare l'amore. Replika, al pari di ChatGPT, non è dotata di meccanismi in grado di distinguere tra l’utente maggiorenne e minorenne considerato che non c’è la possibilità di verificarne l’età. Alla luce di quanto finora rilevato, il Garante ha ritenuto necessario disporre con effetto immediato, in attesa del completamento dell’istruttoria, la limitazione provvisoria del trattamento di tutti i dati personali degli interessati stabiliti nel territorio nazionale ad OpenAI che, dal canto suo, ha deciso di sospendere l’erogazione del servizio. Al netto del dibattito che ne è derivato e che ha assunto, alle volte, toni oscurantisti, essendo ChatGPT uno dei primi e, ad oggi, più diffusi servizi di intelligenza artificiale generativa ad affermarsi nel panorama nostrano, è bene sottolineare che la decisione del Garante mira a garantire la corretta applicazione del GDPR, di cui alcuni precetti sono stati effettivamente violati dal servizio offerto da OpenAI, ed a salvaguardare i principi ed i diritti che ne costituiscono il fondamento ed il fine ultimo di tutela. In ragione di ciò, sin da subito la società statunitense si è mostrata intenzionata a collaborare con l’autorità e a adeguarsi alla disciplina normativa, recependo le prescrizioni all’uopo fornite dal Garante, sì da rendere nuovamente accessibile ChatGPT agli utenti italiani. Così OpenAI ha: ampliato l’informativa relativa al trattamento dei dati personali e l’ha resa accessibile già nella maschera di registrazione al servizio; pubblicato sul proprio sito un’informativa che illustra quali dati personali sono stati trattati, e con quali modalità, per addestrare gli algoritmi e rammentato il diritto di opporsi a tale tipo di trattamento, tramite un modulo online di facile accessibilità e compilazione; dato possibilità agli interessati di cancellare le informazioni che li riguardano se ritenute errate; inserito nella homepage degli utenti italiani già registrati al servizio un pulsante per accedere al servizio, dichiarando di essere maggiorenni o ultratredicenni con consenso dei genitori; inserito nella maschera di registrazione al servizio dei nuovi utenti la richiesta della data di nascita dell’utente, prevedendo un blocco per gli infratredicenni e per quelli ultratredicenni, ma ancora minorenni, richiedendo la conferma del consenso dei genitori all’uso del servizio. Tanto accertato, il Garante, nelle more del completamento dell’attività istruttoria, ha reso nuovamente accessibile ChatGPT agli utenti italiani, auspicando da parte di OpenAI la realizzazione di due ulteriori accorgimenti – consistenti nell’implementazione del sistema di verifica dell’età e nella pianificazione e realizzazione di una campagna di comunicazione finalizzata a informare tutti gli italiani di quanto accaduto e della possibilità di opporsi all’utilizzo dei propri dati personali ai fini dell’addestramento degli algoritmi - a corredo di quelli appena esposti. In conclusione, il risultato raggiunto non è affatto di poco conto in quanto sintomatico della possibilità di coniugare l’avanzamento tecnologico con il rispetto dei diritti delle persone. Non è un caso, oltretutto, che la vicenda abbia valicato i confini nazionali: infatti, non più tardi di un paio di settimane dall’adozione del provvedimento limitativo da parte del Garante italiano, si è tenuta a Bruxelles la riunione dello European Data Protection Board (EDBP), nell’ambito della quale le omologhe autorità europee hanno discusso del caso italiano, determinandosi per l’istituzione di una task force con l’obiettivo di promuovere la cooperazione e lo scambio di informazioni su eventuali iniziative delle autorità di protezione dati per l'applicazione del Regolamento. Ciò sposta il dibattitto su un piano di ben più ampio respiro: la tematica, infatti, riguardando tutti gli operatori che si trovano nel territorio dell’Unione europea, abbraccia l’intero spazio digitale europeo, con le conseguenti esigenze di uniformità di disciplina, tutela e interpretazione che ne derivano, di cui i garanti europei hanno dimostrato di avere piena consapevolezza.

In caso di incidente sul lavoro, in presenza di un vantaggio connesso all´illecito, sussiste la responsabilità dell´Ente che abbia predisposto un modello organizzativo non efficacemente attuato in conformità alla normativa

(Cass. Pen., Sez. IV, 25 maggio 2023, n. 22683)   Stralcio a cura di Lorenzo Litterio
nota di Ernesto Di Tommaso Nella sentenza in oggetto viene affrontato il tema, ormai consolidato, dell’idoneità del Modello di Organizzazione, di Gestione e di Controllo in caso di lesioni personali colpose in violazione della normativa prevista dal D.lgs. 81 del 2008.Il Tribunale monocratico di Gorizia riconosceva la responsabilità penale del datore di lavoro per aver cagionato nella sua qualità di legale rappresentante lesioni colpose ad un dipendente, “non avendo valutato il rischio specifico e quindi non aver previsto specifiche procedure ovvero altro sistema di prevenzione e protezione relativamente alla fase specifica della lavorazione”.La violazione delle norme poste a tutela della salute e sicurezza dei lavoratori, secondo il giudice di prime cure, determinava la causazione dell’incidente.Veniva, altresì, riconosciuta la responsabilità amministrativa ai sensi del D.Lgs. 231/2001, in quanto la società, pur avendo implementato il Modello di Organizzazione, di Gestione e di Controllo, non è risultato efficacemente attuato in relazione alle lavorazioni svolte dall’infortunato.La Corte di Appello investita dal gravame del difensore pronunciava sentenza di non doversi procedere per intervenuta prescrizione del reato presupposto, revocando la sanzione del divieto di contrattare con la P.A. disposta a carico dell’ente e ha confermato l’irrogazione la sanzione pecuniaria.La difesa proponeva ricorso per cassazione lamentando la violazione degli artt. 6 e 25 – septies del D.lgs. n. 231/2001, e contestando l’errata assegnazione della posizione di garanzia in capo all’imputato.La Suprema Corte dichiarava il ricorso inammissibile, sostenendo che la Corte di Appello ha correttamente applicato il principio secondo cui, in tema di responsabilità degli enti, in presenza di una declaratoria di prescrizione del reato presupposto, ai sensi dell’art. 8, comma 1, lett. b), d.lgs. n. 231/2001, il giudice deve procedere all’accertamento autonomo della responsabilità amministrativa della persona giuridica nel cui interesse e nel cui vantaggio l’illecito fu commesso che, però, non può prescindere da una verifica, quantomeno incidentale, della sussistenza del fatto reato (Sez. IV, n. 22468 del 18/04/2018; Sez. VI, n. 21192 del 25.01.2013).Nel caso di specie, la Suprema Corte ripercorreva in primis i presupposti della responsabilità amministrativa degli enti indicati dall’art. 5 del D.lgs. 231/2001, il quale stabilisce che: “l’ente è responsabile per i reati commessi nel suo interesse o vantaggio: a) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; b) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a).Poi, avvalorando quanto ripercorso nella sentenza della Corte di Appello di Trieste, la Suprema Corte rilevava che il verificarsi dell’infortunio, a causa di una prassi lavorativa attuata in violazione delle prescrizioni delle linee guida, è manifestazione evidente della realizzazione di un interesse o un vantaggio da parte dell’ente.La Corte richiamando l’orientamento prevalente in tema di nozione di interesse e vantaggio in relazione ai reati di natura colposa come quello oggetto del presente procedimento, avvalorava la tesi secondo cui in tema di responsabilità amministrativa degli enti derivante dal reato di lesioni personaliaggravate dalla violazione della disciplina antinfortunistica, sussiste l’interesse dell’ente nel caso in cui l’omessa predisposizione dei sistemi di sicurezza determini un risparmio di spesa, mentre si configura il requisito del vantaggio qualora la mancata osservanza della normativa cautelare consenta un aumento della produttività (Sez. IV, n. 24697 del 20/4/2016, nella cui motivazione si è affermato che la responsabilità dell’ente non può essere esclusa in considerazione dell’esiguità del vantaggio o della scarsa consistenza dell’interesse perseguito, in quanto anche la mancata adozione di cautele comportanti limitati risparmi di spesa può essere causa di lesioni personali gravi; conf. Sez. IV, n. 2544 del 17/12/2015, dep. 2016).Da ultimo, quanto all’omessa analisi sull’adozione e sull’idoneità del modello organizzativo, la Corte rilevava come il Modello di Organizzazione, di Gestione e di Controllo non era stato correttamente ed efficacemente implementato, così come previsto dall’art. 6, comma 1, lett. a), d.lgs. n. 231/2001, ritenendo che, “ pur essendosi provveduto all’analisi delle macro-attività sensibili ex art 25-septies, manca la previsione di una costante attività di monitoraggio sulle misure prevenzionistiche approntate in azienda e di adeguamento della specifica procedura lavorativa ai rischi propri dell'attività".

La videoripresa di aree ultronee rispetto a quelle di propria pertinenza è illecita se non si dimostra un legittimo interesse legato ad una situazione di rischio effettivo

(GPDP, 12 ottobre 2023, n. 477) stralcio a cura di Annapia Biondi

Diniego all´oblio nel caso di condanna per possesso di informazioni ritenute utili a commettere o preparare un atto terroristico

(Prov. n. 204 del 17 maggio 2023) Stralcio a cura di Giovanni de Bernardo 

Responsabilità degli enti: società condannate solo se il reato è causato da deficit organizzativi

(Cass. Pen., Sez. V, 19 maggio 2023, n. 21640) Stralcio a cura di Giovanni de Bernardo
nota di Andrea Castaldo    La Corte di Cassazione chiarisce, con tale pronuncia, come in tema di responsabilità degli enti, la stessa non si fondi su un’estensione della responsabilità individuale della persona fisica alla persona giuridica, ma sulla idonea e motivata dimostrazione di una difettosa organizzazione da parte della stessa, nonostante l’obbligo di prevenzione del rischio di reati, così come previsto dal D. lgs. 231 del 2001. In primis, è utile evidenziare come nel caso di specie la posizione della persona fisica autrice del presunto reato si sia estinta per prescrizione, infatti la Corte afferma che: «la sentenza (per l’imputato persona fisica, ndr) deve essere annullata senza rinvio agli effetti penali per essere il reato estinto per prescrizione». A tal uopo, è utile evidenziare come «in tema di responsabilità degli enti, in presenza di una declaratoria di prescrizione del reato presupposto, il giudice, ai sensi dell’art. 8, comma primo, lett. b) d.lgs. n. 231 del 2001, deve procedere all’accertamento autonomo della responsabilità amministrativa della persona giuridica nel cui interesse e nel cui vantaggio l’illecito fu commesso che, però, non può prescindere da una verifica, quantomeno incidentale, della sussistenza del fatto di reato». Infatti, la responsabilità dell’ente sussiste – come previsto dal legislatore all’art. 8, cit. – anche quando il reato presupposto si estingue per una causa diversa dall’amnistia, in tal caso si è avuta la prescrizione. Così facendo si addiviene ad una scissione tra le due posizioni – persona fisica e persona giuridica – realizzandosi un processo autonomo, avendosi una autonoma posizione giuridica; anche se in via incidentale, comunque, si procede ad una verifica del fatto di reato assunto come presupposto. «In altre parole, per il principio di autonomia della responsabilità dell’ente (art. 8 cit.), la prescrizione del reato presupposto nei confronti della persona fisica autrice, anche se dichiarata nello stesso processo in cui è imputato l’ente, non fa venir meno la sussistenza della sua eventuale responsabilità». La Quinta sezione penale della Corte di Cassazione, con la sentenza oggetto di analisi, ha ulteriormente evidenziato, sempre in tema di responsabilità delle persone giuridiche, che per i reati commessi dai soggetti apicali, «ai fini del giudizio di idoneità del modello di organizzazione e gestione adottato, il giudice deve adottare il criterio epistemico-valutativo della c.d. “prognosi postuma”». Il giudicante «deve cioè idealmente collocarsi nel momento in cui l’illecito è stato commesso e verificare se il “comportamento alternativo lecito”, ossia l’osservanza del modello organizzativo virtuoso, per come esso è stato attuato in concreto, avrebbe eliminato o ridotto il pericolo di verificazione di illeciti della stessa specie di quello verificatosi, non richiedendosi una valutazione della “compliance” alle regole cautelari di tipo globale». La Corte fa suo un nuovo orientamento espresso dalla dottrina e giurisprudenza maggioritaria votato ad una nuova frontiera ermeneutica in tema di illecito delle persone giuridiche, che ricostruisce la struttura dell’illecito dell’ente secondo un modello di tipo colposo[1]. «Il giudice di merito dovrà dimostrare, al fine di giustificare l’affermazione di responsabilità dell’ente, di aver valutato il suo deficit di autoorganizzazione, vale a dire la carenza di quel complesso delle regole elaborate dall’ente per la prevenzione del rischio reato, che trovano la loro sede naturale nei “Modelli di organizzazione, gestione e controllo”, delineati, su un piano generale di contenuti, dagli artt. 6 e 7, D. lgs. n. 231/2001». Altresì, considerando la ratio del D. lgs. 231, la Cassazione evidenzia come la responsabilità della persona giuridica deriva da una attenta e approfondita valutazione del modello organizzativo di cui si è dotato l’ente. Tra l’altro, un modello organizzativo idoneo ed efficace potrebbe far sì che l’ente vada esente da responsabilità, pur se il reato presupposto sia stato commesso nel suo interesse o a suo vantaggio (artt. 6 e 7 D. lgs. 231/2001), incentivando gli enti nell’adozione di modelli di compliance aziendale e prevenzione dei reati presupposto. In conclusione, la Corte analiticamente esemplifica l’attività che dovrà essere svolta dal giudice di merito, nel caso di specie, ed in generale, e cioè «verificare se il reato della persona fisica sia la concretizzazione del rischio che la regola cautelare organizzativa violata mirava ad evitare o, quantomeno, tendeva a rendere minimo; ovvero deve accertare che, se il modello idoneo fosse stato rispettato, l’evento non si sarebbe verificato».     [1] Su tutti vds. Cass. pen., sez. 6, sent. n. 23401 del 15/06/2022.    

La colpa di organizzazione dell´ente non coincide con la colpevolezza della persona fisica responsabile del reato e va rigorosamente provata

(Cass. Pen., Sez. IV, 11 gennaio 2023, n. 570) stralcio a cura di Annapia Biondi 

Il datore di lavoro risponde anche degli infortuni dovuti a condotta imprudente o negligente del lavoratore se il sistema di sicurezza presenta evidenti criticità

(Cass. Pen., Sez. I, 4 maggio 2023, 18744) Stralcio a cura di Fabio Coppola 

╚ illecito mantenere attivo un account di posta elettronica congiunto successivamente alla cessazione della collaborazione

(GPDP, 11 gennaio 2023, n. 8) Stralcio a cura di Giovanni de Bernardo 
nota di Sofia Monici    Con l’ordinanza ingiunzione in commento, il Garante per la Protezione dei Dati personali è tornato a confrontarsi con il tema - centrale nella gestione dei rapporti professionali - del trattamento dei dati contenuti in un account di posta elettronica aziendale assegnato nominativamente ad un collaboratore. Il provvedimento è rilevante, come sarà approfondito infra, in quanto riguarda un rapporto lavorativo di fatto; al contempo, è interessante in quanto vaglia (seppur con alcuni limiti, appresso evidenziati) la possibilità di ritenere ravvisabile un legittimo interesse dell’impresa a mantenere attivo l’account dopo la cessazione del rapporto.   Il caso La società Reweb S.r.l. aveva messo a disposizione della reclamante «un account di posta elettronica individualizzato con estensione riferita all'azienda» (il classico account “nomecognome@nomeazienda.it/com”). L’attivazione era avvenuta nell’ambito di una collaborazione di fatto, intrapresa nelle more delle trattative volte all’acquisizione, da parte di Reweb, di un ramo d’azienda della IT Distribuzione, società cooperativa per cui lavorava la reclamante. Nella prospettiva dell’imminente trasferimento del rapporto lavorativo in capo a Reweb, quest’ultima aveva generato l’account di posta, al precipuo scopo di consentire alla collaboratrice di intrattenere rapporti commerciali con alcuni potenziali clienti. Come evidenziato nel provvedimento, l’indirizzo era stato, tra l’altro, indicato anche su alcuni biglietti da visita, fatti stampare appositamente per essere distribuiti ad una fiera del settore. Fallita la trattativa e venuta meno la prospettiva dell’assunzione, la collaboratrice aveva richiesto a Reweb di provvedere all’immediata cancellazione dell’indirizzo, ma la società risultava aver mantenuto attivo l’account ed aver consultato il contenuto della casella di posta, attraverso l’espediente dell’inoltro dei messaggi sull’e-mail del proprio direttore commerciale. L’accesso alla casella si evinceva, in particolare, dalla produzione in giudizio (nella causa intentata contro IT Distribuzione) di «e-mail inviate dallo stesso account dalla reclamante nel corso della collaborazione». Apprese tali circostanze, la collaboratrice aveva quindi proposto reclamo al Garante.   Le difese della reclamata Investito del reclamo, il Garante aveva avviato la consueta istruttoria, nell’ambito della quale la reclamata si era difesa allegando che l’account e-mail in parola era stato mantenuto attivo (esclusivamente temporaneamente[1]) per due legittime ragioni: a) da un lato «nell’interesse [..] di non interrompere ex abrupto i contatti con i clienti che la [reclamante] aveva contattato agendo per conto di Reweb s.r.l. stessa, spendendone il nome»; b) dall’altro «per tutelare [..] i propri diritti in sede giudiziaria». Sotto il primo profilo, Reweb aveva precisato, nello specifico, di aver disposto «il reindirizzamento delle comunicazioni [..] sull’indirizzo del […], direttore commerciale, proprio allo scopo di non perdere quei potenziali clienti con i quali la [reclamante] aveva preso contatti». Mentre, a proposito dell’esigenza di tutelare i propri diritti in sede giudiziaria, Reweb aveva affermato di aver appreso di condotte volte a sviare la clientela contattata e di aver quindi promosso un’azione giudiziale a tutela dei propri diritti. Con il provvedimento qui analizzato, il Garante non ha ritenuto soddisfacenti le difese formulate ed ha, per contro, accertato la violazione da parte di Reweb degli «artt. 5, par. 1, lett. a) e c), 6, 12 anche con riferimento all’art. 17, 13 del Regolamento[2]».   La decisione La decisione in commento si pone, anzitutto, nel solco dell’insegnamento già tracciato dal Garante sin dalle proprie “linee Guida per la posta elettronica ed internet del 2007”[3]. Risulta, infatti, sotteso alla pronuncia in discorso il principio - ormai acquisito - per cui non può ritenersi mai consentito un accesso indiscriminato, da parte dell’impresa, ai dati di un account di posta elettronica aziendale “nominativo”, ancorché con dominio riferito all’azienda stessa. L’aspettativa di confidenzialità che contraddistingue la corrispondenza, inclusa quella di carattere elettronico, rende concreto il rischio che l’assegnatario dell’account possa essere indotto a farne «un uso personale pur operando in una struttura lavorativa»[4]  e pertanto che su tale account transitino, appunto, anche dati personali[5]. La possibilità di accedervi da parte dell’azienda cui il dominio è riferibile presuppone conseguentemente l’assolvimento degli obblighi previsti dal Regolamento e, quindi, anzitutto una adeguata informativa che renda consapevole il collaboratore del divieto di utilizzo per finalità extralavorative ed edotto della possibilità di un controllo sul contenuto dell’account. Le prime applicazioni del principio in discorso si sono registrate nel contesto dei rapporti di lavoro di natura subordinata[6]. Più recenti decisioni hanno chiarito come i medesimi principi riguardino anche rapporti lavorativi di diversa natura[7], essendo del tutto irrilevanti ai fini dell’obbligo informativo, il «ruolo professionale» rivestito all’interno della compagine aziendale, così come la «tipologia contrattuale» in virtù della quale lo strumento viene assegnato[8]. Nel caso de quo, la peculiarità della vicenda consisteva nella circostanza che lo strumento fosse stato messo a disposizione della reclamante prima ancora che alcun rapporto contrattuale fosse formalizzato. Il Garante ha ugualmente ritenuto pienamente applicabile l’obbligo di informativa, sul presupposto che «nell’ambito di trattative precontrattuali l’obbligo di informare gli interessati è, altresì, espressione del principio generale di correttezza (v. art. 5, par. 1, lett. a)».   In virtù di quanto precede, la preliminare verifica compiuta dal Garante è stata proprio quella volta ad accertare se l’interessata avesse ricevuto da Reweb un’informativa sul trattamento dei dati operato sull’account di posta elettronica messo a sua disposizione. La reclamata aveva dichiarato che la policy aziendale sarebbe stata fatta sottoscrivere al momento dell’assunzione (che non si era poi concretizzata), ma di aver redatto un «regolamento per l’uso della posta elettronica aziendale con dominio @reweb.it” [..] esposto presso la bacheca nei locali aziendali». L’Autorità ha, tuttavia, considerato che la mera affissione del regolamento, in assenza di prova dell’avvenuta informativa individuale dell’interessata, non fosse sufficiente a provare l’assolvimento dell’obbligo di cui all’art. 13[9]. Infine, anche ad un esame dei contenuti del regolamento, lo stesso è stato valutato gravemente lacunoso e deficitario, in quanto non venivano comunque «rese note le specifiche attività di trattamento che Reweb s.r.l. esercita nei confronti dei soggetti a cui assegna un account».   Chiariti tali profili, il Garante si è quindi soffermato anche sul trattamento dei dati operato da Reweb successivamente al termine della collaborazione, posto che l’account di posta elettronica non era stato immediatamente disattivato. Coerentemente con precedenti resi in casi similari[10], il provvedimento ha ribadito che gli account di posta elettronica riconducibili a persone identificate o identificabili devono essere tempestivamente disattivati al termine del rapporto. Tale obbligo si pone allo scopo di assicurare che non sia effettuato alcun trattamento dei dati contenuti sull’accountindividuale, in assenza di alcuna base giuridica.   A fronte delle difese di Reweb si è, nondimeno, reso necessario approfondire la possibilità di ritenere sussistente un “legittimo interesse” ex art. 6, par. 1 lett. f) dell’impresa[11], a mantenere attivo l’account di posta elettronica aziendale, sia per scongiurare la perdita di occasioni commerciali con i clienti contattati dalla reclamante, che per tutelare in giudizio i propri diritti. Per quanto riguarda la prima eccezione sollevata da Reweb, relativamente all’interesse a non interrompere «ex abrupto» i contatti con i potenziali clienti, il Garante ha rammentato come la «finalità (legittima)» di non perdere contatti utili per la propria attività commerciale debba essere perseguita, pur sempre, nel rispetto del principio di minimizzazione[12], per cui il titolare deve trattare solo i dati “adeguati, pertinenti e limitati a quanto necessario” a tale finalità. Nel caso in esame, per l’autorità, la medesima finalità avrebbe potuto essere perseguita con strumenti meno invasivi e soprattutto protettivi della riservatezza dell’interessato, quale «l’attivazione di un sistema di risposta automatico con il quale vengono forniti (al mittente) indirizzi alternativi ai quali contattare il titolare». Dall’istruttoria, è emerso invece come Reweb avesse attivato un sistema di inoltro automatico di tutti i messaggi in “arrivo” sull’account del proprio direttore commerciale, accedendo così, in assenza di base giuridica, alla corrispondenza elettronica. Neppure la seconda delle eccezioni sollevate da Reweb, ossia quella relativa all’interesse a tutelare i propri diritti in sede giudiziaria, è stata reputata idonea a giustificare l’accesso della medesima all’account aziendale. In merito, l’autorità ha sottolineato che l’esercizio del diritto di difesa non possa comportare un «aprioristico annullamento del diritto alla protezione dei dati personali», soprattutto se riguarda la corrispondenza, assistita da garanzie di segretezza di rango costituzionale. A ben vedere dalla motivazione non traspaiono le ragioni per cui, nella propria operazione di bilanciamento tra interessi contrapposti (entrambi di rango costituzionale), il Garante non abbia ritenuto sufficienti le difese formulate da Reweb a proposto della sussistenza di un contenzioso in atto. Un profilo che, soprattutto alla luce di precedenti decisioni in materia[13], avrebbe invece meritato di essere esplicitato e che, pur non potendo essere qui compiutamente affrontato per ragioni di spazio, ci si può attendere solleverà non pochi dubbi in casi analoghi.      [1] Per circa un mese dalla cessazione del rapporto. [2] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (GDPR). L’art. 5 par. 1, alle lett. a) e c), enuncia i principi per cui il trattamento dei dati personali deve essere “lecito, corretto e trasparente”, nonché “adeguato, pertinente e limitato a quanto necessario rispetto alle finalità per cui i dati sono trattati”. L’art. 6 specifica il principio di “liceità”, stabilendo che il trattamento dei dati è lecito quando si fonda sul «consenso dell’interessato» (lett. a), quando «necessario per l’esecuzione di un contratto di cui l’interessato è parte» (lett. b) o per «adempiere ad un obbligo legale» (lett. c) nonché, tra l’altro, a norma della lett. f), se «necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali». L’art. 17 prevede il c.d. “diritto all’oblio”, per cui venuto meno il fondamento giuridico alla base del trattamento (il consenso e/o la necessità), l’interessato ha diritto ad ottenere la cancellazione dei dati personali che lo riguardano, con la sola eccezione delle ipotesi di cui al par. 3, tra cui rientra, alla lett. e), «l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria».  Il principio di trasparenza, infine, è alla base degli artt. 12 e 13 del Regolamento, che descrivono gli obblighi di informazione. [3] Adottate il 1° marzo 2007 e pubblicate in Gazzetta Ufficiale n. 58 del 10 marzo 2007. [4] Cfr. par. 5.2. lett. b), e 6.1. delle citate “Linee guida”. [5] L’art. 4 GDPR definisce “dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile. [6] Ove è stato altresì significativamente affermato che neppure la legittima facoltà del datore di lavoro di operare controlli sull’esecuzione dell’attività lavorativa (peraltro con i noti limiti di cui all’art. 4 St. Lav.), può valere ad ammettere un accesso indiscriminato da parte del medesimo all’account di posta aziendale, se riferito individualmente al lavoratore. [7] V. ordinanza ingiunzione n. 127 del 7 aprile 2022, Caso Palumbo Superyacht Ancona S.r.l., nel quale i medesimi princìpi sono stati applicati ad un rapporto di agenzia. [8] V. sempre ordinanza ingiunzione n. 127 del 7 aprile 2022, cit., nella parte in cui richiama la Raccomandazione CM/Rec (2015) 5 del Comitato dei Ministri agli Stati Membri sul trattamento di dati personali nel contesto occupazionale, spec. punto 3, per cui «il trattamento dei dati effettuato mediante tecnologie informatiche nell’ambito di un qualsivoglia rapporto di lavoro deve conformarsi al rispetto dei diritti e delle libertà fondamentali nonché della dignità dell’interessato, a tutela di lavoratori e di terzi». [9] Così “come la produzione di copie del regolamento predetto consegnato e sottoscritto” da altri colleghi. V. pag. 12 del provvedimento. [10] V. provvedimento n. 551 del 27 novembre 2014, nel caso Iras S.r.l.; provvedimento n. 136 del 5 marzo 2015; provvedimento n. 53 del 1° febbraio 2018, nel caso Sicily by Car S.p.A. [11] nonché un “motivo legittimo cogente” ex art. 21 par. 1 GDPR, prevalente sui diritti dell’interessato. [12] art. 5, par. 1, lett. c) del Regolamento. [13] Al riguardo, il Garante ha da tempo chiarito che «il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti» (v. il provvedimento nel caso Sicily by Car S.p.A., cit.).

La messa alla prova non può applicarsi agli enti: l´istituto è strutturalmente e funzionalmente incompatibile con la responsabilità dell´ente da reato

(Cass. Pen., SS.UU., 6 aprile 2023, n. 14840) Stralcio a cura di Ilaria Romano

Il Whistleblower che segnala illeciti altrui commessi in concorso con il segnalante non può invocare nessuna esimente. Il pentimento può incidere solo sulla proporzionalità della sanzione

(Cass. Pen., Sez. Lavoro, 31 marzo 2023, ord. n. 400) Stralcio a cura di Fabio Coppola 
nota di Annunziata Staffieri  Con l’ordinanza in epigrafe i  Giudici di Piazza Cavour tornano a misurarsi con l’istituto del “whistleblowing”, un prezioso strumento di compliance “proattiva”, volto a rendere il  luogo di lavoro più sicuro ed eticamente attivo, consentendo la scoperta tempestiva di frodi e criticità prima che diano luogo a gravi responsabilità. Trattasi, in particolare, di  un mezzo di prevenzione degli illeciti tramite il  quale i dipendenti oppure terze parti (quali ad esempio i fornitori o i clienti),  di un’organizzazione, pubblica o privata, possono segnalare, in modo riservato e protetto, eventuali illeciti riscontrati durante la propria attività lavorativa. Il termine whistleblowing deriva da “whistleblower” che in inglese significa “soffiatore di fischietto”; una metafora del ruolo di arbitro o di poliziotto che richiama l’attenzione su attività non consentite, affinché cessino. Il “whistleblower” è quindi la  persona che lavora in un’azienda, pubblica o privata, che decide di segnalare un illecito, una frode o un pericolo che ha rilevato durante la sua attività lavorativa o nel corso della sua esperienza presso l’azienda (nel caso di soggetto esterno alla stessa). In particolare il whistleblowing è la pratica per segnalare violazioni di leggi o regolamenti, reati e casi di corruzione o frode, oltre a situazioni di pericolo per la salute e  la sicurezza pubblica. Oltre alla prevenzione degli illeciti, il whistleblowing ha un’ulteriore importante finalità: quella di coinvolgere e sensibilizzare i cittadini nella lotta all’illegalità, responsabilizzandoli e richiedendo la loro partecipazione attiva per migliorare la società. Nel nostro ordinamento giuridico il Whistleblowing è un istituto che ha una genesi molto remota. Non si tratta, di  una novità introdotta dal decreto legislativo n. 24/2023; infatti il whistleblowing  è stato introdotto in Italia dieci anni fa con la legge “Severino”, ovvero la legge n. 90/2012, ma solo per le pubbliche amministrazioni, con l’obiettivo di inserire la pratica delle segnalazioni negli organismi pubblici al fine di tutelare i segnalanti dipendenti pubblici. L’obbligo, previsto per le pubbliche amministrazioni, di dotarsi di un sistema di segnalazione della corruzione è stato esteso, con la legge 30 novembre 2017, n. 179, al settore privato anche se  non a tutte le aziende ma solo a quelle che volontariamente si erano dotate dei modelli organizzativi, alla luce della legge 231/2001. Con il decreto legislativo 10 marzo 2023, n. 24, che ha recepito l’ultima direttiva europea sul tema,  è stata realizzata una vera e propria rivoluzione in materia. Con tale provvedimento normativo è stato infatti esteso sia l’ambito soggettivo che quello  oggettivo della norma. Per quanto riguarda l’ambito soggettivo, con la   recente normativa è stato esteso il concetto di “whistleblower”  intendendosi per tali  non solo i dipendenti subordinati  dell’azienda, ma anche gli ex dipendenti, i consulenti, i volontari, i tirocinanti,  i fornitori, i clienti, gli azionisti e chiunque sia entrato in contatto, anche temporaneamente, con l’azienda, potendo pertanto può beneficiare delle tutele previste dal d.lgs. n. 24/2023. Inoltre, la disciplina è stata estesa ad altre tre categorie di aziende private: -alle aziende che negli ultimi 12 mesi hanno avuto una media di oltre  249 dipendenti ( in tal caso  l’obbligo è stato esteso a partire dal 15 luglio scorso); -alle aziende con almeno 50 dipendenti, in media, nell’ultimo anno (che hanno l’obbligo di adeguarsi entro il prossimo 17 dicembre 2023); alle aziende che a prescindere dal limite dimensionale, operano in alcuni settori particolari (le quali dovranno adeguarsi entro il prossimo 17 dicembre 2023). Ma vi è di più. Con il decreto legislativo n. 24/2023 è stato, altresì, esteso l’ambito oggettivo della normativa; infatti adesso rientrano tra le casistiche di segnalazione: gli illeciti amministrativi, contabili, civili o penali; le condotte illecite, rilevanti ai sensi del decreto legislativo n. 231/2001; gli illeciti, che rientrano nell’ambito di applicazione degli atti dell’Unione Europea o nazionali, inerenti ai seguenti settori: appalti pubblici, servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo, sicurezza e conformità dei prodotti,  sicurezza dei trasporti. Ma cosa devono fare, allora,  i datori di lavoro? I datori di lavoro, sia pubblici che privati, debbono predisporre procedure e canali di comunicazione utili a favorire le segnalazioni interne all’azienda, garantendo l’anonimato e la riservatezza dell’autore e dei documenti prodotti. I canali di segnalazione possono prevedere l’utilizzo di forme scritte, digitali o  anche conversazioni dirette con il segnalante. La gestione del canale di segnalazione può essere affidata: a una persona o a un ufficio interno autonomo dedicato e con personale specificatamente formato; a un soggetto esterno. Questi soggetti devono, poi: a)rilasciare alla persona segnalante avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione; b)mantenere interlocuzioni con la persona segnalante e richiedere a quest’ultima, se necessario, integrazioni; c)dare diligente seguito alle segnalazioni ricevute, con riscontro al segnalante entro tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione. Inoltre, devono essere messe a disposizione di tutti i dipendenti informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne o esterne. Le informazioni vanno esposte e rese facilmente visibili nei luoghi di lavoro, nonché rese accessibili alle persone che, pur non frequentando i luoghi di lavoro, intrattengano un rapporto giuridico con l’azienda e, infine, rese pubbliche  nel sito internet aziendale. Il decreto legislativo n.24/2023 vieta, all’art. 17, eventuali comportamenti ritorsivi, diretti o indiretti,  verso chi segnala le irregolarità, quali ad esempio: - il licenziamento, -la sospensione disciplinare; -il trasferimento; -il cambio di mansioni, - le modifiche dell’orario delle mansioni; - molestie e/o discriminazioni . Diversamente, eventuali comportamenti ritorsivi saranno puniti  con sanzioni piuttosto aspre, comprese tra i 10.000 e i 50.000 euro.   Al riguardo è, tuttavia,  opportuno chiarire che tale la normativa sul whistleblowing  sebbene sia volta a tutelare  il  segnalante da eventuali sanzioni disciplinari che potrebbero essergli inflitte o da reazioni ritorsive, non costituisce, tuttavia,  una scriminante per gli autonomi illeciti che egli abbia commesso, da solo o in concorso con altri. E’ quanto stabilito dai Giudici di Piazza Cavour  con l’ordinanza n.400 del 31 marzo 2023 con la quale il Sommo Collegio ha respinto il ricorso promosso da una infermiera  sanzionata  per aver svolto attività lavorativa in assenza di autorizzazione. Questi i fatti di causa: una struttura sanitaria pubblica aveva avviato un procedimento disciplinare  nei confronti di una infermiera per aver svolto attività non autorizzata presso un ente privato, per circa, 8 anni, percependo un compenso complessivo di circa 28.000 euro. All’esito del procedimento disegnato dall’art. 7 della legge n.300/70, dopo un’attenta istruttoria, la dipendente veniva sospesa dal lavoro per quattro mesi. Tale sanzione veniva impugnata dalla dipendente innanzi al giudice del lavoro invocando le tutele previste dall’art. 54 bis del Dlgs n.165/2001 recante disciplina del cd whistleblowing, poiché aveva denunciato il medesimo comportamento tenuto da altri suoi colleghi. Tale ricorso, sia in primo che in secondo grado, veniva rigettato dai giudici di merito in quanto la norma invocata dalla lavoratrice non poteva essere considerato una esimente rispetto agli illeciti commessi. In considerazione di ciò, la lavoratrice soccombente decideva di presentare ricorso in Cassazione, la quale con l’ordinanza in commento, respingendo il ricorso presentato dalla infermiera, ha rimarcato che la tutela prevista dall’art. 54 del dlgs n. 165/2001 non costituisce uno scudo generalizzato rispetto agli illeciti commessi dal segnalante, da solo o in concorso con altri. L’eventuale “pentimento” rileva solo relativamente alla proporzionalità della sanzione senza, tuttavia,  costituire un’esimente.

Il diniego di iscrizione nella c.d. white list produce gli stessi effetti dell´interdittiva antimafia

(Cass. Pen., Sez. II, 19 gennaio 2023, n. 2156) Stralcio a cura di Ilaria Romano

Infortuni sul lavoro: la portata liberatoria della delega rispetto ai soggetti deleganti cambia a seconda che si tratti di delega di funzioni o delega gestoria


(Cass. Pen., Sez. IV, 27 febbraio 2023, n. 8476) Stralcio a cura di Fabio Coppola 

L´adozione del MOG non basta per l´ottenimento del controllo giudiziario se manca la prognosi favorevole circa l´assenza di condizionamenti mafiosi dell´impresa

(Cass. Pen., Sez. II, 16 marzo 2023, n. 11326) Stralcio a cura di Lorenzo Litterio

La revisione della sentenza avente ad oggetto la responsabilità dell´ente da reato per contrasto di giudicato con l´assoluzione della persona fisica può fondarsi solo sull´incompatibilità tra fatti storici e non anche sulla mancata individuazione dell'autore del reato

(Cass. Pen., Sez. IV, 10 marzo 2023, n. 10143) Stralcio a cura di Lorenzo Litterio
nota di Raffaele Costanzo Sommario: 1. Introduzione – 2.  Fatto e  Ricorso – 3. Motivi e decisione – 4. Conclusioni   Introduzione. La decisione in commento[1] si occupa del perimetro, della cognizione e della portata del giudizio di revisione, in particolare quando ha ad oggetto una sentenza di applicazione della sanzione su richiesta delle parti che interessa l’ente e la successiva sentenza di assoluzione delle persone fisiche imputate del reato-presupposto. La commissione di un reato-presupposto da parte di un soggetto strutturalmente e funzionalmente collegato – anche solo di fatto – all’organizzazione di un ente è presupposto non esclusivo per l’attribuzione alla persona giuridica della responsabilità amministrativa derivante da reato[2]. La parziale sovrapposizione tra l’accertamento della responsabilità della persona fisica e quello della persona giuridica dà nondimeno luogo ad una riunione tra procedimenti, sicché la legge dispone la trattazione unitaria e consentanea sia del processo penale che vede coinvolti gli individui, sia del procedimento di accertamento dell’illecito amministrativo che riguarda l’ente. La celebrazione del c.d. simultaneus processus trova in questo caso espressa previsione nell’art. 38, comma 1, d. lgs. n. 231/01[3]. La prassi applicativa, tuttavia, restituisce un quadro dello stato dell’arte parzialmente diverso. Poiché la persona giuridica e quella fisica sono portatori di interessi solo di rado sovrapponibili, sovente le loro strade si separano[4]: se, da una parte, il giudizio generalmente prosegue nelle forme ordinarie per l’imputato, dall’altra, invece, spesso l’ente accede ad un procedimento speciale, quale può essere proprio il patteggiamento. Ne consegue che il giudice dispone la separazione dei due procedimenti, ai sensi dell’art. 38, comma 2, lett. b), ult. parte, d. lgs. n. 231/01, ciascuno dei quali si conclude con la propria attestazione di irrevocabilità delle decisioni. E’ proprio in siffatta situazione che può annidarsi l’insidia rappresentata da due pronunce con statuizioni antitetiche (una di assoluzione e l’altra di condanna), dunque bisognose di ricondurre ad unità e coerenza i rispettivi giudicati. La pronuncia di specie, infatti, offre proprio un contributo chiarificatore sui presupposti di applicazione dell’istituto della revisione anche per l’ente, al fine di superare il c.d. contrasto di giudicato. Fatto e ricorso. Nel caso in esame, era occorso un incidente sul lavoro in uno degli stabilimenti dell’ente: la caduta di un portone scorrevole, non correttamente assicurato alle guide, cagionava delle lesioni gravi ad uno dei dipendenti. Ne scaturiva sia il procedimento penale in cui erano imputati il delegato alla sicurezza dal datore di lavoro ed il custode dello stabilimento, per il reato p. e p. dall’art. 590, comma 3, c.p., sia quello di accertamento della responsabilità dell’ente, per l’illecito amministrativo di cui all’art. 25-septies, comma 3, d. lgs. n. 231/01. Nel corso dell’udienza preliminare, il P.M. prestava il proprio consenso alla proposta di applicazione della sanzione su richiesta delle parti avanzata dall’ente, che veniva immediatamente trasfusa in sentenza; decisione che, poco dopo, sarebbe divenuta irrevocabile. Gli imputati, invece, all’esito del successivo giudizio di primo grado erano entrambi assolti dal reato loro ascritto, con la formula <<perché il fatto non sussiste>>. Non impugnata, anche tale statuizione diveniva irrevocabile. A seguito di ciò, ai sensi dell’art. 630, comma 1, lett. a), c.p.p., la difesa dell’ente avanzava alla corte d’appello territorialmente competente richiesta di revisione della sentenza di condanna emessa a proprio carico, per il superamento del contrasto tra giudicati. La Corte d’Appello, con apposita ordinanza, dichiarava inammissibile il ricorso, ritenendo insussistenti i presupposti per l’apertura del processo di revisione. Avverso tale ordinanza, il difensore dell’ente proponeva ricorso per cassazione. Nel ricorso, in particolare, lamentava la non corretta decisione assunta dalla corte adita, giacché l’utilizzo della formula assolutoria <<perché il fatto non sussiste>> presupponeva l’inesistenza del fatto storico posto alla base della condanna dell’ente, da cui ne derivava contrasto tra giudicati con la sentenza di assoluzione emessa in favore degli imputati. Seppur in via del tutto incidentale, infatti, nella sentenza di patteggiamento era stata accertata la sussistenza del reato-presupposto della responsabilità dell’ente; affermazione in contrasto con la successiva assoluzione delle persone fisiche. In punto di diritto, a sostegno delle proprie doglianze – dopo aver ritenuto impertinente l’orientamento sviluppato dalla giurisprudenza di legittimità in tema di revisione per contrasto di giudicato, inerente le sole persone fisiche – veniva richiamato il principio espresso da altro giudice di merito[5], secondo cui è ammissibile la richiesta di revisione della condanna dell’ente quando è intervenuta una pronuncia irrevocabile di assoluzione nei confronti delle persone fisiche che esclude la sussistenza del reato presupposto. Tanto premesso, entriamo nel merito della decisione assunta dalla Suprema Corte di Cassazione. Motivazione e decisione. La S.C., ritenendo corretta la decisione assunta dalla corte d’appello territoriale, ha dichiarato inammissibile il ricorso proposto, attraverso un ragionamento che si snoda essenzialmente in quattro passaggi. In primo luogo, en passant, la Corte si è interrogata sul se la revisione possa essere esperita dall’ente. A tale quesito può darsi risposta positiva sulla scorta di due indici, uno letterale ed uno sistematico. Ad un primo livello, l’art. 73 d. lgs. n. 231/01 estende all’ente la disciplina contenuta nel Libro IX, Titolo IV, del codice di procedura di penale, di cui agli artt. 629-642, specificamente dedicata al giudizio di revisione. Ad un secondo ed ultimo livello, l’art. 35 d. lgs. n. 231/01 consente di estendere all’ente la disciplina dell’imputato e a fortiori quella dei mezzi di impugnazione ad esso consentiti.  In secondo luogo, ci si è domandati se la revisione possa operare anche nei confronti delle sentenze di applicazione della pena su richiesta delle parti. Anche a tale quesito si è data risposta affermativa. L’art. 629 c.p.p., così come è stato modificato per effetto dell’art. 3, comma 1, l. 12 giugno 2003, n. 134, ha infatti esteso il perimetro del giudizio di revisione anche nei confronti delle sentenze rese ai sensi dell’art. 444, comma 2, c.p.p. Chiarito il perimetro, il cuore del reasoning della Corte ruota tutt’intorno alla cognizione del giudice della revisione per contrasto di giudicato, ossia il significato da attribuire alla previsione di cui all’art. 630, comma 1, lett. a), c.p.p. Sul punto, richiamando le indicazioni stabili provenienti dalla giurisprudenza di legittimità in tema di contrasto tra giudicati, è stato ribadito come la revisione possa essere esperita solo ed esclusivamente là dove i fatti posti a fondamento della precedente sentenza di condanna e quelli ricostruiti nella successiva pronuncia assolutoria siano tra loro incompatibili, in quanto una nega e l’altra afferma l’esistenza di un determinato fatto o viceversa, non anche quando vi è semplicemente un contrasto di principio tra i giudicati, dato da una diversa valutazione dei fatti medesimi, o ancora da un ricorso a criteri diversi di valutazione di quegli stessi fatti[6]. Tali oscillazioni, purtroppo, rappresentano l’alea del giudizio. Una volta fissato il principio da applicare nel caso di specie, è stato necessario un raccordo col profilo fattuale della vicenda processuale. La Corte ha dovuto chiarire come, benché le persone fisiche fossero state assolte con formula ampiamente liberatoria, l’utilizzo di tale formula da parte del giudice di merito sia stata impropria: questo perché – come si legge dalla motivazione – si è escluso che gli imputati fossero titolari della relativa posizione di garanzia di protezione, ma non è stato posto in discussione l’accadimento dell’infortunio sul luogo di lavoro. In altri termini si è voluto sottolineare come sarebbe stato opportuno ricorrere ad altra formula assolutoria, in quanto il fatto si è verificato, anche se la sua responsabilità non è attribuibile a nessuno degli imputati. Alla luce delle considerazioni appena sviluppate, da ultimo, al fine di precisare ulteriormente il potenziale dell’istituto della revisione per il superamento del contrasto tra giudicati, l’assise ha richiamato anche il principio di autonomia della responsabilità della persona giuridica da quella della persona fisica. L’art. 8 d. lgs. n. 231/01, ai soli fini sanzionatori, tende a rimarcare in chiave sistematica i differenti presupposti e le differenti conseguenze della responsabilità dell’ente da quella dell’individuo: l’ente, infatti, non è esente da punizione quando l’autore del reato non è stato individuato. Nel caso che ci occupa, pertanto, poiché la formula assolutoria utilizzata non è coerente col corpo della motivazione, da cui è emerso che il fatto è stato accertato e non è contestato, anche se l’autore è allo stato ignoto, la Corte ha ritenuto non condivisibili le osservazioni difensive e le ha disattese. Detto altrimenti, vi è contrasto di giudicato solo in caso di negazione del fatto storico, non anche quando il suo autore sia ignoto[7]. Conclusioni. La pronuncia analizzata si presta a riflessioni che si dipanano lungo più direttrici[8]. Una prima riflessione, non può che ricadere sull’indirizzo della giurisprudenza di legittimità. In materia di responsabilità amministrativa degli enti derivante da reato, la giurisprudenza di legittimità si caratterizza per una rapida stabilizzazione dei suoi orientamenti interpretativi. Il principio di diritto espresso nella pronuncia in esame, infatti, ha ricevuto conferma in una decisione successiva scaturita da un caso analogo, ritenendosi anche qui che la revisione sia impugnazione esperibile solo dove vi siano un contrasto tra i fatti posti a fondamento delle rispettive decisioni, non anche là dove tale contrasto inerisca alla sola valutazione dei medesimi[9]. Un’altra considerazione muove dall’osservazione dell’andamento della giurisprudenza di merito sul punto. Non sono infatti mancate pronunce di corti d’appello territoriali in cui, a fronte dell’assoluzione della persona fisica, giudicata separatamente, con la formula <<perché il fatto non costituisce reato>>, la richiesta di revisione della condanna dell’ente sia stata accolta, in forza dell’asserita incompatibilità tra giudicati e senza scomodare il principio di autonomia delle rispettive responsabilità[10]. Ciò posto, dunque, non è del tutto peregrino affermare che la giurisprudenza di legittimità possa essere chiamata nuovamente a pronunciarsi sulla questione, magari sollecitata proprio da un’impugnazione proposta avverso una decisione non conforme a queste prime indicazioni, benché ad oggi non sembrano esserci avvisaglie di soluzioni esegetiche alternative. Un terzo ed ultimo ordine di riflessioni è imposto invece dall’osservazione della prassi applicativa. Con la progressiva diffusione della disciplina di cui al d. lgs. n. 231/01 è probabile che si verifichi un aumento di separazione delle posizioni processuali di enti e persone fisiche, rispetto alle quali potrà sorgere contrasto di giudicato. Ironia della sorte (e del processo), è solo all’esito dell’incontro-scontro delle contrapposte tesi caso per caso che potrà aversi risposta sui quesiti posti coi primi due ordini di considerazioni. Sullo sfondo, tuttavia, resterà sempre il medesimo punto di domanda a solleticare l’interprete: ossia se la revisione sia unicamente strumento di giustizia sostanziale oppure arnese utile anche a rimuovere contraddizioni logiche nei rapporti tra giudicati. Se la risposta è quella che già conosciamo, allora sarà necessario cercare altrove un motivo di incompatibilità tra giudicati, magari esplorando più profondamente i cardini della responsabilità dell’ente.   [1] Corte Cass., Sez. Pen. IV, sent. n. 10143/2023. [2] Affinché possa essere attribuita all’ente la responsabilità per l’illecito amministrativo derivante da reato, è necessario: a) che sia stato commesso uno dei reati del c.d. “catalogo 231”, ossia una delle fattispecie richiamate dagli artt. da 24 a 25-duodevicies d. lgs. n. 231/01, anche se commessi in forma tentata (art. 26 decr. cit.); b) che tale fatto sia stato commesso da un soggetto strutturalmente e funzionalmente connesso con l’organizzazione dell’ente, vuoi perché in posizione apicale, vuoi perché in posizione di sottoposizione all’altrui vigilanza, anche se tali funzioni sono state esercitate in assenza di formale investitura; c) che la commissione del fatto fosse finalizzata al perseguimento di un interesse dell’ente o al conseguimento di un vantaggio; d) che all’ente sia imputabile un difetto organizzativo, consistente nella mancata adozione e/o attuazione delle cautele idonee a prevenire il compimento di fatti analoghi a quello verificatosi nel caso di specie. Tale modello si rinviene nella parte generale del decreto e, più precisamente, nella disciplina di cui agli artt. 5-8 d. lgs. n. 231/01. [3] La riunione tra i due procedimenti è stata espressamente prevista dal legislatore in quanto, siccome la responsabilità della persona fisica è anche elemento costitutivo della responsabilità amministrativa dell’ente, si è quantomeno in un’ipotesi di collegamento probatorio, secondo quanto previsto dall’art. 371, comma 2, lett. b), ult. parte, c.p.p. [4] Nella concreta dinamica processuale, persona fisica e persona giuridica sono portatrici quasi sempre di interessi differenti, che si riflettono su una differente modulazione della strategia processuale: l’ente, ad esempio, data la sostanziale imprescrittibilità dell’illecito amministrativo, non può inserirsi in un’azione processuale meramente dilatoria; ancora, sfruttando gli ampi margini di negoziabilità che gli consente l’art. 63 decr. cit., può addivenire alla negoziazione di una sanzione applicata su richiesta delle parti che escluda in tutto o in parte le sanzioni interdittive o che incida sul profitto confiscabile, in quanto quest’ultima è sempre sanzione amministrativa e, pertanto, deve rientrare espressamente nell’oggetto dell’accordo. Ancora: quando non ricorrono i presupposti del patteggiamento, si può ricorrere al giudizio abbreviato, al fine di attenuare le conseguenze sanzionatorie derivanti da un’eventuale condanna, ancor più se si pensa al nuovo art. 442, comma 2-bis, c.p.p. In ogni caso, uscire prima dal processo attenua le conseguenze reputazionali, alleggerisce il carico del dibattimento e consente comunque di attendere la decisione sulle contestazioni mosse alle persone fisiche, in modo da poter valutare gli estremi della richiesta di revisione. [5] Corte App. Brescia, sent. n. 3507/2013. [6] In tema di responsabilità ex d. lgs. n. 231/01, tale principio di diritto è stato ribadito anche da una pronuncia successiva: v., Corte Cass., Sez. Pen. III, sent. n. 43813/2023. [7] Dalla disamina del caso di specie è stato estratto il seguente principio di diritto:<<In caso di revisione della sentenza avente ad oggetto la responsabilità dell’ente ai sensi del d. lgs. n. 231/01 per contrasto di giudicato - art. 630, comma 1, lett. a), cod. proc. pen. - ove in separato giudizio si sia pervenuti all’assoluzione della persona fisica per il reato presupposto, è sempre necessario verificare se la ricorrenza del fatto illecito sia stata accertata, discendendo la inconciliabilità del giudicato solo dalla negazione del fatto storico e non anche dalla mancata individuazione della persona fisica del suo autore. Ciò in quanto, ai sensi dell’art. 8 d. lgs. n. 231/01, la responsabilità dell’ente sussiste anche quando l’autore del reato non è stato identificato>>. Così, Corte Cass., Sez. Pen. IV, sent. n. 10143/2023, p. 6. [8] Per altro commento in dottrina, si veda: Trashaj, M.,  L’ente patteggia ma le persone fisiche vengono assolte:la Cassazione esclude la revisione, Corporate Crime & Compliance Hub, 2023, al seguente URL: https://www.compliancehub.it/2023/03/30/lente-patteggia-ma-le-persone-fisiche-vengono-assolte-la-cassazione-esclude-la-revisione [9] V., in questo senso, Corte Cass., Sez. Pen. III, sent. n. 43813/2023, che così si è espressa:<<Costituisce principio consolidato che il contrasto di giudicati di cui all’art. 630, comma 1, lett. a), c.p.p., che legittima la revisione, attiene ai fatti storici presi in considerazione per la ricostruzione del fatto-reato e non alla valutazione dei fatti né all’interpretazione delle norme processuali in relazione all’utilizzabilità di una determinata fonte di prova>>. [10] Uno stralcio della pronuncia cui si riferisce è riportato in corpo alla nota: Arena, M., Patteggiamento dell’ente e assoluzione del legale rappresentante, Filodiritto, 2022, al seguente indirizzo URL: https://www.filodiritto.com/patteggiamento-dellente-e-assoluzione-del-legale-rappresentante

Diffusione di notizie segrete e violazione della libertà di espressione

(CEDU, 14 febbraio 2023, ricorso n. 21884/18, Caso Halet c. Lussemburgo) Stralcio a cura di Giovanni de Bernardo 
nota di Mariarita Cupersito    La Grande Camera della Corte Europea per i diritti dell'uomo ha stabilito con la sentenza Halet contro Lussemburgo, ricorso 21884/2018, depositata il 14 febbraio 2023, il principio che estende la tutela riconosciuta dall'art. 10 della Convenzione europea dei diritti dell'uomo al whistleblower (segnalatore di illeciti) che diffonde informazioni fiscali di cui è in possesso in ragione dell’attività lavorativa svolta, motivando tale estensione con la scelta di favorire l’interesse pubblico su notizie di carattere generale rispetto agli obblighi di riservatezza. La pronuncia scaturisce da un ricorso presentato alla CEDU ai sensi dell'art. 34 della Convenzione per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali da un cittadino francese, che all’epoca dei fatti lavorava per una società che fornisce servizi di consulenza fiscale, revisione contabile e gestione aziendale, avverso la condanna penale subita a seguito di divulgazione a un giornalista di documenti fiscali relativi ad alcuni clienti e soggetti a segreto professionale. I giudici nazionali hanno escluso la qualificazione del ricorrente quale whistleblower in considerazione del danno spropositato causato al datore di lavoro con la divulgazione di documenti riservati che ha colpito in particolare la reputazione dell’azienda, con conseguente perdita di fiducia negli accordi di sicurezza interni da parte dei clienti, non adeguatamente controbilanciato dall’interesse pubblico alla diffusione di tali informazioni; in sede d’appello è stata inflitta una condanna al pagamento della somma di 1.000 euro, argomentando che i documenti divulgati dal ricorrente non fossero di interesse sufficiente per giustificarne l’assoluzione e tuttavia non  trascurando l’attenuante della “natura disinteressata” delle azioni del ricorrente, comminando una sanzione, poi confermata in Cassazione, la cui modesta entità non possa considerarsi idonea ad inibire l'esercizio della libertà dei dipendenti. Il ricorrente si è dunque rivolto ai giudici della CEDU sostenendo che tale condanna costituiva invece un’interferenza sproporzionata nell’ambito della sua libertà di espressione. La Corte ha innanzi tutto precisato che l’art. 10 della Convenzione, il quale tutela il diritto di ogni persona alla libertà di espressione inclusa la libertà di opinione e di ricevere o comunicare informazioni o idee senza che vi possa essere ingerenza da parte delle autorità pubbliche, si estende alla sfera professionale anche nei casi in cui il rapporto tra datore di lavoro e lavoratore è disciplinato dal diritto privato. La Corte osserva come i giudici nazionali abbiano preso in considerazione esclusivamente il pregiudizio arrecato al datore di lavoro; considerata, invece, l’importanza del dibattito pubblico sulle pratiche fiscali delle società multinazionali sia a livello nazionale che europeo, a cui le informazioni diffuse dal ricorrente avevano dato un importante contributo, Strasburgo ha ritenuto che l’interesse pubblico alla divulgazione di tali informazioni prevalesse sugli effetti dannosi derivati, tra cui la violazione del segreto professionale, il furto di dati e il pregiudizio agli interessi privati dei clienti del datore di lavoro. “Quanto all’importanza, sia a livello nazionale che europeo, del pubblico dibattito sulle pratiche fiscali delle multinazionali al quale le informazioni divulgate dal richiedente hanno dato un contributo essenziale, La Corte ritiene che vi sia un interesse pubblico alla divulgazione di tali informazioni che supera tutti gli effetti dannosi”, si legge nella pronuncia. I giudici di Strasburgo precisano che, in alcuni casi, l’interesse del pubblico verso alcune informazioni può prevalere anche su un dovere di riservatezza imposto dalla legge. In tali circostanze, permettere l’accesso del pubblico ai documenti ufficiali, inclusi i dati fiscali, è stata ritenuta un’attività orientata a garantire la disponibilità di informazioni così da consentire un confronto su tematiche di interesse pubblico. Potendo considerare sia la lotta all’evasione che l’obiettivo dell’equità fiscale come questioni di interesse pubblico, il whistleblower che diffonde informazioni fiscali di cui sia in possesso per il lavoro da lui svolto beneficia della protezione della Convenzione europea dei diritti dell’uomo anche nel caso in cui consegni a un giornalista documenti su cui era tenuto al segreto professionale. L’interesse pubblico su notizie di portata generale, come quelle relative a pratiche fiscali delle società multinazionali, deve infatti considerarsi prevalente sugli obblighi di confidenzialità. Dopo aver ponderato i vari interessi in gioco e tenendo conto della natura, della gravità e dell’effetto dissuasivo della condanna penale del ricorrente, i Giudici hanno ritenuto che tale condanna integri effettivamente una violazione dell’articolo 10 della Convenzione e costituisca un’ingerenza “non necessaria in una società democratica” da parte dei giudici lussemburghesi nell’esercizio del diritto del ricorrente alla libertà di espressione. Scopo del whistleblowing, conclude la Corte, “non è solo quello di scoprire e attirare l’attenzione su informazioni di interesse pubblico, ma anche di provocare un cambiamento nella situazione a cui tali informazioni si riferiscono, se del caso, assicurando un’azione correttiva da parte delle autorità pubbliche competenti o dei privati interessati, come le imprese”.