Il D.l. 14 agosto 2013, n. 93, entrato il vigore lo scorso 17 agosto, è destinato ad avere un forte impatto sulle società commerciali e sulle associazioni private soggette alle disposizioni del D.lgs. 231/2001, per il significativo ampliamento del catalogo di reati presupposto della responsabilità amministrativa degli enti.
Nello specifico, l’art. 9, comma 2, D.l. 93/2013 ha integrato il disposto dell’art. 24-bis del D.lgs. 231/2001 con l’introduzione di tre ulteriori fattispecie penali idonee a far scattare la responsabilità amministrativa dell’ente: i) l’art. 640-ter, terzo comma, c.p.  (frode informatica commessa con sostituzione dell’identità digitale in danno di uno o più soggetti); ii) l’art. 55, comma 9, D.lgs. 231/2007 (indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento); iii) i delitti (ma non le contravvenzioni) in materia di violazione della privacy previsti dal D.lgs. 196/2003, i.e. gli artt. 167 (trattamento illecito di dati), 168 (falsità nelle dichiarazioni notificazioni al Garante), 170 (inosservanza dei provvedimenti del Garante).
A seguito delle modifiche apportate dal D.l. 93/2013, in attesa di conversione, l’art. 24-bis D.lgs. 231/2001 risulta così formulato: “In relazione alla commissione dei delitti di cui  agli  articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies e 640-ter, terzo comma, del codice  penale, nonché dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla Parte III, Titolo  III,  Capo II del decreto legislativo 30 giugno  2003,  n.  196,  si  applica all'ente la sanzione pecuniaria da cento a cinquecento quote”.

La commissione dei reati contemplati nella norma in esame comporta, oltre all’irrogazione della sanzione pecuniaria da cento a cinquecento quote (l'importo di una quota va da un minimo di 258 euro sino ad un massimo di 1549 euro), l’applicazione delle sanzioni interdittive previste dall'art. 9, comma 2, lettere a), b) ed e) del D.lgs. 231/2001 (interdizione dall'esercizio dell'attività, sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell'illecito, divieto di pubblicizzare beni o servizi).

Come evidenziato dalla Corte di Cassazione nella Relazione n. III/01/2013 del 22 agosto 2013, la configurazione della responsabilità da reato degli enti per l’illecito trattamento dei dati è senza dubbio la disposizione destinata ad assumere la maggiore rilevanza in sede applicativa, in quanto tale violazione è potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del D.lgs. 231/2001.
L’intervento legislativo è destinato a costituire un importante deterrente soprattutto rispetto agli abusi, tutt’altro che infrequenti, del trattamento di dati personali a fini di marketing (segnatamente, per le attività di profilazione e per l’invio di comunicazioni pubblicitarie) in assenza dei consensi prescritti e, per il caso di profilazione, della notificazione al Garante.

Al contempo, salvo improbabili emendamenti in fase di conversione del Decreto Legge, per imprese ed enti diventa imprescindibile l’aggiornamento dei propri modelli organizzativi al nuovo catalogo di reati al fine di prevenirne la commissione e, con essa, l’irrogazione delle sanzioni conseguenti.