I delitti privacy (trattamento illecito dei dati, falsità nelle dichiarazioni e notificazioni al Garante, inosservanza dei provvedimenti del Garante) entrano nel perimetro del d. lgs. 231/2001, la normativa in base alla quale una società è responsabile per i reati commessi nel suo interesse o a suo vantaggio da persone che rivestono posizioni apicali o dai loro sottoposti. A stabilirlo è il D. L. 93/2013, emanato lo scorso 17 agosto.
L’ente non risponde se prova che l’azienda ha adottato ed attuato – prima della commissione del fatto – un modello organizzativo idoneo a prevenire il reato. Pertanto, l’impresa (sulla falsariga di quanto previsto a suo tempo per il “DPS”) dovrà analizzare i rischi, ossia le attività nel cui ambito possano essere commessi i tre delitti privacy e porre conseguentemente in essere misure “idonee” a prevenirli. L’idoneità del modello è una caratteristica basilare per far sì che lo stesso abbia potere “esimente” dall’eventuale capo di imputazione ex 231.
Perché le prescrizioni del modello organizzativo abbiano forza vincolante occorre inoltre prevedere un sistema sanzionatorio in caso di commissione dell’illecito ed è necessario che l’Organismo di vigilanza sia dotato di poteri autonomi di controllo.