La compliance al GDPR: costo o investimento? In una recente pubblicazione, la Commissione francese per la protezione dei dati (CNIL) ha esaminato l’impatto economico dell’adeguamento al GDPR su enti ed imprese. Dalla valutazione condotta sono emersi sia i benefici, in…

Mancata nomina di un responsabile: quali conseguenze e sanzioni? In seguito ad un reclamo per la pubblicazione di una graduatoria online da parte di un Comune, il Garante ha rilevato l’omessa regolamentazione dei ruoli privacy, in relazione alle funzioni affidate…

Come si realizza una DPIA su un sistema di Intelligenza Artificiale? La guida dell’ICO Lo scorso 19 giugno l’Information Commissioner's Office (“ICO”), Autorità Garante inglese per la protezione dei dati, ha pubblicato la decisione sul caso “My AI”, il chatbot…

Il Garante pubblica la relazione annuale. Cosa ci insegna il 2023? Spunti per il futuro    L’ultima relazione annuale del Garante per la protezione dei dati personali presenta delle peculiarità importanti. Oltre alla consueta sintesi dell’attività svolta dall’Autorità durante lo scorso…

Cosa inserire nelle istruzioni al personale? Fra accountability e best practices    L’articolo 29 del GDPR prevede l’obbligo, in capo ad enti ed imprese, di istruire tutti i soggetti che abbiano accesso a dati personali. In questo articolo abbiamo visto quali sono…

L’AI migliora l’efficienza del lavoro, ma è sempre necessaria una verifica    Secondo l'Osservatorio HR Innovation Practice del Politecnico di Milano, tre aziende su dieci utilizzano soluzioni di Intelligenza Artificiale (AI) per supportare i processi delle risorse umane. Queste soluzioni comprendono…

E-mail e metadati: le indicazioni definitive del Garante     Al termine di un iter oggetto di un’ampia discussione, il Garante per la protezione dei dati personali ha pubblicato il nuovo documento di indirizzo sui metadati. Seppure il provvedimento abbia…

Meta userà i tuoi dati per alimentare l’Intelligenza Artificiale: ti spieghiamo - step by step - come fare ad opporti Dal 26 giugno i dati personali di tutti gli utenti di Facebook e Instagram verranno utilizzati per addestrare i sistemi…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare…

Colpa d’organizzazione e responsabilità D.Lgs. 231

 
 
 

La recente sentenza 4210/2024 della Cassazione ribadisce un principio fondamentale riguardo alla responsabilità amministrativa delle società e degli enti: l’essenza colposa della responsabilità dell’ente per reati commessi nell’interesse o a vantaggio dell’ente stesso e la ‘colpa d’organizzazione’ come elemento costitutivo di tale responsabilità.

Secondo il Decreto Legislativo 231/2001, l’ente può essere ritenuto responsabile per determinati reati commessi dai suoi rappresentanti o dipendenti se non ha adottato e attuato efficacemente un Modello di Organizzazione e Gestione (MOG) idoneo a prevenire il tipo di reato verificatosi.

La sentenza chiarisce che la mancanza o l’inefficacia di tali modelli non costituisce di per sé un elemento che automaticamente porta alla responsabilità dell’ente. Piuttosto, queste circostanze possono indicare una colpa organizzativa, che deve essere specificamente dimostrata dall’accusa. In altre parole, l’onere della prova non si inverte automaticamente a causa dell’assenza di un MOG: è sempre l’accusa che deve dimostrare la colpa d’organizzazione dell’ente.

Nonostante la preferenza per l’adozione di un MOG conforme al D. Lgs. 231/2001, gli enti hanno la possibilità di presentare altre procedure che, anche se denominate diversamente, siano comprovatamente efficaci nel prevenire i reati specifici in questione. In questo contesto, la sentenza apre la porta a una valutazione più flessibile e pragmatica dell’effettiva capacità di un ente di prevenire reati, non legandola rigidamente alla presenza di un MOG formalmente riconosciuto, ma considerando l’efficacia reale delle misure adottate.

In conclusione, la sentenza rafforza l’importanza di un approccio proattivo e responsabile nella gestione della corporate governance, sottolineando l’importanza di sistemi interni efficaci, che non solo rispettino formalmente la legge, ma siano anche genuinamente orientati alla prevenzione dei reati. Ciò sottolinea la necessità per gli enti di investire continuamente nell’aggiornamento e nell’efficacia dei loro sistemi di controllo interno, non solo per evitare sanzioni, ma anche per promuovere un ambiente aziendale etico e responsabile.

In sintesi: sull’onere della prova che cambia in base a chi commette il reato:

  • Reato commesso da Apicale | la società deve provare di aver adottato ed efficacemente attuato il MOGC (cfr. art.6 comma 1 dlgs 231/01);
  • Reato commesso da Subordinato | il PM deve provare che la società non ha adottato ed efficacemente attuato il MOGC (cfr. art.7 comma 1 e 2 dlgs 231/01);
  • La colpa d’organizzazione – quale elemento costitutivo della responsabilità 231 – deve essere sempre dimostrata dal PM.
Follow us on
Our Gallery