Pubblicato il 2016-06-07
Il reato di Autoriciclaggio
Le innovazioni di rilievo nella gestione del sistema di Corporate Governance dopo la novella del 2015. Prime ipotesi di applicazioneLa legge n. 186/2014, approvata lo scorso dicembre per disciplinare il meccanismo della cd. voluntary disclosure, diretto a favorire il rientro dei capitali detenuti all'estero, ha introdotto un nuovo reato nell’ordinamento italiano, il cosiddetto Autoriciclaggio.
Il reato (nuovo art. 648-ter.1, c.p.) punisce colui che impiega, sostituisce, trasferisce in attività economiche, finanziarie, imprenditoriali o speculative il denaro, i beni o le altre utilità derivanti dal delitto non colposo (di seguito, anche “reato-base”) che lo stesso ha commesso o concorso a commettere. Ciò a condizione che la condotta sia idonea a ostacolare concretamente l’identificazione della provenienza illecita della provvista.
Fermo restando che si prevede la non punibilità delle condotte di mero utilizzo o godimento personale della provvista illecita, in linea con l’assunto per cui tali ipotesi costituiscono la naturale prosecuzione del reato-base (il c.d. post factum non punibile).
La nuova disciplina incontra l’interesse dell’Organismo di Vigilanza di Kinetika Sardegna poiché è stato inserito tra i reati presupposto della responsabilità amministrativa degli enti ai sensi del Decreto legislativo n. 231/2001 (art. 25-octies).
Le nuove previsioni sono oggetto a tutt’oggi di un vivace dibattito dottrinale, in assenza di applicazioni giurisprudenziali significative, dal momento che la portata applicativa delle stesse appare a molti piuttosto vasta, consentendo di introdurre de facto molte fattispecie finora escluse dalla qualifica di reato presupposto.
A titolo di esempio possiamo indicare che, sulla scorta di alcuni orientamenti della giurisprudenza in tema di riciclaggio, se il reato tributario dell'infedele dichiarazione è compiuto dall'amministratore nell'interesse della società, il risparmio di imposta si confonde nel patrimonio sociale e quindi si configura in via automatica il reimpiego in attività economica. Pertanto, se questa impostazione dovesse essere confermata anche in materia di autoriciclaggio, l’amministratore autore della dichiarazione infedele potrebbe essere chiamato a rispondere anche per l’autoriciclaggio, ad esempio, per aver pagato i dipendenti con la provvista illecita, anche laddove non si sia attivato per far perdere la traccia del collegamento tra il delitto-base e l’utilità.
Si auspica che non si incorra in imputazioni automatiche per autoriciclaggio e che si dia seguito alle intenzioni del legislatore, richiamate anche da una parte della dottrina, interpretando con rigore l’art. 648-ter.1 e, quindi, valorizzando l’elemento più caratterizzante delle condotte di riciclaggio, vale a dire l’idoneità a nascondere la natura illecita dei proventi. Questo approccio consentirebbe, infatti, di escludere la configurazione in concreto dell’autoriciclaggio nei casi in cui non è possibile identificare e isolare dal patrimonio del contribuente il provento illecito oggetto delle successive operazioni di reimpiego, sostituzione o trasferimento.
 | Inserito da: Avv. Pietro Domenichini |
Pubblicato il 2017-09-10
Privacy - GDPR
Il General Data Protection Regulation (GDPR), ovvero il Regolamento UE n. 679/2016 sulla protezione dei dati personali (o Regolamento sulla privacy), è entrato in vigore Il 24 maggio 2016, per divenire pienamente applicabile dal 25 maggio 2018, abrogando la Direttiva 95/46/CE.Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i Titolari del trattamento dei dati (anche con sede legale fuori dall'Unione Europea) che trattano dati di residenti nell'unione europea ad osservare ed adempiere agli obblighi previsti. Gli obiettivi principali della Commissione europea nel GDPR sono quelli di restituire ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo che riguarda gli affari internazionali unificando e rendendo omogenea la normativa privacy dentro l'UE.[1] Dal 25 maggio 2018, il GDPR andrà a sostituire la direttiva sulla protezione dei dati (ufficialmente Direttiva 95/46/EC)[2] istituita nel 1995, abrogherà le norme del Codice per la protezione dei dati personali (dlgs.n. 196/2003) che risulteranno con esso incompatibili. Ciò potrà generare confusione per alcuni ma si attende una normativa italiana "di raccordo" che metta ordine e inserisca le norme del Codice privacy non incompatibili all'interno dell'impianto normativo del Regolamento. Con Direttiva UE 2016/680, in aggiunta a questo nuovo regolamento sarà applicata una disciplina speciale e in parte derogatrice per i trattamenti dei dati da parte dell'Autorità Giudiziaria e di tutte le forze di polizia; in ragione della caratteristica dell'istituto della direttiva europea tali trattamenti dei dati (Autorita' Giudiziaria e forze di polizia) continueranno ad essere differenti da Stato a Stato ed oggetto di una legislazione separata nazionale
Alcune novità del GDPR impongono un’attenta pianificazione fin da subito, potendo comportare modifiche organizzative significative e investimenti di natura tecnologica. Inoltre il GDPR rovescia completamente la prospettiva della disciplina di riferimento, istituendo un quadro normativo tutto incentrato sui doveri e la responsabilizzazione del Titolare del trattamento (principio di “accountability”). La nuova disciplina impone a tale soggetto di garantire il rispetto dei principi in essa contenuti, ma anche di essere in grado di comprovarlo, adottando una serie di strumenti che lo stesso GDPR indica.
In primis, il registro delle attività di trattamento, che deve contenere una serie di informazioni, tra cui le finalità del trattamento, la descrizione delle categorie di interessati e di dati personali che vengono trattati, oltre che l’indicazione delle misure di sicurezza adottate. La tenuta del registro costituisce un adempimento di fondamentale importanza nell’ottica del principio di accountability, in quanto permette di monitorare in maniera approfondita le operazioni di trattamento all’interno dell'organizzazione. Esso costituisce dunque sia uno strumento operativo di lavoro con cui censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un sano “ciclo di gestione” dei dati personali, sia un vero e proprio documento di carattere probatorio mediante il quale il Titolare del trattamento può dimostrare di aver adempiuto alle prescrizioni del Regolamento.
A tal fine, può risultare utile indicare nel registro una serie di elementi non espressamente imposti dall’art. 30 del GDPR, ma comunque importanti per tener traccia delle operazioni di trattamento effettuate. Tra questi, ad esempio, la base giuridica del trattamento (ricompresa tra gli elementi che devono essere contenuti nell’informativa da consegnare all’interessato), o gli applicativi e/o database utilizzati, la cui elencazione può risultare necessaria per mappare con esattezza le misure di sicurezza implementate/da implementare, oltre che per condurre efficacemente la valutazione dei rischi.
Quest’ultima assume carattere imprescindibile per poter stabilire quali misure tecniche e organizzative adottare in azienda per garantire un livello di sicurezza appropriato al rischio stesso. La nuova normativa, infatti, abbandona il concetto di “misure minime” del Codice Privacy, sostituendolo con quello di “misure adeguate”. Tale maggiore discrezionalità, tuttavia, è accompagnata, come sopra precisato, dall’onere in capo al Titolare del trattamento di poter dimostrare le ragioni che hanno portato a una determinata decisione.
Titolare del trattamento che potrà nominare un Data Protection Officer (DPO), ovvero una figura specialistica e altamente qualificata che supporti l’applicazione degli obblighi della nuova normativa, e funga da punto di contatto con le Autorità di controllo e gli interessati. La designazione del DPO è obbligatoria solo in alcuni casi (trattamenti effettuati su larga scala, posti in essere da un’Autorità pubblica/organismo pubblico, o che ricomprendono categorie particolari di dati personali). Tuttavia costituisce una buona prassi anche per le aziende che sarebbero esenti da tale adempimento.
In sostanza, l’ampio spettro di novità introdotte dal GDPR impone di definire un piano di adeguamento alla nuova normativa, coinvolgendo le diverse funzioni aziendali coinvolte in operazioni di trattamento di dati personali. È fondamentale sfruttare appieno il periodo transitorio a disposizione, per garantire la conformità alle nuove disposizioni entro il 25 maggio 2018.
| | Inserito da: Avv. Pietro Domenichini |
Pubblicato il 2014-10-16
Una comparazione fra la normativa inglese anticorruzione, il Bribery Act del 2010, e quella italiana
Un argomento di sicuro interesse per le società italiane che aprono una sede in Regno Unito, o che acquisiscono una partecipazione o vengono partecipate: l'importanza del modello organizzativo si accresce, me viene reso di fatto possibile dalle similitudini con la normativa italiana.
La materia dei modelli organizzativi è regolata in Italia dal D.lgs. 231/2001, che ha innovato il diritto penale italiano introducendo la nuova forma della responsabilità penale per le persone giuridiche e per gli enti. Ciò ha scatenato un intenso dibattito in dottrina sulla qualificabilità penale della nuova forma di responsabilità.
Nei Paesi anglosassoni la questione della configurabilità di una responsabilità penale delle persone giuridiche è del tutto ininfluente. Quando il legislatore, nel 2002 in USA e nel 2010 in UK, ha introdotto sanzioni penali per gli enti, nessuno si è meravigliato. Ciò detto, vale la pena di notare che la legislazione italiana è stata veramente tempestiva e piuttosto azzeccata, dal momento che molti istituti del “sistema 231” si ritrovano nella legislazione anglosassone, e non solo.
Della Sarbanes-Oxley Act statunitense del 2002 abbiamo già parlato in numerose pubblicazioni di questo Istituto. Giova ora concentrarsi sulla legislazione inglese, che mostra alcuni interessanti punti di contatto con la struttura del modello organizzativo italiano.
SCARICA L'ARTICOLO COMPLETO
Documenti
1 - Prevenzione_dei_reati_d_impresa_in_UK.pdf
| | Inserito da: Avv. Pietro Domenichini |
Pubblicato il 2014-04-16
Istituto ISR pubblica un paper sul sistema Cloudgovernance
Il sistema Cloudgovernance di misurazione del rischio e prevenzione dei reati presupposto, diventa oggetto di un importante paper pubblicato sul International Journal on Auditing Technologies, e scritto a cura dei ricercatori del Dipartimento di Economia Aziendale dell'Università di Verona e di Istituto ISRDocumenti
1 - IJAUDIT103-0404.pdf
| | Inserito da: Avv. Pietro Domenichini |