Digital forensics alla luce del GDPR

Il nuovo regolamento europeo in materia di privacy (n. 2016/679/CE), altresì indicato con l'acronimo "GDPR" è già argomento di una notevole quantità di convegni, articoli e manuali, tanto che il blog non aggiungerà altra letteratura sull'argomento.

Pare utile, tuttavia, fare un breve cenno alle disposizioni contenute all'art. 32 del Regolamento, in merito alle misure di sicurezza che il titolare (o il responsabile del trattamento) deve adottare.

L'elenco, non esaustivo, indica le seguenti misure:

• i dati personali devono esse "pseudonomizzati" e cifrati;
• la struttura tecnico-organizzativa dei sistemi e dei servizi di trattamento deve garantire il permanente mantenimento della riservatezza, dell’integrità, della disponibilità e della resilienza dei dati ivi gestiti;
• in caso di incidente fisico e/o tecnico, l'organizzazione aziendale deve garantire il ripristino tempestivo della disponibilità dei dati e del relativo accesso;
• introduzione di procedure operative in grado di testare, monitorare e valutare l'efficacia delle misure tecnico-organizzative sopra elencate.

Il sistema organizzativo indicato dal GDPR implica, quindi, la pianificazione di vere e proprie attività di risk assessment del tutto analoghe, come approccio teorico-pratico, alle procedure previste in tema di controlli interni, modelli organizzativi ex d.lgs. 231/01 e fraud risk management.

La domanda sorge spontanea. Assisteremo anche in materia di privacy alla diffusione di specifici servizi di consulenza, come successo con l'introduzione del "modello 231" e l'utilizzo dei metodi "risk based approch"?

E' molto probabile di sì!

A tal proposito si osservi come il GDPR definisce i gradienti del "data breach" (violazioni dei diritti personali) a seconda della gravità, della tipologia, del numero e dell'estensione delle varie violazioni, indicando i connessi obblighi di notifica e di segnalazione e i rimedi da adottare.
E' un approccio legislativo già visto e già abbondantemente applicato in altri ambiti in azienda; basti pensare alle "scale di rischio", classificate ricorrendo ai colori del semaforo.

E' piuttosto chiaro, infine, come le procedure di "digital forensics" possano contribuire efficacemente alle indagini informatiche finalizzate ad individuare i responsabili di possibili violazioni dei dati personali.

Anche in questo caso la tecnica esiste già, bisogna solo estenderne l'applicazione alla tutela dei dati personali.

Distrazione d’azienda, l'orientamento della Cassazione

Torniamo su un argomento già trattato dal blog relativo alla "distrazione d'azienda" al fine di indicare un breve elenco dei pronunciamenti della Corte di Cassazione sul tema.

In particolare per contrastare queste frodi, la Corte ha consolidato orientamenti ispirati al principio di “prevalenza della sostanza sulla forma”. Ciò al fine di superare il maggiore ostacolo al contrasto di queste frodi: il rispetto formale della legge che caratterizza molte distrazioni d’azienda. 

In particolare, secondo la Suprema Corte:

• “La circostanza che gli atti dispositivi seguano schemi formalmente legali secondo le norme civilistiche non è dunque sufficiente ad escluderne la rilevanza ai fini penali, se l'agente, mediante gli stessi, e ponendo in essere un'attività negoziale sostanzialmente fraudolenta, ha determinato uno squilibrio tra attività e passività capace di mettere in pericolo le ragioni dei creditori.” (Cass. pen. Sez. I, 15/04/2011, n. 18028).

• “Per distrazione deve intendersi non necessariamente la fisica estromissione dei beni, ma anche la mera insorgenza di obbligazioni foriere di perdita di ricchezza” (Cass. pen. Sez. V, 04/04/2003, n. 37565, Cass. pen. Sez. V, 05/06/2003, n. 36629).

• Sono considerate fraudolente tutte quelle operazioni volte a “distaccare dal patrimonio […] tutte o parte delle attività, in quanto tale depauperamento si risolve in un pregiudizio per i creditori.” ( Cass. pen., 26/11/1987).

• Costituisce reato la condotta diretta ad impedire che un bene dell’impresa sia utilizzato per il soddisfacimento dei diritti dei creditori dell’impresa vittima di frode. “Questa condotta si produce o può prodursi sia quando il bene sia venduto, sia quando venga anche temporaneamente ceduto e lo spostamento sia suscettibile di recare pregiudizio ai creditori” (Cass. pen. Sez. V, 19/09/1995, n. 10220).

• “La cessione in locazione di beni ad un corrispettivo modesto in relazione al valore dei medesimi sia enfatizzata dalla qualificazione nel loro complesso quale vero e proprio ramo d'azienda ovvero sussista cessione a titolo definitivo per un valore estremamente inferiore a quello venale in comune commercio.” (Cass. pen. Sez. V, 11/10/2011, n. 121).

• “L'operazione di scissione societaria assume rilevanza quale fatto di bancarotta fraudolenta per distrazione, ogni qualvolta si presenta come produttiva di effetti immediatamente e volutamente depauperativi del patrimonio societario ed in prospettiva pregiudizievole per i creditori nell'ipotesi in cui si addivenga ad una procedura concorsuale.” (Cass. pen. Sez. V, 10/04/2015, n. 20370).

• Vi è frode anche quando si è “in presenza di un'iniziativa economica in sé legittima, che si riferisca ad una impresa in stato pre-fallimentare, producendo riflessi negativi per i creditori”. In particolare, è considerata fraudolenta “la cessione di un ramo di azienda di un'impresa in stato fallimentare, effettuata per un prezzo corrispondente alla differenza algebrica tra attività e passività del ramo di azienda ma che, per la sua esiguità, rende priva la cedente della possibilità di proseguire utilmente l'attività, con conseguente sottrazione di ogni garanzia per il soddisfacimento dei diritti dei creditori non compresi nel trasferimento.” (Cass. pen. Sez. V, 01/04/2015, n. 24024).

• Sono considerati fraudolenti quegli gli atti di disposizione, privi di adeguata contropartita, dell'azienda o quantomeno dei fattori aziendali. In particolare, integra reato “l'intenzionale dispersione da parte dell'imprenditore dell'avviamento commerciale anche in assenza di alienazione od eterodestinazione dei beni aziendali”. (Cass. pen. Sez. V, 11/12/2012, n. 3817)