Diritto penale societario
Codice privacy e trasferimento dati personali e societari tra Italia ed USA
In materia di privacy molti operatori del diritto hanno accolto con favore il Regolamento UE 679/2016 (che ha introdotto il General Data Protection Regulation - GDPR), vincolante a partire dal 25 maggio 2018 negli Stati membri dell’Unione, in quanto tendente ad estendere il proprio ambito di applicazione anche oltre i confini europei.
Cambiano pertanto gli scenari nel caso in cui un’Autorità Giudiziaria estera (es. Grand Jury), nel nostro caso statunitense, richiedesse ad un legale rappresentante di una società operante su scala internazionale, quindi sia negli USA che in Italia, di esibire documentazione sensibile (bancaria e societaria).
In generale la normativa sulla protezione dei dati personali è racchiusa nel D.lgs. 30 giugno 2003 numero 196 (meglio conosciuto come Codice della privacy), nel caso che ci occupa sono di particolare interesse gli artt. 43 (trasferimenti consentiti in Paesi terzi), 45 (trasferimenti vietati) e fattispecie residuale l’art. 162 (altre fattispecie), i quali in buona sostanza vietano il trasferimento di dati personali all’estero.
Ci sono però specifiche deroghe a tale divieto:
- Consenso dell’interessato;
- Quando il trasferimento sia necessario per l’esecuzione di obblighi contrattuali;
- Quando la trasmigrazione sia effettuata in accoglimento di una richiesta di accesso a documenti amministrativi.
Alla luce di quanto detto, è dunque plausibile dedurre che l’istanza avanzata da parte del Grand Jury, di produrre tutta la documentazione bancaria e societaria, potrà essere disattesa, dal momento che il rappresentante legale di una società, avrebbe bisogno del consenso dei "terzi", sempreché la stessa società non abbia predisposto contratti con clausole standard (ad es. Binding Corporate Rules, BCR), previste dalla decisione della Commissione Europea ai sensi dell’art. 24 co.4 della Direttiva 95/46/CE, le quali permettono il trasferimento dei dati personali in deroga ai principi generali prima esposti.
Gravi le conseguenze in caso di uso illecito dei dati tra cui:
a) responsabilità penale, (quale singolo) nella sanzione del pagamento di una somma da diecimila a centoventimila euro;
b) responsabilità amministrativa, (quale legale rappresentante) così come previsto dal D.lgs. 231/2001, disciplinante la responsabilità amministrativa delle società e degli Enti.
Cambiano pertanto gli scenari nel caso in cui un’Autorità Giudiziaria estera (es. Grand Jury), nel nostro caso statunitense, richiedesse ad un legale rappresentante di una società operante su scala internazionale, quindi sia negli USA che in Italia, di esibire documentazione sensibile (bancaria e societaria).
In generale la normativa sulla protezione dei dati personali è racchiusa nel D.lgs. 30 giugno 2003 numero 196 (meglio conosciuto come Codice della privacy), nel caso che ci occupa sono di particolare interesse gli artt. 43 (trasferimenti consentiti in Paesi terzi), 45 (trasferimenti vietati) e fattispecie residuale l’art. 162 (altre fattispecie), i quali in buona sostanza vietano il trasferimento di dati personali all’estero.
Ci sono però specifiche deroghe a tale divieto:
- Consenso dell’interessato;
- Quando il trasferimento sia necessario per l’esecuzione di obblighi contrattuali;
- Quando la trasmigrazione sia effettuata in accoglimento di una richiesta di accesso a documenti amministrativi.
Alla luce di quanto detto, è dunque plausibile dedurre che l’istanza avanzata da parte del Grand Jury, di produrre tutta la documentazione bancaria e societaria, potrà essere disattesa, dal momento che il rappresentante legale di una società, avrebbe bisogno del consenso dei "terzi", sempreché la stessa società non abbia predisposto contratti con clausole standard (ad es. Binding Corporate Rules, BCR), previste dalla decisione della Commissione Europea ai sensi dell’art. 24 co.4 della Direttiva 95/46/CE, le quali permettono il trasferimento dei dati personali in deroga ai principi generali prima esposti.
Gravi le conseguenze in caso di uso illecito dei dati tra cui:
a) responsabilità penale, (quale singolo) nella sanzione del pagamento di una somma da diecimila a centoventimila euro;
b) responsabilità amministrativa, (quale legale rappresentante) così come previsto dal D.lgs. 231/2001, disciplinante la responsabilità amministrativa delle società e degli Enti.
Articolo del: