Autore: Avv. Eleonora Verdelli

Da giorni ormai si sente dire che la Corte di Cassazione ha sancito che non si possono più vendere i derivati della canapa sativa.
Ebbene si.. è vero. Lo ha reso noto il Servizio Novità della Corte Suprema di Cassazione con l’informazione provvisoria n. 15 del 30 maggio 2019. 
In particolare, le Sezioni Unite hanno stabilito che «la commercializzazione di cannabis sativa L. e, in particolare, di foglie, inflorescenze, olio, resina, ottenuti dalla coltivazione della predetta varietà di canapa, non rientra nell’ambito di applicazione della legge n. 242 del 2016, che qualifica come lecita unicamente l’attività di coltivazione di canapa delle varietà iscritte nel catalogo comune delle specie di piante agricole, ai sensi dell’art. 17 della direttiva 2002/53/CE del Consiglio, del 13 giugno 2002 e che elenca tassativamente i derivati dalla predetta coltivazione che possono essere commercializzati; pertanto, integrano il reato di cui all’art. 73, commi 1 e 4, dpr 309/1990, le condotte di cessione, vendita e, in genere, commercializzazione al pubblico, a qualsiasi titolo, dei prodotti derivati dalla cannabis sativa L, salvo che tali prodotti siano in concreto privi di efficacia drogante».
Ad oggi, non è dato sapere quale sia il ragionamento logico-giuridico seguito dal Supremo Consesso per giungere a tale conclusione. Lo sapremo quando verranno pubblicate le motivazioni della sentenza che tutti gli operatori del diritto – e non solo – stanno attendendo e che noi di Firenze Legale provvederemo a commentare subito dopo.
Quello che, per il momento, possiamo fare, in attesa di leggere le motivazioni, è tentare di capire quale fosse il contrasto giurisprudenziale in materia di vendita di canapa sativa e quali fossero le argomentazioni poste a sostegno dell’uno e dell’altro orientamento.
Andiamo per ordine.
Un primo indirizzo ermeneutico, che adotta un’interpretazione più letterale della norma, ritiene che la L. 242/2016 legittimi soltanto l’attività di coltivazione della canapa per le finalità espressamente indicate nell’art. 1, comma 3, attività tra le quali non figura la commercializzazione e/o cessione al pubblico dei derivati della pianta coltivata.
Da ciò conseguirebbe, a parere di tale indirizzo, l’inclusione delle attività di detenzione, cessione o commercializzazione al dettaglio dei prodotti della canapa sativa nell’alveo del D.P.R. 309/1990 (c.d. Testo Unico in materia di stupefacenti) a prescindere dal quantitativo di THC presente nel prodotto (fatta eccezione, chiaramente, per quei prodotti che siano totalmente privi di efficacia drogante e, dunque, con THC inferiore allo 0,2%).
Secondo un diverso orientamento, più estensivo, il legislatore del 2016 non avrebbe ricompreso la commercializzazione tra le attività e le finalità ammesse, in quanto tale attività sarebbe il risultato scontato ed implicito nella stessa coltivazione.
Invero, tale indirizzo parte dal presupposto che la L. 242/2016 mira a promuovere e sviluppare la “filiera agroindustriale della canapa” e non cita le attività successive alla coltivazione semplicemente perché non vi è nulla da disciplinare a riguardo.
Se, infatti, la coltivazione di canapa con THC inferiore a 0,6% è legale ed ammessa non si comprende per quale motivo non dovrebbe essere legale ed ammessa la commercializzazione del prodotto di quella stessa coltivazione.
Peraltro, continua tale orientamento, è evidente come il legislatore, individuando la soglia di THC consentito nello 0,6%, abbia voluto individuare un punto di equilibrio tra l’esigenza di tutela della salute e dell’ordine pubblico e la tutela dell’iniziativa economica libera.
L’ordinanza di rimessione alle Sezioni Unite non ha preso posizione in favore né dell’uno, né dell’altro indirizzo, limitandosi a sottolineare gli aspetti salienti di entrambi gli orientamenti e lasciando, quindi, alle Sezioni Unite l’arduo compito di chiarire se fosse legittima o meno la commercializzazione dei derivati della canapa sativa.
Vedremo come le Sezioni Unite intenderanno motivare tale netta decisione. Se, in altri termini, faranno proprio il ragionamento riconducibile al primo dei due orientamenti contrapposti o se, viceversa, aggiungeranno qualcosa a tale ragionamento, individuando – magari – alcune eccezioni alla regola generale.

GDPR 2016/679: ESISTE UN ADEGUAMENTO “SEMPLIFICATO” PER GLI ENTI DEL TERZO SETTORE?

Come ormai noto alla stragrande maggioranza degli operatori economici del nostro Paese, il 25 maggio 2018 è entrato in vigore il Regolamento Europeo 2016/679 (GDPR).
Ciò che non è altrettanto noto è che questo regolamento si applica tanto alle realtà che perseguono un profitto (enti, società e/o professionisti in genere), quanto agli Enti del Terzo Settore o associazioni no profit, che dir si voglia.
Anche agli Enti del Terzo Settore, infatti, al pari di ogni altro soggetto che tratta dati personali, è imposto di adottare tutta una serie di misure di sicurezza a livello documentale, a livello informatico e a livello organizzativo.
Anzi, a ben vedere, sono proprio gli Enti del Terzo Settore che devono porre un’attenzione ancora maggiore all’”aspetto privacy” visto che, nella maggior parte dei casi, trattano dati relativi alla salute dei propri utenti e spesso lavorano con enti o amministrazioni pubbliche che, verosimilmente, molto presto, inseriranno l’adeguamento alla normativa privacy come requisito per partecipare a questo o quel bando pubblico.
Ma vediamo, più nel dettaglio, quali sono le misure “minime” che un’Associazione di Volontariato deve adottare per essere GDPR compliant.

L’attività di mappatura e di individuazione delle misure di sicurezza adottate
La prima attività dal quale ogni ente – profit o non profit – dovrebbe partire è una mappatura dei trattamenti effettuati e delle modalità con cui vengono trattati.
Partendo da tale aspetto, anche le associazioni potranno, da un lato, rendersi conto dei trattamenti effettuati grazie alla redazione del Registro dei Trattamenti, e, dall’altro, individuare le misure di sicurezza in essere e quelle che invece dovrebbero essere adottate.
Si badi bene, le misure di sicurezza e le prassi operative interessano tanto la gestione del dato a livello cartaceo/documentale, quanto e soprattutto il trattamento del dato a livello informatico.
Per tale motivo sarà necessario “mappare” anche il trattamento effettuato con mezzi informatici mediante il c.d. GDPR Assessment, verificando quali misure di sicurezza sono già state adottate dall’associazione per evitare la perdita e/o il trattamento illecito del dato (ad es. presenza di screensaver con password nei pc, presenza di credenziali di accesso al server, presenza di antivirus, salvataggio in cloud dei dati, criptazione dei dati ecc.) e quali, viceversa, dovranno essere adottate con l’aiuto, nella maggior parte dei casi, di un tecnico informatico.
La predisposizione delle informative
A livello documentale, una volta individuate le categorie di trattamento effettuate, non si potrà prescindere dal predisporre un adeguato sistema di informative con cui l’Associazione dovrà comunicare i propri associati, utenti, dipendenti, volontari e fornitori o collaboratori esterni del tipo di trattamento che l’Associazione effettua, delle finalità perseguite, delle modalità con cui viene posto in essere il trattamento, del periodo di conservazione dei dati (si badi bene, i dati personali raccolti non possono essere tenuti per sempre!), oltre che dei diritti che ogni interessato può vantare nei confronti della stessa associazione.
 La redazione delle Autorizzazioni al trattamento e delle Nomine a Responsabile
Ci sarà, poi, da predisporre le autorizzazioni al trattamento da consegnare ai dipendenti e/o volontari che materialmente effettuano le attività di trattamento e da individuare e nominare Responsabili Esterni tutti quei soggetti, appunto, esterni all’associazione (ad es. il commercialista, il consulente del lavoro, il tecnico informatico, il fornitore di server o gestionali ecc.) che trattano dati personali per conto dell’ente del terzo settore.
L’adozione di nuove procedure aziendali
Il nuovo sistema privacy impone, infine, l’adozione di una serie di cautele a livello operativo.
Sarà quindi indispensabile anche per l’ente no profit adottare delle nuove procedure maggiormente rispettose della riservatezza del dato trattato.
Senza procedere ad un esame delle singole procedure adottabili, anche mediante l’adozione di un Modello Organizzativo di Gestione che le ricomprenda, c.d. MOG Privacy – procedure che inevitabilmente non potranno e non dovranno essere standardizzate, ma adattate alla singola realtà dell’ente – preme spendere alcuni brevi cenni sulla procedura di Data Breach, che, più di altri aspetti, ha generato il panico tra gli operatori nazionali.

Per Data Breach si intende la violazione delle misure di sicurezza adottate che comporta la perdita, la distruzione, la modifica, la divulgazione o l’accesso non autorizzati di dati personali di cui è Titolare l’ente. In casi del genere, ai sensi dell’art. 33 del Regolamento Europeo 2016/679, l’associazione ha l’obbligo di informare, entro 72 ore dalla scoperta della violazione, l’Autorità di controllo, informandola del tipo di violazione, delle categorie di dati violati, del numero approssimativo di interessati coinvolti, dei dati di contatto del Responsabile della Protezione dei Dati o di altro soggetto incaricato dall’Associazione, delle probabili conseguenze che deriveranno dalla violazione e delle misure di sicurezza adottate per porre rimedio alla violazione medesima e per attenuarne le conseguenze negative.

Ad ogni modo, a prescindere dai singoli documenti da predisporre o dalle singole procedure e/o misure di sicurezza da adottare, è fondamentale comprendere ed attuare il c.d. principio dell’accountability che consiste nell’informazione e nella conseguente responsabilizzazione del Titolare del trattamento, vale a dire, per quanto qui maggiormente interessa, dell’Ente del Terzo Settore.
Ogni Titolare, poi, avrà una sorta di potere discrezionale per individuare le misure documentali, operative e informatiche da adottare sulla base dei propri mezzi a disposizione.
Ciò che è veramente fondamentale è quantomeno iniziare il processo di adeguamento alla normativa privacy, così da poter dimostrare in caso di controlli – che, pare, abbiano già avuto inizio – che l’ente si sta adeguando ed evitare l’applicazione delle sanzioni previste.