LA LEGGE, LA TECNOLOGIA E LA SICUREZZA DEI DATI E DEI SISTEMI: DALLA NORMATIVA SULLA PRIVACY AI

MODELLI ORGANIZZATIVI E DI CONTROLLO

Avv. Giorgio Spedicato

LA LEGGE, LA TECNOLOGIA E LA SICUREZZA DEI DATI E DEI SISTEMI: DALLA NORMATIVA SULLA PRIVACY AI

MODELLI ORGANIZZATIVI E DI CONTROLLO

Avv. Giorgio Spedicato

CHI SONO

CHI È MPS&P

CHI SONO

CHI È MPS&P

Managing Partner dello studio legale Monducci Perri Spedicato & Partners.Professore a contratto di Diritto della Proprietà intellettuale presso la Facoltà di Giurisprudenza dell’Università di Bologna (polo didattico di Ravenna). Dottore di ricerca in Informatica giuridica e diritto dell’informatica.

Lo Studio legale associato Monducci Perri Spedicato & Partners è una law boutique specializzata in proprietà intellettuale, diritto delle nuove tecnologie e diritto dell’innovazione con sede a Milano, Bologna e Imola. Affianca chi fa dell’innovazione il proprio lavoro e il proprio impegno quotidiani, supportandolo nell’attività day by day e assistendolo nelle operazioni più complesse.

Managing Partner dello studio legale Monducci Perri Spedicato & Partners.Professore a contratto di Diritto della Proprietà intellettuale presso la Facoltà di Giurisprudenza dell’Università di Bologna (polo didattico di Ravenna). Dottore di ricerca in Informatica giuridica e diritto dell’informatica.

Lo Studio legale associato Monducci Perri Spedicato & Partners è una law boutique specializzata in proprietà intellettuale, diritto delle nuove tecnologie e diritto dell’innovazione con sede a Milano, Bologna e Imola. Affianca chi fa dell’innovazione il proprio lavoro e il proprio impegno quotidiani, supportandolo nell’attività day by day e assistendolo nelle operazioni più complesse.

INDICEINDICE

Overview del D.Lgs. 231/2001I modelli di organizzazione e controlloLa redazione dei modelli di organizzazione e controlloI modelli di organizzazione e controllo dopo l’abrogazione del DPS Quali misure di sicurezza ora?I side effects dell’adozione di un modello organizzativo 231/01 e il rapporto con gli adempimenti privacy

Overview del D.Lgs. 231/2001I modelli di organizzazione e controlloLa redazione dei modelli di organizzazione e controlloI modelli di organizzazione e controllo dopo l’abrogazione del DPS Quali misure di sicurezza ora?I side effects dell’adozione di un modello organizzativo 231/01 e il rapporto con gli adempimenti privacy

IL SENSO DELL’EVOLUZIONE NORMATIVAIL SENSO DELL’EVOLUZIONE NORMATIVA

Prima del D.Lgs. 231/2001

Principio generale: societas delinquere non potest

Con l’introduzione del D.Lgs. 231/2001

Cambio di prospettiva: viene istituita la responsabilità amministrativa dell’ente per reati posti in essere da amministratori, dirigenti e/o dipendenti nell’interesse o a vantaggio dell’ente stesso

La 231/2001 nasce per prevenire e contrastare la c.d. “criminalità d’impresa”: Si ritiene che colpire il reale beneficiario del reato (l’ente) piuttosto che il singolo soggetto agente possa essere un efficace sistema preventivo e repressivo di alcune ipotesi delittuose

Prima del D.Lgs. 231/2001

Principio generale: societas delinquere non potest

Con l’introduzione del D.Lgs. 231/2001

Cambio di prospettiva: viene istituita la responsabilità amministrativa dell’ente per reati posti in essere da amministratori, dirigenti e/o dipendenti nell’interesse o a vantaggio dell’ente stesso

La 231/2001 nasce per prevenire e contrastare la c.d. “criminalità d’impresa”: Si ritiene che colpire il reale beneficiario del reato (l’ente) piuttosto che il singolo soggetto agente possa essere un efficace sistema preventivo e repressivo di alcune ipotesi delittuose

IL SENSO DELL’EVOLUZIONE NORMATIVAIL SENSO DELL’EVOLUZIONE NORMATIVA

Il fondamento della responsabilità in questione è basato sulla c.d. «colpa di organizzazione», giacché si puniscono, con sanzioni gravi, le società e gli enti che non hanno saputo scongiurare, nella propria organizzazione, significative ipotesi di reato

La responsabilità sorge sia per mancata o insufficiente dotazione ed attuazione di modelli organizzativi e gestionali efficienti, sia per difetto di controllo sul corretto operato di chi opera, a diverso titolo, a contatto con l’ente

Il fondamento della responsabilità in questione è basato sulla c.d. «colpa di organizzazione», giacché si puniscono, con sanzioni gravi, le società e gli enti che non hanno saputo scongiurare, nella propria organizzazione, significative ipotesi di reato

La responsabilità sorge sia per mancata o insufficiente dotazione ed attuazione di modelli organizzativi e gestionali efficienti, sia per difetto di controllo sul corretto operato di chi opera, a diverso titolo, a contatto con l’ente

AMBITO DI APPLICAZIONE SOGGETTIVOAMBITO DI APPLICAZIONE SOGGETTIVO

Enti forniti di personalità giuridica

Società e associazioni, anche prive di personalità giuridica…

…ivi incluse le imprese individuali (Cass. pen. n. 15657/2010)

Enti forniti di personalità giuridica

Società e associazioni, anche prive di personalità giuridica…

…ivi incluse le imprese individuali (Cass. pen. n. 15657/2010)

EFFETTIEFFETTI

Responsabilità dell’ente che si aggiunge a quella personale del soggetto agente

Effetti diretti sul patrimonio dell’ente e indiretti sugli interessi di tutti i soci

Responsabilità dell’ente che si aggiunge a quella personale del soggetto agente

Effetti diretti sul patrimonio dell’ente e indiretti sugli interessi di tutti i soci

MITIGAZIONEMITIGAZIONE

L’effetto dirompente della disciplina è mitigato da tre elementi:

i reati devono essere posti in essere da soggetti in posizione apicale o da soggetti in posizione subordinata;

i reati che possono far sorgere questo tipo di responsabilità sono tassativamente individuati dal testo di legge (anche se sono molto numerosi e il catalogo viene aggiornato spesso);

i reati devono essere commessi nell’interesse o a vantaggio della società o dell’ente.

L’effetto dirompente della disciplina è mitigato da tre elementi:

i reati devono essere posti in essere da soggetti in posizione apicale o da soggetti in posizione subordinata;

i reati che possono far sorgere questo tipo di responsabilità sono tassativamente individuati dal testo di legge (anche se sono molto numerosi e il catalogo viene aggiornato spesso);

i reati devono essere commessi nell’interesse o a vantaggio della società o dell’ente.

I SOGGETTII SOGGETTI

I soggetti idonei a commettere reati rilevanti ex D.Lgs. 231/01 possono essere divisi in due categorie:

Soggetti in posizione apicale

Soggetti in posizione subordinata

I soggetti idonei a commettere reati rilevanti ex D.Lgs. 231/01 possono essere divisi in due categorie:

Soggetti in posizione apicale

Soggetti in posizione subordinata

SOGGETTI IN POSIZIONE APICALESOGGETTI IN POSIZIONE APICALE

Per individuarli il Legislatore ha preferito utilizzare una formula basata su un criterio funzionale

Rientrano in questa categoria tutti quei soggetti che esprimono la volontà dell’ente nei rapporti esterni e nelle scelte di politica d’impresa attraverso un potere di gestione, controllo e vigilanza, come ad esempio: il legale rappresentante dell’ente gli amministratori i direttori generali ex art. 2396 c.c. i membri di comitati esecutivi e tutti i soggetti dotati di rappresentanza…

Per individuarli il Legislatore ha preferito utilizzare una formula basata su un criterio funzionale

Rientrano in questa categoria tutti quei soggetti che esprimono la volontà dell’ente nei rapporti esterni e nelle scelte di politica d’impresa attraverso un potere di gestione, controllo e vigilanza, come ad esempio: il legale rappresentante dell’ente gli amministratori i direttori generali ex art. 2396 c.c. i membri di comitati esecutivi e tutti i soggetti dotati di rappresentanza…

SOGGETTI IN POSIZIONE SUBORDINATASOGGETTI IN POSIZIONE SUBORDINATA

Non sono necessariamente solo i dipendenti dell’ente

Anche in questo caso viene adottato un criterio funzionale (ma non vengono considerati responsabili i soggetti che esercitano le funzioni di vigilanza e controllo bensì coloro che le subiscono)

Perchè sorga responsabilità commessa dai soggetti in posizione subordinata, è essenziale che questi operino sotto il diretto controllo del soggetto apicale (è sempre necessaria un’analisi concreta dell’organigramma aziendale e dei poteri conferiti ai singoli soggetti)

Non sono necessariamente solo i dipendenti dell’ente

Anche in questo caso viene adottato un criterio funzionale (ma non vengono considerati responsabili i soggetti che esercitano le funzioni di vigilanza e controllo bensì coloro che le subiscono)

Perchè sorga responsabilità commessa dai soggetti in posizione subordinata, è essenziale che questi operino sotto il diretto controllo del soggetto apicale (è sempre necessaria un’analisi concreta dell’organigramma aziendale e dei poteri conferiti ai singoli soggetti)

I REATI PRESUPPOSTOI REATI PRESUPPOSTO

Lungo elenco di reati cc.dd. presupposto (in costante aggiornamento)

Quelli che riguardano più specificamente il tema della sicurezza informatica e della tutela della proprietà intellettuale sono: frode informatica in danno dello Stato o di altro ente pubblico delitti informatici e trattamento illecito di dati fabbricazione e commercio di beni realizzati usurpando titoli di

proprietà industriale delitti in materia di diritto d’autore

Lungo elenco di reati cc.dd. presupposto (in costante aggiornamento)

Quelli che riguardano più specificamente il tema della sicurezza informatica e della tutela della proprietà intellettuale sono: frode informatica in danno dello Stato o di altro ente pubblico delitti informatici e trattamento illecito di dati fabbricazione e commercio di beni realizzati usurpando titoli di

proprietà industriale delitti in materia di diritto d’autore

«NELL’INTERESSE O A VANTAGGIO»«NELL’INTERESSE O A VANTAGGIO»

Perchè sorga questo tipo di responsabilità, è necessario che i reati individuati dalla norma siano commessi nell’interesse o a vantaggio della società, a nulla rilevando, ad esempio, l’ipotesi che il reato venga commesso a favore proprio o di terzi. Nel caso in cui, invece, vi sia una commistione tra interesse personale e aziendale, la responsabilità dell’ente non è esclusa nè ridotta

Interesse: è riferito alla condotta e sussiste quando l’autore del reato pone in essere un comportamento finalizzato a far ottenere all’ente un lucro o comunque un obiettivo desiderabile, sebbene non immediatamente lucrosoVantaggio: è riferito all’evento del reato e non presuppone il lucro ma può tradursi nell’acquisizione di una qualche utilità che consenta all’ente di conseguire una posizione di vantaggio

Perchè sorga questo tipo di responsabilità, è necessario che i reati individuati dalla norma siano commessi nell’interesse o a vantaggio della società, a nulla rilevando, ad esempio, l’ipotesi che il reato venga commesso a favore proprio o di terzi. Nel caso in cui, invece, vi sia una commistione tra interesse personale e aziendale, la responsabilità dell’ente non è esclusa nè ridotta

Interesse: è riferito alla condotta e sussiste quando l’autore del reato pone in essere un comportamento finalizzato a far ottenere all’ente un lucro o comunque un obiettivo desiderabile, sebbene non immediatamente lucrosoVantaggio: è riferito all’evento del reato e non presuppone il lucro ma può tradursi nell’acquisizione di una qualche utilità che consenta all’ente di conseguire una posizione di vantaggio

GRUPPI DI IMPRESEGRUPPI DI IMPRESE

Qualora una società controllante tragga un interesse o un vantaggio, anche mediato, dalla commissione di un reato previsto dal decreto da parte di una controllata, sarà sanzionabile per responsabilità amministrativa anche la controllante. (cfr. Cass. pen. Sez. V, 18 gennaio 2011, n. 24583)

Qualora una società controllante tragga un interesse o un vantaggio, anche mediato, dalla commissione di un reato previsto dal decreto da parte di una controllata, sarà sanzionabile per responsabilità amministrativa anche la controllante. (cfr. Cass. pen. Sez. V, 18 gennaio 2011, n. 24583)

SANZIONISANZIONI

Le sanzioni previste dal d.lgs. 231/01 sono di quattro tipi:sanzione pecuniariasanzioni interdittiveconfiscapubblicazione della sentenza

Le sanzioni previste dal d.lgs. 231/01 sono di quattro tipi:sanzione pecuniariasanzioni interdittiveconfiscapubblicazione della sentenza

SANZIONE PECUNIARIASANZIONE PECUNIARIA

È applicata per quote ed è compresa tra € 25.800 ed € 1.549.000

Nel determinare l’ammontare effettivo della sanzione pecuniaria, il giudice deve tenere conto dei seguenti criteri:

gravità del fatto grado di responsabilità dell’ente attività svolta dall’ente per eliminare o attenuare le conseguenze del

fatto e per prevenire la commissione di ulteriori illeciti condizioni economiche e patrimoniali dell’ente (allo scopo di assicurare

l’effettività della sanzione, che potrebbe essere resa vana dalle maggiori capacità patrimoniali ed economiche dell’ente medesimo)

È applicata per quote ed è compresa tra € 25.800 ed € 1.549.000

Nel determinare l’ammontare effettivo della sanzione pecuniaria, il giudice deve tenere conto dei seguenti criteri:

gravità del fatto grado di responsabilità dell’ente attività svolta dall’ente per eliminare o attenuare le conseguenze del

fatto e per prevenire la commissione di ulteriori illeciti condizioni economiche e patrimoniali dell’ente (allo scopo di assicurare

l’effettività della sanzione, che potrebbe essere resa vana dalle maggiori capacità patrimoniali ed economiche dell’ente medesimo)

SANZIONI INTERDITTIVESANZIONI INTERDITTIVE

Le sanzioni interdittive sono principalmente volte, per quanto possibile, ad eliminare le condizioni oggettive e soggettive che hanno agevolato i fattori criminogeni:

interdizione dall’esercizio dell’attività sospensione o revoca delle autorizzazioni, delle licenze o delle

concessioni funzionali alla commissione dell’illecito divieto di contrattare con la Pubblica Amministrazione, salvo che per

ottenere le prestazioni di un pubblico servizio esclusione da agevolazioni, finanziamenti, contributi o sussidi ed

eventuale revoca di quelli già concessi divieto di pubblicizzare beni o servizi

Le sanzioni interdittive sono principalmente volte, per quanto possibile, ad eliminare le condizioni oggettive e soggettive che hanno agevolato i fattori criminogeni:

interdizione dall’esercizio dell’attività sospensione o revoca delle autorizzazioni, delle licenze o delle

concessioni funzionali alla commissione dell’illecito divieto di contrattare con la Pubblica Amministrazione, salvo che per

ottenere le prestazioni di un pubblico servizio esclusione da agevolazioni, finanziamenti, contributi o sussidi ed

eventuale revoca di quelli già concessi divieto di pubblicizzare beni o servizi

CONFISCACONFISCA

Con la sentenza di condanna si dispone sempre la confisca del prezzo o del profitto del reato

Quando non sia possibile eseguire la confisca, questa potrà avere ad oggetto anche somme di denaro, beni o altre utilità di valore equivalente al profitto del reato

Con la sentenza di condanna si dispone sempre la confisca del prezzo o del profitto del reato

Quando non sia possibile eseguire la confisca, questa potrà avere ad oggetto anche somme di denaro, beni o altre utilità di valore equivalente al profitto del reato

ESONERO DELLA RESPONSABILITÀESONERO DELLA RESPONSABILITÀ

Il d.lgs. 231/2001 offre la possibilità agli enti di essere esonerati dalla responsabilità qualora i medesimi:

si dotino ed abbiano efficacemente adottato specifici modelli organizzativi e di gestione, idonei alla prevenzione di reati della medesima specie di quello commesso, di modo che il reato venga commesso aggirando fraudolentemente i predetti modelli di organizzazione e di gestione;

si dotino di un organismo di vigilanza ad hoc, dotato di autonomi poteri di iniziativa e controllo, che abbia effettivamente esercitato le sue funzioni ed i suoi compiti durante il momento di commissione del reato.

Il d.lgs. 231/2001 offre la possibilità agli enti di essere esonerati dalla responsabilità qualora i medesimi:

si dotino ed abbiano efficacemente adottato specifici modelli organizzativi e di gestione, idonei alla prevenzione di reati della medesima specie di quello commesso, di modo che il reato venga commesso aggirando fraudolentemente i predetti modelli di organizzazione e di gestione;

si dotino di un organismo di vigilanza ad hoc, dotato di autonomi poteri di iniziativa e controllo, che abbia effettivamente esercitato le sue funzioni ed i suoi compiti durante il momento di commissione del reato.

I MODELLI ORGANIZZATIVII MODELLI ORGANIZZATIVI

I modelli organizzativi devono:individuare le attività nell’ambito delle quali possono essere commessi i reatiprevedere protocolli in base ai quali effettuare la programmazione e l’attuazione delle decisioni relative ai reati da prevenireindividuare le modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reatiprevedere obblighi di informazione verso l’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli stessiintrodurre un sistema disciplinare tramite il quale sanzionare il mancato rispetto delle misure che sono indicate nel modello

I modelli organizzativi devono:individuare le attività nell’ambito delle quali possono essere commessi i reatiprevedere protocolli in base ai quali effettuare la programmazione e l’attuazione delle decisioni relative ai reati da prevenireindividuare le modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reatiprevedere obblighi di informazione verso l’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli stessiintrodurre un sistema disciplinare tramite il quale sanzionare il mancato rispetto delle misure che sono indicate nel modello

COME REDIGERE IL MODELLO ORGANIZZATIVOCOME REDIGERE IL MODELLO ORGANIZZATIVO

Le linee guida, in genere, suggeriscono di prevedere le seguenti fasi per la definizione del “modello 231”:

identificazione dei rischi

predisposizione e/o implementazione di un sistema di controllo idoneo a prevenire i rischi attraverso l’adozione di specifici protocolli

…in una parola: analisi del rischio e policy, analogamente a quanto occorreva fare per il DPS

Le linee guida, in genere, suggeriscono di prevedere le seguenti fasi per la definizione del “modello 231”:

identificazione dei rischi

predisposizione e/o implementazione di un sistema di controllo idoneo a prevenire i rischi attraverso l’adozione di specifici protocolli

…in una parola: analisi del rischio e policy, analogamente a quanto occorreva fare per il DPS

RISK ASSESSMENT: UN ESEMPIORISK ASSESSMENT: UN ESEMPIO

Individuazione delle aree di rischioElaborazione delle regole interne atte a disciplinare il controllo delle aree di rischio sopra identificate e a progettare misure volte a contrastare i rischi eventualmente emersiGestione delle risorse strutturata in modo da assicurare all’attività di individuazione e gestione del rischio gli stanziamenti necessariPredisposizione di un apposito sistema disciplinare che consenta di intervenire sanzionando chi trasgredisca alle prescrizioni elaborate in seguito al processo di controllo esaminato. Per rispondere a tale esigenza si adottano spesso dei protocolli interni che, oltre a un sistema di sanzioni coerente e adeguato, contengano la disciplina delle procedure da seguire nell’esecuzione di determinate attività aziendali

Individuazione delle aree di rischioElaborazione delle regole interne atte a disciplinare il controllo delle aree di rischio sopra identificate e a progettare misure volte a contrastare i rischi eventualmente emersiGestione delle risorse strutturata in modo da assicurare all’attività di individuazione e gestione del rischio gli stanziamenti necessariPredisposizione di un apposito sistema disciplinare che consenta di intervenire sanzionando chi trasgredisca alle prescrizioni elaborate in seguito al processo di controllo esaminato. Per rispondere a tale esigenza si adottano spesso dei protocolli interni che, oltre a un sistema di sanzioni coerente e adeguato, contengano la disciplina delle procedure da seguire nell’esecuzione di determinate attività aziendali

LE COMPONENTI PIÙ RILEVANTILE COMPONENTI PIÙ RILEVANTI

Redazione e sottoscrizione di un codice etico Formalizzazione del sistema organizzativo, soprattutto per quanto attiene

all’attribuzione di responsabilità, alle linee di dipendenza gerarchica e alla descrizione dei compiti, con specifica previsione di principi di controllo quali, ad esempio, la contrapposizione di funzioni

Procedure manuali e/o informatiche tali da regolamentare lo svolgimento delle attività prevedendo gli opportuni punti di controllo

Poteri autorizzativi e di firma assegnati in coerenza con le responsabilità organizzative e gestionali definite, prevedendo, quando richiesto, una puntuale indicazione delle soglie di approvazione delle spese

Redazione e sottoscrizione di un codice etico Formalizzazione del sistema organizzativo, soprattutto per quanto attiene

all’attribuzione di responsabilità, alle linee di dipendenza gerarchica e alla descrizione dei compiti, con specifica previsione di principi di controllo quali, ad esempio, la contrapposizione di funzioni

Procedure manuali e/o informatiche tali da regolamentare lo svolgimento delle attività prevedendo gli opportuni punti di controllo

Poteri autorizzativi e di firma assegnati in coerenza con le responsabilità organizzative e gestionali definite, prevedendo, quando richiesto, una puntuale indicazione delle soglie di approvazione delle spese

LE COMPONENTI PIÙ RILEVANTILE COMPONENTI PIÙ RILEVANTI

Sistemi di controllo e gestione in grado di fornire tempestiva segnalazione dell’esistenza e dell’insorgere di situazioni di criticità generale e/o particolare

Comunicazione al personale e sua formazione Previsione di un adeguato sistema sanzionatorio per la violazione delle

norme del codice etico e delle procedure previste dal Modello Autonomia, indipendenza, professionalità e continuità d’azione

dell’Organismo di Vigilanza

Sistemi di controllo e gestione in grado di fornire tempestiva segnalazione dell’esistenza e dell’insorgere di situazioni di criticità generale e/o particolare

Comunicazione al personale e sua formazione Previsione di un adeguato sistema sanzionatorio per la violazione delle

norme del codice etico e delle procedure previste dal Modello Autonomia, indipendenza, professionalità e continuità d’azione

dell’Organismo di Vigilanza

IL CODICE ETICOIL CODICE ETICO

È il documento nel quale si racchiudono gli impegni e le responsabilità etiche nella conduzione degli affari e delle attività imprenditoriali

La funzione principale consiste nell’uniformare i singoli comportamenti, così che il perseguimento degli interessi aziendali sia svolto in piena legalità

È il documento nel quale si racchiudono gli impegni e le responsabilità etiche nella conduzione degli affari e delle attività imprenditoriali

La funzione principale consiste nell’uniformare i singoli comportamenti, così che il perseguimento degli interessi aziendali sia svolto in piena legalità

ESEMPI DI REGOLE DEL CODICE ETICOESEMPI DI REGOLE DEL CODICE ETICO

Non è consentito offrire denaro o doni a dirigenti, funzionari o dipendenti della P.A. o a loro parenti, salvo che si tratti di doni di modico valore

Non è consentito accettare o offrire beni, servizi, prestazioni o favori per ottenere un miglior trattamento in relazione ai rapporti con la P.A.

Non è consentito assumere alle dipendenze della società ex impiegati della P.A. che abbiano partecipato personalmente ad operazioni poste in essere tra l’ente e la P.A.

Nel corso di una transazione con la P.A. non è consentito proporre offerte d’impiego e/o commerciali che possano avvantaggiare dipendenti della P.A. a titolo personale

Non è consentito offrire denaro o doni a dirigenti, funzionari o dipendenti della P.A. o a loro parenti, salvo che si tratti di doni di modico valore

Non è consentito accettare o offrire beni, servizi, prestazioni o favori per ottenere un miglior trattamento in relazione ai rapporti con la P.A.

Non è consentito assumere alle dipendenze della società ex impiegati della P.A. che abbiano partecipato personalmente ad operazioni poste in essere tra l’ente e la P.A.

Nel corso di una transazione con la P.A. non è consentito proporre offerte d’impiego e/o commerciali che possano avvantaggiare dipendenti della P.A. a titolo personale

L’ORGANISMO DI VIGILANZAL’ORGANISMO DI VIGILANZA

Le migliori applicazioni dei modelli 231 hanno evidenziato come, per garantire l’effettività dei controlli inseriti nei modelli organizzativi, sia necessaria la costituzione di un OdV

Tale entità può essere sia monosoggettiva che plurisoggettiva I parametri di cui tener conto sono le dimensioni e la complessità

dell’azienda Nelle piccole imprese, è consentito che l’OdV coincida con l’organo

dirigente, anche se la best practice in materia di audit prescrive sempre di servirsi di consulenti esterni

Le migliori applicazioni dei modelli 231 hanno evidenziato come, per garantire l’effettività dei controlli inseriti nei modelli organizzativi, sia necessaria la costituzione di un OdV

Tale entità può essere sia monosoggettiva che plurisoggettiva I parametri di cui tener conto sono le dimensioni e la complessità

dell’azienda Nelle piccole imprese, è consentito che l’OdV coincida con l’organo

dirigente, anche se la best practice in materia di audit prescrive sempre di servirsi di consulenti esterni

REQUISITI DELL’ODVREQUISITI DELL’ODV

Indipendenza (viene nominato dal CdA ma risponde al Collegio sindacale) Autonomia (è svincolato dal potere gerarchico del management e dispone

autonomamente le proprie attività) Professionalità (all’interno dell’OdV devono confluire diverse

professionalità) Continuità nell’azione (l’OdV non deve essere soggetto a continui o

repentini cambiamenti dei suoi componenti)

Indipendenza (viene nominato dal CdA ma risponde al Collegio sindacale) Autonomia (è svincolato dal potere gerarchico del management e dispone

autonomamente le proprie attività) Professionalità (all’interno dell’OdV devono confluire diverse

professionalità) Continuità nell’azione (l’OdV non deve essere soggetto a continui o

repentini cambiamenti dei suoi componenti)

POSSONO SVOLGERE LE FUNZIONI DELL’ODVPOSSONO SVOLGERE LE FUNZIONI DELL’ODV

Il Comitato per il controllo di gestione Il Collegio sindacale Il Consiglio di sorveglianza L’organismo di internal auditing Eventuali organismi creati ad hoc

Il Comitato per il controllo di gestione Il Collegio sindacale Il Consiglio di sorveglianza L’organismo di internal auditing Eventuali organismi creati ad hoc

COSA FA L’ODVCOSA FA L’ODV

Vigila sulla corretta osservanza del modello da parte di tutti i soggetti tenuti a rispettarlo

Valuta la concreta idoneità del modello a prevenire comportamenti illeciti Valuta la necessità di ricorrere ad un aggiornamento del modello Aggiorna, se necessario, il modello

Vigila sulla corretta osservanza del modello da parte di tutti i soggetti tenuti a rispettarlo

Valuta la concreta idoneità del modello a prevenire comportamenti illeciti Valuta la necessità di ricorrere ad un aggiornamento del modello Aggiorna, se necessario, il modello

ABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPSABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPS

L’art. 45 del d.lgs. 9 febbraio 2012 n. 5 convertito nella l. 4 aprile 2012 n. 35, ha abrogato le norme del d.lgs. 30 giugno 2003 n. 196 (c.d. Codice Privacy) nella parte in cui imponevano l’adozione del Documento Programmatico sulla Sicurezza (e, quindi, l’art. 34, comma 1, lett. g) e ha abrogato anche il comma 1-bis dello stesso articolo, che comprendeva i casi di semplificazione.

Pertanto, a partire dallo scorso anno, i Titolari del trattamento che prima erano obbligati non sono più tenuti ad aggiornare il Documento Programmatico sulla Sicurezza.

L’art. 45 del d.lgs. 9 febbraio 2012 n. 5 convertito nella l. 4 aprile 2012 n. 35, ha abrogato le norme del d.lgs. 30 giugno 2003 n. 196 (c.d. Codice Privacy) nella parte in cui imponevano l’adozione del Documento Programmatico sulla Sicurezza (e, quindi, l’art. 34, comma 1, lett. g) e ha abrogato anche il comma 1-bis dello stesso articolo, che comprendeva i casi di semplificazione.

Pertanto, a partire dallo scorso anno, i Titolari del trattamento che prima erano obbligati non sono più tenuti ad aggiornare il Documento Programmatico sulla Sicurezza.

ABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPSABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPS

Da più parti, peraltro, si caldeggia la conservazione dei DPS redatti in vigenza dell’obbligo, in quanto potrebbero ancora essere richiesti in fase di ispezione

In ogni caso, la semplificazione non è intervenuta sulle altre misure di sicurezza che, pertanto, continuano ad essere obbligatorie (e la cui omissione, pertanto, continua ad essere sanzionata penalmente ed amministrativamente)

Da più parti, peraltro, si caldeggia la conservazione dei DPS redatti in vigenza dell’obbligo, in quanto potrebbero ancora essere richiesti in fase di ispezione

In ogni caso, la semplificazione non è intervenuta sulle altre misure di sicurezza che, pertanto, continuano ad essere obbligatorie (e la cui omissione, pertanto, continua ad essere sanzionata penalmente ed amministrativamente)

GLI OBBLIGHI RELATIVI ALLE MISURE MINIMEGLI OBBLIGHI RELATIVI ALLE MISURE MINIME

Resta pertanto obbligo del Titolare e del Responsabile del trattamento, secondo le specifiche di cui all’Allegato B al Codice Privacy:

impostare un sistema di autenticazione informatica adottare procedure di gestione delle credenziali di autenticazione utilizzare un sistema di autorizzazione aggiornare periodicamente l’individuazione dell’ambito del trattamento

consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici

proteggere gli strumenti elettronici rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici

adottare procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi

Resta pertanto obbligo del Titolare e del Responsabile del trattamento, secondo le specifiche di cui all’Allegato B al Codice Privacy:

impostare un sistema di autenticazione informatica adottare procedure di gestione delle credenziali di autenticazione utilizzare un sistema di autorizzazione aggiornare periodicamente l’individuazione dell’ambito del trattamento

consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici

proteggere gli strumenti elettronici rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici

adottare procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi

MODELLI ORGANIZZATIVI E D.P.S.MODELLI ORGANIZZATIVI E D.P.S.

Alla luce dell’intervenuta abrogazione del DPS è altamente probabile che, in futuro, i controlli disposti dal Garante per la protezione dei dati personali saranno svolti in modo più capillare, anche accedendo, come consentito dal Codice Privacy, al sistema informatico del titolare del trattamento.

Venendo a mancare il DPS, pertanto, l’unica modalità attraverso la quale il Garante potrà verificare l’effettiva adozione delle misure minime, sarà quella di disporre controlli diretti, anche mediante specifico accesso ai sistemi, ai sensi dell’art. 159 del Codice Privacy.

Alla luce dell’intervenuta abrogazione del DPS è altamente probabile che, in futuro, i controlli disposti dal Garante per la protezione dei dati personali saranno svolti in modo più capillare, anche accedendo, come consentito dal Codice Privacy, al sistema informatico del titolare del trattamento.

Venendo a mancare il DPS, pertanto, l’unica modalità attraverso la quale il Garante potrà verificare l’effettiva adozione delle misure minime, sarà quella di disporre controlli diretti, anche mediante specifico accesso ai sistemi, ai sensi dell’art. 159 del Codice Privacy.

MODELLI ORGANIZZATIVI E D.P.S.MODELLI ORGANIZZATIVI E D.P.S.

Gli unici “pezzi di carta” contenenti (anche) prescrizioni in merito alla sicurezza informatica e alle policy presenti in azienda che rimangono tra gli ispettori e il sistema informatico, quindi, restano i modelli organizzativi ex D.Lgs. 231/01.

Uno sguardo al futuro: le proposte di riforma della normativa comunitaria in materia di privacy, richiamando i concetti di «privacy impact assessment», «privacy by design», «privacy by default», sembrano muoversi con le stesse logiche di fondo del D.Lgs. 231/01.

Gli unici “pezzi di carta” contenenti (anche) prescrizioni in merito alla sicurezza informatica e alle policy presenti in azienda che rimangono tra gli ispettori e il sistema informatico, quindi, restano i modelli organizzativi ex D.Lgs. 231/01.

Uno sguardo al futuro: le proposte di riforma della normativa comunitaria in materia di privacy, richiamando i concetti di «privacy impact assessment», «privacy by design», «privacy by default», sembrano muoversi con le stesse logiche di fondo del D.Lgs. 231/01.

I MODELLI ORGANIZZATIVI, QUINDI…I MODELLI ORGANIZZATIVI, QUINDI…

Contribuiscono a costituire, ormai, il solo “ambiente” di sicurezza informatica e policy di utilizzo delle risorse informatiche presente in azienda

Agevolano il raggiungimento di una visione olistica della sicurezza informatica

Sono coadiuvanti nel caso in cui l’azienda voglia intraprendere un percorso di certificazione

Contribuiscono a costituire, ormai, il solo “ambiente” di sicurezza informatica e policy di utilizzo delle risorse informatiche presente in azienda

Agevolano il raggiungimento di una visione olistica della sicurezza informatica

Sono coadiuvanti nel caso in cui l’azienda voglia intraprendere un percorso di certificazione

I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231

L’attuazione di quanto previsto dal d.lgs. 231/01 porta, oltre alla conformità normativa, i seguenti vantaggi: accesso a commesse di significativo rilievo, per le quali viene richiesto, da parte di soggetti pubblici o da grandi committenti privati, l’attuazione dei modelli previsti dal d.lgs. 231/01 incremento della fiducia dei soggetti terzi in tutte le operazioni societarie (es.: fusione; acquisizione o cessione di quote o di azioni; acquisizione o cessione di pacchetti di controllo; vendita di rami di azienda; ingresso di nuovi soci; strutturazione o modifica dei gruppi societari; operazioni con partners esteri; operazioni di co-branding; etc.), con possibilità di ottenere una migliore valutazione economica incremento della fiducia da parte dei clienti nel caso in cui si abbia un’efficace sistema di tutela del trattamento dei dati personali prevenzione dei rischi economici connessi alla condanna penale del soggetto e/o al pagamento di rilevanti sanzioni pecuniarie in conseguenza di una mancata ottemperanza alle misure minime di sicurezza

L’attuazione di quanto previsto dal d.lgs. 231/01 porta, oltre alla conformità normativa, i seguenti vantaggi: accesso a commesse di significativo rilievo, per le quali viene richiesto, da parte di soggetti pubblici o da grandi committenti privati, l’attuazione dei modelli previsti dal d.lgs. 231/01 incremento della fiducia dei soggetti terzi in tutte le operazioni societarie (es.: fusione; acquisizione o cessione di quote o di azioni; acquisizione o cessione di pacchetti di controllo; vendita di rami di azienda; ingresso di nuovi soci; strutturazione o modifica dei gruppi societari; operazioni con partners esteri; operazioni di co-branding; etc.), con possibilità di ottenere una migliore valutazione economica incremento della fiducia da parte dei clienti nel caso in cui si abbia un’efficace sistema di tutela del trattamento dei dati personali prevenzione dei rischi economici connessi alla condanna penale del soggetto e/o al pagamento di rilevanti sanzioni pecuniarie in conseguenza di una mancata ottemperanza alle misure minime di sicurezza

I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231

prevenzione dei rischi economici connessi alla condanna dell’ente a sanzioni pecuniarie, interdittive ed alle altre sanzioni previste dal d.lgs. 231/01 (in conseguenza di eventuali azioni criminose dei soggetti collocati in posizione apicale o dei loro sottoposti) e miglior capacità di risposta in caso di ispezioni a norma del Codice Privacy

miglioramento dell’efficienza interna dell’azienda miglioramento delle capacità di gestione dei rischi e di reazione di fronte agli eventi

critici incremento del livello di percezione di “eticità” dell’ente veicolazione di immagine più solida, onesta, “pulita ”, dell’ente presso tutti gli

stakeholders (compreso clienti, fornitori, istituzioni), con riflessi sul posizionamento dell’ente nel mercato

possibilità di gestire al meglio le eventuali controversie che dovessero instaurarsi coi propri prestatori di lavoro

prevenzione dei rischi economici connessi alla condanna dell’ente a sanzioni pecuniarie, interdittive ed alle altre sanzioni previste dal d.lgs. 231/01 (in conseguenza di eventuali azioni criminose dei soggetti collocati in posizione apicale o dei loro sottoposti) e miglior capacità di risposta in caso di ispezioni a norma del Codice Privacy

miglioramento dell’efficienza interna dell’azienda miglioramento delle capacità di gestione dei rischi e di reazione di fronte agli eventi

critici incremento del livello di percezione di “eticità” dell’ente veicolazione di immagine più solida, onesta, “pulita ”, dell’ente presso tutti gli

stakeholders (compreso clienti, fornitori, istituzioni), con riflessi sul posizionamento dell’ente nel mercato

possibilità di gestire al meglio le eventuali controversie che dovessero instaurarsi coi propri prestatori di lavoro

SUGGERIMENTI FINALISUGGERIMENTI FINALI

Dotarsi di un adeguato modello organizzativo anche qualora non si rientri tra i soggetti espressamente indicati dalla normativa, in quanto è sempre possibile un’estensione giurisprudenziale

Prevedere procedure efficaci di verifica della corretta applicazione della normativa, soprattutto in merito all’attività di controllo che dovrà essere condotta dall’Organismo di Vigilanza

Convogliare, all’interno dei modelli organizzativi, le prescrizioni aziendali in tema di sicurezza e trattamento dei dati

Dotarsi di un adeguato modello organizzativo anche qualora non si rientri tra i soggetti espressamente indicati dalla normativa, in quanto è sempre possibile un’estensione giurisprudenziale

Prevedere procedure efficaci di verifica della corretta applicazione della normativa, soprattutto in merito all’attività di controllo che dovrà essere condotta dall’Organismo di Vigilanza

Convogliare, all’interno dei modelli organizzativi, le prescrizioni aziendali in tema di sicurezza e trattamento dei dati

STUDIO LEGALE ASSOCIATO

MILANOVia Larga, 6 20122 MilanoTel. 02.89926248Email: milano.desk@mpslaw.it BOLOGNAVia dell’Indipendenza, 36 40121 BolognaTel. 051.7878043Email: bologna.desk@mpslaw.it

IMOLAVia Garibaldi, 40 40026 Imola (Bo)Tel. 0542.30702Email: imola.desk@mpslaw.it

STUDIO LEGALE ASSOCIATO

MILANOVia Larga, 6 20122 MilanoTel. 02.89926248Email: milano.desk@mpslaw.it BOLOGNAVia dell’Indipendenza, 36 40121 BolognaTel. 051.7878043Email: bologna.desk@mpslaw.it

IMOLAVia Garibaldi, 40 40026 Imola (Bo)Tel. 0542.30702Email: imola.desk@mpslaw.it

GRAZIE DELL’ATTENZIONE!

Avv. Giorgio Spedicato

email: giorgio.spedicato@mpslaw.it

GRAZIE DELL’ATTENZIONE!

Avv. Giorgio Spedicato

email: giorgio.spedicato@mpslaw.it

MONDUCCI PERRI SPEDICATO & PARTNERS

www.mpslaw.it

MONDUCCI PERRI SPEDICATO & PARTNERS

www.mpslaw.it