1. Home
  2. Osservatorio di normativa ambientale
  3. Responsabilità 231
  4. Commenti e Approfondimenti

Responsabilità 231

Commenti e Approfondimenti

print

Milano, 11 maggio 2020

Modelli di organizzazione, gestione e controllo integrati: teoria dei flussi sincroni, una pratica conveniente per le aziende

(Milena Cirigliano - Avvocato, Compliance specialist, Dpo, Gruppo Api)

Parole chiave Parole chiave: Responsabilità 231 | Sanzioni

 

Premessa

 

Le letture comparate delle norme che ispirano modelli integrati suggeriscono sinergie praticabili in materia di flussi informativi.

 

A ragionare con visioni allargate, non ristrette ai singoli pacchetti normativi (Dlgs 231/2001 e regolamento 2016/679/Ue) si finisce per guadagnare in efficacia: è la teoria dei flussi sincroni, che ove applicata realizza una pratica conveniente per le aziende.

 

Il Dlgs 231/2001 esige un'organizzazione che preveda flussi informativi verso l'"Odv" (Organismo di vigilanza) e da questo, di solito annualmente, verso il "Cda" (Consiglio di amministrazione).

 

Simmetricamente un'organizzazione privacy che si rispetti esige che i dipartimenti aziendali emergano periodicamente dall'apnea dell'operatività quotidiana e facciano una riflessione consapevole e meditata su eventuali profili di criticità rispetto al modello di organizzazione e gestione della privacy riferendo al "Dpo" (Responsabile per la protezione dei dati) lo stato dell'arte.

 

I flussi informativi sincroni

 

Allora ecco che la convenienza salta agli occhi: si può economizzare, snellire gli apparati, strutturando flussi informativi sincroni verso l'"Odv" e verso il "Dpo".

 

L'adempimento si sedimenterebbe nell'esperienza aziendale con il tempo ed il flusso a doppia valenza, diventerebbe una ritualità familiare al carico di lavoro attribuito per competenza alle singole funzioni/direzioni.

Solitamente il flusso informativo è strutturato attraverso modelli guida alla corretta compilazione, che aiutano l'autore a centrare gli argomenti rilevanti e significativi da riferire puntualmente e che la segreteria dell'"Odv" esige in genere semestralmente.

 

Ma anche il "Dpo" deve essere informato e la metodologia si presta bene ad essere ampliata: un modello guida alla compilazione per tutte le direzioni/funzioni, potrebbe circolare gemellato al primo.

L'"Odv" ed il "Dpo" lo riceverebbero separatamente ognuno per competenza, lo ragionerebbero in autonomia e produrrebbero le loro relazioni simmetriche verso il "Cda" che avrebbe quindi un quadro d'azione ed una visione più completa.

 

Lo sforzo di riflessione delle direzioni e funzioni aziendali sarebbe temporalmente sincronizzato ed integrato, cosi pure il flusso verso il "Cda" dei due Organismi a presidio dell'organizzazione ("Odv" e "Dpo").

 

La materia si presta, offre questa opportunità di lettura tanto originale quanto conveniente.

Ci sono ambiti dal confine labile fra Dlgs 231/2001 e privacy (regolamento 2016/679/Ue), basti pensare al perimetro dei reati informatici la cui prevenzione preme all'"Odv" quanto al "Dpo", le misure di sicurezza a protezione dei dati che si integrano, in alcuni casi coincidono, con le misure a prevenzione delle condotte criminose o che presentino profili di criticità rispetto al modello; le norme etiche contenute nei codici sono monito ed indicazione per l'una e l'altra materia.

 

I reati informatici

 

Il perimetro dei rischi aziendali qui è sovrapposto, ne è prova la gamma dei reati informatici iniettati dal Legislatore con diversi interventi normativi, temporalmente distinti, nel Dlgs 231/2001, che diventa materia di estrema attenzione e monitoraggio tanto per l'"Odv" quanto per il "Dpo", entrambi votati per elezione e compiti attribuiti in primis dal Legislatore alla prevenzione delle seguenti condotte:

— frode informatica in danno dello Stato o di altro ente pubblico (articolo 640-ter, Codice penale) amplificata dalla specifica sui documenti informatici (articolo 491-bis, C.p.);

— accesso abusivo ad un sistema informatico o telematico (articolo 615-ter, C.p.);

— detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (articolo 615-quater, C.p.);

— diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (articolo 615-quinquies, C.p.);

— intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (articolo 617-quater, C.p.);

— installazione di apparecchiature atte ad intercettare, impedire od interrompere comunicazioni informatiche o telematiche (articolo 617-quinquies, C.p.).

 

Ed ancora il binomio "Odv" e "Dpo" è fisiologicamente interessato dalle declinazioni a rilevanza penale dei danneggiamenti in ambito informatico:

— danneggiamento di sistemi informatici e telematici (articolo 635-bis, C.p.);

— danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (articolo 635-ter, C.p.);

— danneggiamento di sistemi informatici o telematici (articolo 635-quater, C.p.);

— danneggiamento di sistemi informatici o telematici di pubblica utilità (articolo 635-quinquies, C.p.).

 

Da ultimo coinvolge entrambi gli organismi di controllo ("Odv" e "Dpo") la frode informatica del soggetto che presta servizi di certificazione di firma elettronica (articolo 640-quinquies, "Odv" e "Dpo").

 

Due tutele necessarie

 

La lettura istologica dei reati elencati svela la connessione osmotica delle due tutele necessarie alla società e volte ad evitare:

— la responsabilità in sede penale della stessa che se non si organizza e non si struttura in protocolli di prevenzione, delinquere potest, con gravi conseguenze sanzionatorie;

— la responsabilità per la perdita, danneggiamento, errato trattamento dei dati, del prezioso patrimonio aziendale che i sistemi informatici devono custodire in sicurezza e affidare a soggetti espressamente delegati ed istruiti (anche qui la scure sanzionatoria è impressionate e per schivarla si impongono misure organizzative, di sicurezza, di controllo).

 

I modelli

 

Le aziende che responsabilmente si strutturano attraverso progetti organizzativi ("Mogc") per prevenire questi reati, con l'obiettivo in caso di coinvolgimento in un processo penale di sfruttare l'esimente riconosciuta dall'organo giudicante ove esista un modello adeguato, possono con alcuni accorgimenti creare un apparato di organizzazione gestione e controllo anche in ambito di tutela della privacy e di prevenzione del data breach.

 

La mappatura dei rischi è senza dubbio sovrapponibile in questo ambito e le misure di sicurezza a protezione dei dati si integrano, e in alcuni casi coincidono, con le misure a prevenzione delle condotte criminose o che presentino profili di criticità rispetto al modello; le norme etiche contenute nei codici se redatte con una visione integrata diventano monito ed indicazione per l'una e l'altra materia.

 

Conclusioni

 

La convenienza dei ragionamenti descritti, che schivano duplicazioni e ottimizzano il dialogo strutturato fra "Odv" e "Dpo", è una chiave originale di progettazione del modello di organizzazione gestione e controllo delle società certamente più fluido e sinergico, per la migliore protezione aziendale; un'opportunità quella dei ragionamenti integrati che va solo intuita e colta.

 

© Copyright riservato - riproduzione vietata - ReteAmbiente Srl, Milano - La pirateria editoriale è reato ai sensi della legge 633/1941
Annunci Google
  • ReteAmbiente s.r.l.
  • via privata Giovanni Bensi 12/5,
    20152 Milano

    Tel. 02 45487277
    Fax 0245487333
    R.E.A. MI - 2569357
    Registro Imprese di Milano - Codice Fiscale e Partita IVA 10966180969

Reteambiente.it - Testata registrata presso il Tribunale di Milano (20 settembre 2002 n. 494) - ISSN 2465-2598