Gli MTO fra vincoli ed opportunità

I Money Transfer Operator (MTO) rientrano nel novero dei soggetti obbligati all’osservanza della legislazione Antiriciclaggio al pari, fra gli altri, dei professionisti, delle società di revisione, delle imprese di assicurazione, degli istituti di moneta elettronica, dei prestatori di servizi relativi all’utilizzo di moneta virtuale o ancora di servizi di portafoglio digitali.

La particolarità del loro core business, l’effettuazione di operazioni di trasferimento verso paesi esteri di flussi finanziari, impone frequenti controlli da parte dell’Autorità di vigilanza.

La presenza dei molteplici paletti che li riguardano suggeriscono l’adozione di una serie di presidi organizzativi che, insieme all’adeguata applicazione della normativa cogente, sia primaria che secondaria, esaltino l’assunzione di comportamenti virtuosi e lungimiranti attraverso il conseguimento di certificazioni o attestazioni di idonei modelli di organizzazione e gestione (MOG).

È proprio su questi temi che le opportunità si sprecano potendo orientarsi verso l’implementazione di:

  • Sistemi di gestione per l’Antiriciclaggio (SGAR),
  • Sistemi di gestione per l’Anticorruzione (SGAC),
  • Sistemi di gestione per la Responsabilità amministrativa degli Enti (SGRA),
  • Sistemi di gestione della sicurezza delle informazioni (SGSI),
  • Meccanismi di certificazione dei trattamenti dei dati personali (ISDP).

Del tutto coerenti alle norme di legge, sono fra loro interoperabili attraverso il sistema High Level Structure e costituiscono, tutte, evidenza oggettiva per un Rating di legalità a tre stelle.

Le relazioni sono evidenti.

Innanzitutto ognuna delle norme tecniche prevede il soddisfacimento dei requisiti di legge. Inoltre, per le organizzazioni di piccole dimensioni in cui è assente, per esempio, un’articolazione  interna fondata su una pluralità di centri decisionali, sia la normativa secondaria sia quella di sistema contemplano la possibilità di esternalizzare la funzione antiriciclaggio così come quella per la prevenzione della corruzione con la possibilità, per il compliance officer, di avvalersi di consulenti per l’adozione di un efficace MOG 231.

Le organizzazioni in parola, in aggiunta, devono soddisfare i vari requisiti mettendo in sapiente relazione le suddette normative ed evitando che la singola ottemperanza produca una non conformità con riferimento alle altre disposizioni.

Per esempio, all’art. 3/231/2007, comma 2, si legge: I sistemi e le procedure adottati ai sensi del comma 1 rispettano le prescrizioni e garanzie stabilite dal presente decreto e dalla normativa in materia di protezione dei dati personali” il che pone i soggetti destinatari a circoscrivere la raccolta di informazioni e dati, per il principio di minimizzazione, a quanto è necessario per rispettare le prescrizioni della normativa di contrasto al riciclaggio e finanziamento del terrorismo, senza alcuna autorizzazione ad altri usi. Ciò vale, indifferentemente, per il destinatario così come per la rete distributiva e i mediatori.

L’Antiriciclaggio rientra fra i reati 231 essendo contemplato all’art. 25-octies. L’osservanza del D. Lgs. 231/01, oltre che del D. Lgs. 231/2007, si rende quindi assolutamente necessario. Qui, è prevista l’istituzione dell’Organismo di Vigilanza (OdV) che può  rappresentare l’organo con funzioni di controllo richiamato dal Provvedimento della Banca d’Italia.

E a proposito di 231/01 basti l’elenco dei reati per rendersi conto di quanto sia utile, ed opportuno, estendere il proprio campo di azione in termini di compliance a cominciare da un’adeguata struttura organizzativa dove il dialogo fra funzioni di line e quelle di staff consente il raggiungimento del vantaggio competitivo aziendale coniugando sviluppo del business e osservanza delle norme.

Ti ricordo che:

  1. per una consulenza specifica in materia di D. Lgs. 231/01, D. Lgs. 231/2007, D. Lgs. 38/2017, Reg. 679/2016 e novellato D. Lgs. 196/03, ISDP 10003, ISO 19600, ISO 27001, ISO 37001 e Rating di legalità;
  2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema;
  3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e ISDP 10003 Auditor
Qualified ISO 37001 Auditor

 

La funzione CONTROLLO DI QUALITA’ per le società di revisione fra ISO 9001 e Regolamento Consob

Le società di revisione certificate ISO 9001, per i Sistemi di gestione per la qualità, devono porre un’attenta distinzione con riferimento alla funzione controllo di qualità soggetta ad una specifica regolamentazione.

Il paragrafo 5.3 della 9001: Ruoli, responsabilità e autorità nell’organizzazione contempla la funzione in discorso all’insegna della consapevolezza di una cultura per la qualità che non deve essere circoscritta al solo Responsabile del sistema di gestione ovvero del Rappresentante della direzione per la qualità, ma diffusa a tutti i livelli e funzioni dell’intera organizzazione.

Ciò premesso, la distinzione – fra i ruoli pertinenti a cui devono essere assegnate specifiche responsabilità e autorità in ambito ISO e quelli i cui compiti sono richiamati dal suddetto regolamento – assume particolare rilevanza in termini di chiarezza e trasparenza di compiti e mansioni per l’organizzazione medesima, per l’organismo di certificazione ed i suoi auditor, per i clienti in sede di verifiche ispettive di qualificazione, per gli organi di controllo e le Autorità competenti.

I margini di manovra, per gli uni e gli altri soggetti, sono chiaramente definiti all’interno delle rispettive norme.

Nella norma ISO 9001, Sistemi di gestione per la qualità – Requisiti, si legge:
L’alta direzione deve assegnare le responsabilità e autorità per:

  1. assicurare che il sistema di gestione per la qualità sia conforme ai requisiti della presente norma internazionale;
  2. assicurare che i processi stiano producendo gli output attesi;
  3. riferire, in particolare all’alta direzione, sulle prestazioni del sistema di gestione per la qualità e sulle opportunità di miglioramento
  4. assicurare la promozione della focalizzazione sul cliente nell’ambito dell’intera organizzazione;
  5. assicurare che l’integrità del sistema di gestione per la qualità sia mantenuta, quando vengono pianificate e attuate modifiche al sistema stesso.

All’art. 13 del regolamento Consob, in materia di Antiriciclaggio, è disposto che:

  1. La funzione di controllo di qualità, nell’ambito dei relativi programmi di monitoraggio, verifica l’osservanza delle disposizioni normative e delle procedure interne in materia di prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo.
  2. In tale ambito, la funzione, tra l’altro, verifica:
    a) il costante rispetto dell’obbligo di adeguata verifica, sia nella fase di instaurazione del rapporto che nello svilupparsi nel tempo della prestazione professionale;
    b) l’effettiva acquisizione e l’ordinata conservazione dei dati, informazioni e documenti prescritti dalla normativa primaria e secondaria;
    c) l’effettivo svolgimento da parte del personale delle attività preordinate alla rilevazione, nell’ambito dell’esecuzione della prestazione professionale, di eventuali elementi di anomalia potenzialmente rilevanti ai fini dell’assolvimento dell’obbligo di segnalazione di operazioni sospette;
    d) l’adeguatezza e l’efficacia delle attività svolte dalla funzione antiriciclaggio e la funzionalità del complessivo sistema dei controlli interni.
  3. Gli interventi sono oggetto di pianificazione per consentire che le prestazioni professionali siano sottoposte a verifica in un congruo arco di tempo e che le iniziative siano più frequenti con riferimento agli incarichi caratterizzati da maggiore esposizione ai rischi di riciclaggio e di finanziamento del terrorismo.
  4. La funzione di controllo di qualità svolge altresì interventi di follow-up al fine di assicurarsi dell’avvenuta adozione degli interventi correttivi delle carenze e irregolarità riscontrate e della loro idoneità ad evitare analoghe situazioni nel futuro.
  5. Le verifiche svolte dalla funzione sono documentate e i relativi atti, ove richiesti, sono prontamente forniti alle Autorità di vigilanza di settore e alla UIF (Unità Interna Finanziaria).
  6. La funzione redige inoltre una relazione annuale da sottoporre agli organi sociali, avente ad oggetto compiute informazioni sull’attività svolta e sui relativi esiti.

Siffatta distinzione, nel rispetto delle peculiarità delle singole funzioni, rivela l’importanza dell’organigramma:

  1. aziendale, quale rappresentazione grafica della struttura organizzativa dell’azienda,
  2. per la Qualità, volto ad indentificare i diversi livelli e funzioni coinvolti nell’implementazione, applicazione e miglioramento continuo del Sistema di gestione,
  3. per l’Antiriciclaggio e Lotta al finanziamento del terrorismo, quale presidio organizzativo per i soggetti obbligati al rispetto del D. Lgs. 21 novembre 2007 n. 231 e successive modifiche ed integrazioni.

Qualora, diversamente, la funzione in commento, intesa in termini isoniani, rientrasse nell’ambito del Management Systems Department piuttosto che di una specifica funzione Qualità, il rischio di confusione dei compiti delle due figure verrebbe meno.
In questo caso, infatti, sarebbero più agevolmente distinguibili i diversi ruoli e compiti dei soggetti che, da differenti prospettive, si occupano di “controllo di qualità”.

Ti ricordo che:

  1. per una consulenza specifica in materia di Qualità e Antiriciclaggio,
  2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema,
  3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi,

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e DP Auditor UNI11697
Qualified ISO 37001 Auditor

iI CONSULENTE prima del RECRUITING: come prepararsi alla gestione delle risorse umane

L’Organizzazione che cerca la persona giusta per uno specifico ruolo ha, ragionevolmente, le idee chiare sulla risorsa di cui ha bisogno in termini di conoscenze, competenze e abilità.

Altre volte, però, può rivelarsi utile, in attesa di inserire in azienda le più idonee professionalità, ricorrere al Consulente … il che non vuole essere un’alternativa.
I vantaggi che ne derivano possono superare le aspettative e, persino, rivelare all’Organizzazione che quel che cerca è già lì, nella sua struttura.

Cosa intendo dire?

Mi è capitato di assistere un’azienda in cui occorreva affiancare alla vecchia guardia nuove risorse che portassero innovazione, creatività ed un approccio trasversale al problem solving.
Così facendo si è scoperta, da una parte, l’inaspettata disponibilità e flessibilità, di alcuni, a riconvertirsi in nuovi ruoli e posizioni, dall’altra, un rinnovato orgoglio di appartenenza, un miglioramento del clima aziendale e nuove forme di business development.

Altrove, si presentava la necessità di riorganizzare le funzioni di staff allo scopo di evitare inutili sovrapposizioni e, insieme, di assicurarsi circa l’applicazione dei requisiti di cui alla normativa, cogente e volontaria, di riferimento per l’Organizzazione.
L’analisi delle risorse, dei loro curricula e dei loro desiderata, ha permesso di coniugare sapientemente le esigenze aziendali con gli obiettivi personali all’insegna di una nuova politica di valutazione, valorizzazione e formazione del personale.
La parte legal è stata fortemente coinvolta con l’introduzione della funzione Compliance e del Management Systems Department. La funzione Auditing ha esteso il proprio campo di azione. I ruoli ispettivi, come quello del DPO, sono stati internalizzati lasciando interamente a professionalità esterne la composizione dell’OdV. Anche la Comunicazione interna ha preso in carico la gestione di un nuovo house horgan con la pubblicazione della vita, in azienda, della casa madre e delle sue filiali.
A questa rivoluzione copernicana hanno concorso anche le nuove leve.
Il mio contributo è stato quello di Consulente piuttosto che di Business Coach a seconda dei momenti ed esigenze che andavano presentandosi … e non è finita qui.

In altre due situazioni, proprio in previsione di selezionare risorse adeguate, ho ricoperto il ruolo di Temporary manager, dapprima con il compito di sovrintendere, anche operativamente, ai compiti del Servizio di Prevenzione e Protezione e come referente per il Sistema integrato QSA (Qualità, Sicurezza e Ambiente); quindi, in qualità di Responsabile interno del Trattamento dei Dati Personali (RTDP) ex D. Lgs. 196/03, l’attuale Privacy manager.
Successivamente, dal ruolo di Consulente a quello di Mentore il passo è stato breve.

La conclusione è presto detta:
care Organizzazioni, siate fiduciose e ben disposte. Non sempre la soluzione è lontana. Potreste stupirvi e scoprire di avere a portata di mano la risposta alle vostre domande.

Marcello Colaianni
Business, Corporate & Executive Coach
Certified DPO, DP Auditor e ISDP 10003 Auditor

Compliance & Mgmt Systems Consultant/Auditor

 

 

I Conflitti d’interesse del Responsabile della protezione dei dati (RPD/DPO)

Il presente articolo propone una chiave di lettura un po’ diversa e meno perentoria rispetto a quello dal titolo: <<DPO e Responsabile del trattamento: 2 facce della stessa medaglia?>> pubblicato il 28 dicembre 2018.
L’esigenza di soffermarsi su altre considerazioni è emersa dirompente alla luce delle esigenze manifestate a gran voce da diversi Titolari e Responsabili miei clienti e da situazioni che mi trovo, professionalmente, a constatare quasi quotidianamente.

Resta valido il ragionamento per il quale il Titolare (ed il Responsabile) si assicura che eventuali altri compiti e funzioni svolte dal DPO non diano adito a un conflitto di interessi.
Le linee guida dell’Articolo 29 Data Protection Working Party si sono già bene espresse sull’opportunità di evitare possibili situazioni di conflitto d’interesse, dentro l’organizzazione – riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento – e anche in ipotesi di nomina di un DPO esterno al quale si chieda di rappresentare il titolare o il responsabile in un giudizio che tocchi problematiche di protezione dei dati.
Qui, il DPO avvocato non può, evidentemente, rappresentare in giudizio il proprio Titolare.

Se con riferimento alla designazione interna l’orientamento è piuttosto chiaro, l’eventuale nomina esterna del DPO suggerisce di valutare ogni singolo caso per l’oggettivo, e soggettivo, rischio di porre in essere un conflitto d’interessi il che porta all’inevitabile conseguenza di soprassedere all’assunzione del ruolo in discorso.

Assunto che il conflitto di interessi è quella condizione giuridica che si verifica quando viene affidata un’alta responsabilità decisionale a un soggetto che ha interessi personali o professionali in contrasto con l’imparzialità richiesta da tale responsabilità, che può venire meno a causa degli interessi in causa, l’analisi del singolo caso può, nel rispetto dei requisiti di legge, portare ad alcune considerazioni piuttosto interessanti.

Per esempio: il consulente in materia di sicurezza sul lavoro, indubbiamente, effettua trattamenti di dati personali. Per questi motivi viene nominato Responsabile esterno per i dati del Titolare trattati specificatamente in ottemperanza all’oggetto del relativo contratto di consulenza.
È anche vero che nel contratto di nomina del consulente a RTDP, è il Titolare che impartisce istruzioni scritte sulle condizioni e modalità di trattamento dei propri dati nell’espletamento della consulenza; ciò conformemente al dettato ex art. 28/679/2016.
Non è il Consulente ad avere un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali.

La domanda da porsi, a questo punto è: <<qual è il conflitto d’interessi che si pone, per la protezione dei dati personali, laddove il consulente in materia di sicurezza sul lavoro venga designato DPO?>> Naturalmente in presenza delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.

Ricordiamo ancora che il responsabile della protezione dei dati può svolgere altri compiti e funzioni … e, per le riflessioni che seguono, non si può affermare, tout court, che il controllore controlli il controllato.
Allo stesso modo non vi è alcun divieto, nel regolamento, a che un Responsabile possa ricoprire il ruolo di DPO.

Ogni situazione va analizzata caso per caso.
La raccomandazione delle linee guida dell’Articolo 29 DPWP di adottare procedure per:

  • individuare le qualifiche e funzioni che sarebbero incompatibili con quella di RPD;
  • redigere regole interne a tale scopo onde evitare conflitti di interessi;
  • prevedere un’illustrazione più articolata dei casi di conflitto di interessi;
  • dichiarare che il RPD non versa in alcuna situazione di conflitto di interessi con riguardo alle funzioni di RPD, al fine di sensibilizzare rispetto al requisito in questione;
  • prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la disponibilità di una posizione lavorativa quale RPD ovvero nel redigere il contratto di servizi si utilizzino formulazioni sufficientemente precise e dettagliate così da prevenire conflitti di interessi

è sicuramente utile nel dare enfasi ed evidenza dell’assenza di (rischi di) conflitti d’interesse come nell’esemplificazione considerata.

Il DPO, come sopra nominato, è vero, ha interessi professionali presso il Titolare; è infatti consulente per la sicurezza sul lavoro. Ma l’imparzialità richiesta al DPO può in qualche modo essere compromessa dal fatto che questi sia un Responsabile? Dal fatto che sia un consulente, non in materia di protezione dei dati personali ma di sicurezza sul lavoro?
Alla lettera “h)”, § 3 dell’art. 28/679/2016 è scritto che il Responsabile deve (…) consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato.
Bene. Sarà direttamente il Titolare, o altro soggetto da questi incaricato, che si assicurerà circa il rispetto degli obblighi previsti da parte del consulente.
Non sarà certo coinvolto il DPO/Consulente a controllare se stesso quanto, piuttosto, un organismo indipendente di terza parte che potrà esprimersi circa l’appropriatezza dei comportamenti assunti dal consulente sia in qualità di Responsabile sia in quella di DPO.

La suddetta esemplificazione lascia quindi ben intendere che non si può generalizzare e lasciare insoddisfatte aprioristicamente esigenze organizzative che, in realtà, si rivelano non solo appropriate ma persino opportune.

Con ben in mente la suddetta definizione di conflitto d’interessi, questo si pone, ragionevolmente, se:

  1. il nostro Responsabile fosse consulente in materia di protezione di dati personali e non di sicurezza sul lavoro. Come potrebbe il DPO controllare l’operato del Titolare quando questi agisce assecondando le sue stesse indicazioni?
  2. il Titolare è assistito dallo studio legale (o dalla società di consulenza), in sede di applicazione ed osservanza dei requisiti della normativa privacy e ad assumere il ruolo di DPO è uno degli avvocati o altri soggetti (ovvero un dipendente della società) che ivi lavorano. Con quale autorevolezza ed imparzialità il DPO si relaziona con il Titolare per dirgli cosa va o non va nel modello di adeguamento al GDPR predisposto dallo stesso studio legale (società di consulenza) con cui e/o per cui lavora?
  3. il consulente informatico che assiste il Titolare per gli aspetti ICT, latu sensu, fosse designato DPO. Questi può oggettivamente ritenersi del tutto “estraneo” al trattamento dei dati personali ed in condizioni, quindi, di garantire l’imparzialità e l’indipendenza che è richiesta al Responsabile per la protezione dei dati? Secondo me, no.

Nei tre casi considerati, a titolo esemplificativo, sia il consulente privacy che quello informatico così come lo studio legale vanno nominati Responsabili esterni del trattamento ex art. 28/679/2016 in quanto ad essi il Titolare ricorre per trattamenti effettuati per suo conto, ma a determinare il conflitto d’interessi non è la nomina a Responsabili bensì il tipo di attività che sottende la relazione con il Titolare.

Il ragionamento da fare è un po’ quello per la composizione dell’Organismo di Vigilanza (OdV).
Il Responsabile del servizio di prevenzione e protezione (RSPP) piuttosto che il consulente del sistema di gestione ambientale e persino i sindaci nelle società di capitale, a dispetto del disposto ex art. 6/231/2001 c. 4-bis, non possono – de facto – far parte dell’OdV in presenza di conflitto d’interessi in quanto:

  • l’RSPP, membro dell’OdV, si ritroverebbe a controllare il proprio operato con riferimento all’osservanza della normativa sulla sicurezza sul lavoro la cui materia è contemplata fra i rischi reato 231;
  • il consulente ambientale, allo stesso modo, si ritroverebbe a verificare l’appropriatezza dei consigli formulati all’Organizzazione, in conformità al D. Lgs. 152/2006 e smi ed alla UNI EN ISO 14001;
  • il sindaco, infine, quale membro dell’organismo si ritroverebbe a controllare aspetti strettamente connessi alla propria attività oggetto, a loro volta, delle verifiche dell’OdV.

Né può essere membro dell’Organismo il DPO, o il consulente privacy. Come potrebbe, questi, controllare la correttezza delle azioni intraprese dovendo verificare eventuali rischi reato riguardanti i Delitti informatici ed il trattamento illecito di dati?

Ecco, queste situazioni sono del tutto assimilabili a quelle più sopra riportate; situazioni nelle quali la figura di controllore e controllato pongono sì, in essere, un evidente conflitto d’interessi.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Certified DPO  e DP Auditor UNI 11697
Certified DP Auditor ISDP 10003:2018 Scheme

 

 

COMPLIANCE & ENTERPRISE MANAGEMENT SYSTEMS

Da tempo, sempre più, ci accorgiamo di quanto la normativa cogente si trovi affiancata da norme volontarie che trattano, da un punto di vista sistemico, la materia.

E’ il caso, per esempio:

  1. dell’Anticorruzione che, disciplinata nell’ambito del D. Lgs. 231/01, dalla L. 190/2012, dal D. Lgs. 38/2017 e dalla L. 3/2019, è normata dallo standard UNI ISO 37001:2016;
  2. della Sicurezza sul lavoro con il D. Lgs. 81/08, da una parte, e la UNI ISO 45001, già OHSAS 18001, dall’altra;
  3. della Responsabilità Sociale, a cui fanno riferimento Leggi di stabilità e di bilancio nonché la SA8000, la UNI ISO 26000 e vari modelli di rendicontazione quali Q-RES e AA1000;
  4. dell’Igiene del prodotto alimentare di cui al Decreto Legislativo 193/07 e UNI EN ISO 22000:2018;
  5. della normativa Ambientale che vede il D. Lgs. 152/2006 a livello cogente e la UNI EN ISO 14001 e EMAS a livello volontario.

Ovviamente non si tratta di alternative; la normativa cogente va debitamente osservata dalle Organizzazioni e costituisce requisito preliminare nell’implementazione di un qualsiasi sistema di gestione aziendale.

La decisione di adottare uno standard di riferimento quale adeguamento volontario a requisiti di sistema porta tanti vantaggi in più:

  1. una linea guida nell’applicazione delle leggi;
  2. la diffusione di una cultura dentro e fuori l’organizzazione;
  3. un biglietto da visita che enfatizza la propria sensibilità nello specifico argomento all’insegna delle esigenze ed aspettative dei propri stakeholders;
  4. una visibilità a livello internazionale;
  5. un più facile accesso alla partecipazione ai bandi di gara.

Da qui, la consapevolezza di questa esigenza; un’esigenza di mercato, del lavoro e della concorrenza, soddisfatta dall’opportunità di coniugare normativa cogente e volontaria all’unisono secondo un approccio evolutivo e insieme innovativo.

Marcello Colaianni
Compliance & Management Systems Consultant / Auditor
Certified DPO e Privacy Auditor UNI11697
Certified DP Auditor ISDP 10003:2018 Scheme

 

 

Norme di legge e norme di sistema: Requisiti complementari e differenti.

Con il presente articolo mi associo al pensiero di un autorevole e riconosciuto Organismo di Certificazione italiano.

Spesso, anche dal confronto con miei rispettosissimi colleghi, mi trovo a dibattere sulla necessità di fare i dovuti distinguo fra le prescrizioni di cui alla legislazione e quelle formulate all’interno delle norme di  sistema.
Ecco che cosa intendo.

Nel testo del D. Lgs. 8 giugno 2001 n.  231 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300” è incluso il riferimento alla corruzione richiamata all’art. 25: Concussione, induzione indebita a dare o promettere utilità e corruzione. Sappiamo trattarsi di uno degli innumerevoli reati a fronte del quale gli Enti devono implementare un modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa; il cosiddetto M.O.G.

La dimostrazione di una sua adozione ed efficace attuazione è espressa nella registrazione ed osservanza di aspetti riguardanti:

  • La mappatura delle aree/funzioni/attività aziendali a rischio reato;
  • L’analisi puntuale degli specifici fattori di pericolo e loro analisi per la determinazione del rischio e suo trattamento;
  • La valutazione, costruzione ed adeguamento del sistema di controllo preventivo con l’individuazione ed analisi dei singoli componenti: Codice etico (e sistema disciplinare) con riferimento ai reati considerati, Sistema organizzativo, Procedure manuali ed informatiche, Poteri autorizzativi e di firma, Sistema di controllo di gestione, Formazione e addestramento, Comunicazione e coinvolgimento, Gestione operativa, Sistema di monitoraggio della sicurezza;
  • L’identificazione e nomina di un appropriato Organismo di Vigilanza (OdV) tenendo conto della sua composizione, dei compiti, dei requisiti e poteri e loro distribuzione fra i singoli membri, le relazioni fra l’OdV e le altri funzioni aziendali, i flussi di informazione nonché i profili penali e della responsabilità.

Quanto sopra, tuttavia, è cosa del tutto differente rispetto a ciò che prevede la UNI ISO 37001: Sistemi di gestione per la prevenzione della corruzione – Requisiti e guida all’utilizzo.

Questa, a solo titolo esemplificativo, identifica specifiche figure professionali quali il Responsabile della prevenzione della corruzione, riconosce l’Organo direttivo e l’Alta direzione che si sovrappongono alle funzioni già esistenti all’interno dell’Organizzazione con propri ruoli, responsabilità ed un coinvolgimento tale per cui si può oggettivamente affermare: “Non poteva non sapere”.

Qui, la valutazione dei rischi di corruzione si estende concretamente ai cosiddetti “soci in affari” e ad essa, laddove emergessero rischi medi o elevati, segue una due diligence. Occorre cioè avviare un’ulteriore verifica della natura ed entità del rischio di corruzione e aiutare le organizzazioni  ad assumere decisioni in relazione a transazioni, progetti, attività, soci in affari e personale specifici.

Cosa c’è in comune? La valutazione dei rischi, la consapevolezza e la formazione a tutti i livelli e funzioni dell’organizzazione, la comunicazione e le informazioni documentate … il tutto, però, debitamente contestualizzato.

Parimenti dicasi per la PRIVACY!

Al pari della Corruzione, il D. Lgs. 231, all’art 24-bis, tratta dei Delitti informatici e trattamento illecito di dati.

L’evidenza delle azioni intraprese volte ad evitare l’incorrere in siffatti rischi e, quindi, a dimostrare il loro regolare monitoraggio non può assolutamente essere equiparato ai comportamenti da assumere in ossequio al Regolamento UE 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Certo! È indubbio che vi siano correlazioni fra i suddetti reati e l’adeguamento al GDPR (General Data Protection Regulation). Si tratta, però, di aspetti fra loro complementari e del tutto insufficienti a dimostrare autonomamente la reciproca osservanza senza l’attuazione di specifici adempimenti.

L’adeguamento al Regolamento, che subentra al D. Lgs. 196/03 e smi (Codice in materia di protezione dei dati personali) in fieri di essere revisionato in adeguamento allo stesso GDPR, già di per sé, impone un approccio sistemico nell’adempimento dei suoi requisiti. Un approccio, cioè, simile al passaggio fra il D. Lgs. 626/94 ed il D. Lgs. 81/08 in materia di Sicurezza sul lavoro – rafforzato poi dal riferimento al relativo sistema di gestione di cui all’art. 30 – dove non è sufficiente l’adempimento puntuale, per esempio, dell’informativa e della richiesta del consenso o della designazione del Responsabile della protezione dei dati.

Si richiede, innanzitutto, un cambiamento di cultura, l’individuazione di nuove figure aziendali che, grazie alla propria esperienza ed alle risorse disponibili, possano dare il loro valido contributo all’Organizzazione. Serve, senza ricorrere al tuttologo di turno, un approccio trasversale che consenta di rilevare la ricaduta del trattamento dei dati personali degli interessati con riferimento a tutte le attività di trattamento del Titolare focalizzandosi, fin dalla progettazione e per impostazione predefinita, sia sui dati logici sia, e prima ancora, su quelli organizzativi e fisici.

Un’utopia? NO! Tanto più considerando che gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati (…)  allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento.

Meccanismi di certificazione che, se propriamente implementati, possono calmierare l’entità di eventuali sanzioni amministrative.

Nel nostro Paese, ci sono schemi (leggi meccanismi) proprietari di certificazione che, validati da Organismi lungimiranti, sebbene fuori accreditamento hanno l’indiscusso merito di aiutare le organizzazioni nell’applicazione del Regolamento stesso.

Cosa fare, quindi?

  1. Definire il focus, l’obiettivo: Capire cosa si vuole fare e focalizzarsi su quello;
  2. Individuare e valutare le diverse possibilità per raggiungere l’obiettivo;
  3. Pianificare le azioni da intraprendere, come organizzarsi e convergere, all’interno e/o ricorrendo a professionalità esterne, expertises differenti per il comune obiettivo;

e ancora

  1. Analizzare e far fronte agli eventuali ostacoli che vi si frappongono;
  2. Assicurarsi di essere, tutti, sulla stessa lunghezza d’onda … e
  3. PARTIRE!

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor

 

 

 

 

 

 

 

 

 

L. 190/2012 e UNI ISO 37001:2016 a confronto in materia di anticorruzione

L’argomento oggetto di questo articolo trova particolare interesse per tutte quelle aziende che, pur dotate di propria personalità giuridica, sono partecipate dalle amministrazioni pubbliche (e loro controllate) o svolgono pubblici servizi o servizi di pubblica utilità.

Mi rivolgo, in altre parole, a quelle Organizzazioni che non si limitano ad adempiere agli obblighi di legge di cui alla L. 190/2012 “Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione”, e leggi collegate, ma manifestano esplicitamente la propria volontà di adottare comportamenti virtuosi in ambito anticorruzione dandone evidenza con la certificazione del proprio ABMS (Anti-Bribery Management System) secondo la norma internazionale UNI ISO 37001:2016 “Sistemi di gestione per la prevenzione della corruzione – Requisiti e guida all’utilizzo” oltremodo utile, peraltro, qualora requisito per la partecipazione ai bandi di gara.

Significativo il fatto che la UNI ISO 37001 sia una norma applicabile, per l’organizzazione, alla corruzione nel settore pubblico, privato e del no profit ed in presenza sia di corruzione in uscita (agita) che in entrata (subita) mentre la L. 190 sembra non coinvolgere soggetti non annoverabili nella definizione di dipendenti pubblici o di incaricati di pubblico servizio. In presenza di presupposti, però, potrebbero applicarsi, secondo esigenza, le disposizioni dell’istituto del concorso di più persone ex art. 110 e ss c.p.: “quando più persone concorrono nel medesimo reato, ciasuna di esse soggiace alla pena per questo stabilita” o quelle sul Mutamento del titolo del reato per taluno dei concorrenti ex art. 117 c.p.: “Se per le condizioni o le qualità personali del colpevole, o per i rapporti fra il colpevole e l’offeso, muta il titolo di reato per taluno di coloro che vi sono concorsi, anche gli altri rispondono dello stesso reato”.

Laddove nel reato agiscano anche i cosiddetti estranei (e i soggetti collaterali), soggetti cioè non inseriti nella PA ma che interagiscono con chi ha natura pubblicistica, per il suddetto ragionamento potrebbe essere loro addebitato lo stesso reato e le medesime sanzioni comminate all’intraneo.

Il primo passo è quello di individuare i soggetti coinvolti nel sistema anticorruzione.

  1. Fra gli altri, la L. 190 identifica l’Organismo di Indirizzo Politico (OIP) quale soggetto titolato a nominare il Responsabile della Prevenzione della Corruzione (RPC). Chi poi possa identificarsi nell’OIP non sempre vi è chiarezza, almeno in ambito squisitamente pubblicistico.
    In questa sede trovo sicuramente preferibile assecondare l’orientamento prevalente (per le ASL) che suggerisce quale OIP, legittimato alla nomina del Responsabile della prevenzione della correzione, la persona del Direttore Generale  come espressione del vertice aziendale. È cioè appropriato, e del tutto ragionevole, che quanto all’intero sistema anticorruzione sia deciso e gestito all’interno dell’organizzazione.
    L’organo di indirizzo politico, su proposta del RPC, adotta il piano triennale di prevenzione della corruzione (PTPC), curandone la trasmissione al Dipartimento della Funzione Pubblica.
  2. Quanto sopra trova corrispondenza con la 37001 che attribuisce alla persona (…) che, al livello più elevato dirige e controlla un’organizzazione, ovvero all’alta direzione, il compito di assegnare a una funzione di conformità per la prevenzione della corruzione le responsabilità e l’autorità in materia.
    – L’alta direzione deve dimostrare leadership e impegno nei riguardi del sistema di gestione per la prevenzione della corruzione assicurando che questo, comprese le politiche e gli obiettivi, sia stabilito, attuato, mantenuto e riesaminato al fine di affrontare adeguatamente i rischi di corruzione dell’organizzazione. 
  1. Il Responsabile della Prevenzione della Corruzione deve poter usufruire di un proprio ufficio, per lo svolgimento delle proprie mansioni.
    Mansioni che si identificano nell’elaborazione del piano della prevenzione della corruzione, nella definizione di procedure appropriate per selezionare e formare i dipendenti destinati ad operare in settori particolarmente esposti alla corruzione, identificabili nella 37001 come attività sensibili, e nella verifica dell’effettiva rotazione degli incarichi negli uffici preposti allo svolgimento delle attività a maggior rischio commissione reati di corruzione.
    Il RPC (v. D. Lgs. 39/2013) ha inoltre cura a che siano rispettate le disposizioni su inconferibilità e incompatibilità degli incarichi e ne evidenzi i presupposti segnalando i casi di possibili violazioni all’ANAC.
    – Al RPC devono essere garantite appropriate risorse umane, strumentali e finanziarie nei limiti delle disponibilità del bilancio.
    Ricordando che l’attività di elaborazione del piano non può essere affidata a soggetti estranei all’amministrazione, le risorse umane cui può avvalersi il RPC sono i cosiddetti referenti per la prevenzione che può direttamente nominare secondo l’istituto della delega di funzioni. Questi informeranno il RPC affinché abbia elementi sufficienti per monitorare sull’applicazione del PTPC.
    – In linea di principio, e come sottolineato nel Piano Nazionale Anticorruzione, il RPC non può delegare compiti attribuitigli personalmente se non in presenza di straordinarie e motivate necessità, riconducibili a situazioni eccezionali mantenendo la propria responsabilità in tema sia di culpa in eligendo sia di culpa in vigilando.
    – Per quanto riguarda, infine, le responsabilità e sanzioni cui va incontro il RPC, il comma 14 dell’art. 1/190/2012 dispone che “In caso di ripetute violazioni delle misure di prevenzione previste dal piano, il RPC risponde delle responsabilità dirigenziali di: decurtazione della retribuzione, impossibilità di rinnovo dell’incarico dirigenziale, revoca dell’incarico, esclusione di ulteriori incarichi di livello dirigenziale equivalenti per almeno 2 anni, recesso del rapporto di lavoro. C’è poi da considerare l’eventuale sanzione disciplinare che prevede la sospensione dal servizio con privazione della retribuzione per un periodo compreso fra 1 e 6 mesi.
    È inoltre stabilito che “in caso di commissione (anche da altri), all’interno dell’amministrazione, di un reato di corruzione accertato con sentenza passata in giudicato, chi ne risponderà è il RPC salvo riesca a dimostrare:
  • di avere predisposto, prima della commissione del fatto, il piano di prevenzione della corruzione
  • di aver verificato l’efficace attuazione del piano e della sua idoneita’, nonche’ a proporre la modifica dello stesso quando sono accertate significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell’organizzazione o nell’attivita’ dell’amministrazione;
  • di aver verificato, d’intesa con il dirigente competente, l’effettiva rotazione degli incarichi negli uffici preposti allo svolgimento delle attività nel cui ambito è più elevato il rischio che siano commessi reati di corruzione;
  • di aver individuato il personale da inserire nei programmi di formazione;
  • di aver vigilato sul funzionamento e sull’osservanza del piano”. 
  1. La funzione di conformità per la prevenzione della corruzione (FPC) ha il compito di:
  • supervisionare la progettazione e l’attuazione da parte dell’organizzazione del sistema di gestione per la prevenzione della corruzione;
  • fornire consulenza e guida al personale circa il sistema di gestione per la prevenzione della corruzione e le questioni legate alla corruzione;
  • assicurare che il sistema di gestione per la prevenzione della corruzione sia conforme ai requisiti della 37001;
  • relazionare sulla prestazione del sistema di gestione per la prevenzione della corruzione all’organo direttivo (se presente) e all’alta direzione e ad altre funzioni, nel modo opportuno.

– Per lo svolgimento dei suddetti compiti, la funzione di conformità per la prevenzione della corruzione deve poter avvalersi di risorse finanziarie e umane adeguate per competenze, status, autorità e indipendenza.
Essa deve avere un accesso diretto e tempestivo all’alta direzione nel caso in cui qualsiasi problema o sospetto necessiti di essere sollevato in relazione ad atti di corruzione o al sistema di gestione per la prevenzione della corruzione.
– La FPC può avvalersi di risorse esterne che l’alta direzione le concede restando salvo il fatto che un manager competente dell’organizzazione mantenga la responsabilità generale e l’autorità in merito alla funzione di conformità per la prevenzione della corruzione e che supervisioni i servizi forniti dalla parte terza.
– Anche la 37001 fa riferimento alle Deleghe nel processo decisionale, alias “delega di funzioni”, ma nel rapporto fra l’alta direzione (organo direttivo) ed il personale adottando procedure documentate che prevedano le verifiche periodiche dei processi delegati ma di propria competenza. Si ricordi però che la delega in discorso non libera l’alta direzione dai propri doveri e responsabilità né trasferisce necessariamente al delegato le potenziali responsabilità legali.
– Viene fatto riferimento al sistema disciplinare, sia nell’ambito degli obiettivi per la prevenzione della corruzione e pianificazione per il loro raggiungimento sia nell’ambito del processo di assunzione di tutti i membri del personale.
In particolare è prevista l’adozione di procedure che definiscano modalità e criteri di applicazione di appropriate misure disciplinari in ipotesi di violazione del sistema di gestione della prevenzione della corruzione e della politica di prevenzione della corruzione … tenendo in ben conto che questa prevede, preliminarmente, la conformità alle leggi per la prevenzione della corruzione applicabili all’organizzazione.

Marcello Colaianni
Anti-Bribery Auditor KHC Qualified
Business Coach – Mentor – Compliance Consultant