Gli MTO fra vincoli ed opportunità

I Money Transfer Operator (MTO) rientrano nel novero dei soggetti obbligati all’osservanza della legislazione Antiriciclaggio al pari, fra gli altri, dei professionisti, delle società di revisione, delle imprese di assicurazione, degli istituti di moneta elettronica, dei prestatori di servizi relativi all’utilizzo di moneta virtuale o ancora di servizi di portafoglio digitali.

La particolarità del loro core business, l’effettuazione di operazioni di trasferimento verso paesi esteri di flussi finanziari, impone frequenti controlli da parte dell’Autorità di vigilanza.

La presenza dei molteplici paletti che li riguardano suggeriscono l’adozione di una serie di presidi organizzativi che, insieme all’adeguata applicazione della normativa cogente, sia primaria che secondaria, esaltino l’assunzione di comportamenti virtuosi e lungimiranti attraverso il conseguimento di certificazioni o attestazioni di idonei modelli di organizzazione e gestione (MOG).

È proprio su questi temi che le opportunità si sprecano potendo orientarsi verso l’implementazione di:

  • Sistemi di gestione per l’Antiriciclaggio (SGAR),
  • Sistemi di gestione per l’Anticorruzione (SGAC),
  • Sistemi di gestione per la Responsabilità amministrativa degli Enti (SGRA),
  • Sistemi di gestione della sicurezza delle informazioni (SGSI),
  • Meccanismi di certificazione dei trattamenti dei dati personali (ISDP).

Del tutto coerenti alle norme di legge, sono fra loro interoperabili attraverso il sistema High Level Structure e costituiscono, tutte, evidenza oggettiva per un Rating di legalità a tre stelle.

Le relazioni sono evidenti.

Innanzitutto ognuna delle norme tecniche prevede il soddisfacimento dei requisiti di legge. Inoltre, per le organizzazioni di piccole dimensioni in cui è assente, per esempio, un’articolazione  interna fondata su una pluralità di centri decisionali, sia la normativa secondaria sia quella di sistema contemplano la possibilità di esternalizzare la funzione antiriciclaggio così come quella per la prevenzione della corruzione con la possibilità, per il compliance officer, di avvalersi di consulenti per l’adozione di un efficace MOG 231.

Le organizzazioni in parola, in aggiunta, devono soddisfare i vari requisiti mettendo in sapiente relazione le suddette normative ed evitando che la singola ottemperanza produca una non conformità con riferimento alle altre disposizioni.

Per esempio, all’art. 3/231/2007, comma 2, si legge: I sistemi e le procedure adottati ai sensi del comma 1 rispettano le prescrizioni e garanzie stabilite dal presente decreto e dalla normativa in materia di protezione dei dati personali” il che pone i soggetti destinatari a circoscrivere la raccolta di informazioni e dati, per il principio di minimizzazione, a quanto è necessario per rispettare le prescrizioni della normativa di contrasto al riciclaggio e finanziamento del terrorismo, senza alcuna autorizzazione ad altri usi. Ciò vale, indifferentemente, per il destinatario così come per la rete distributiva e i mediatori.

L’Antiriciclaggio rientra fra i reati 231 essendo contemplato all’art. 25-octies. L’osservanza del D. Lgs. 231/01, oltre che del D. Lgs. 231/2007, si rende quindi assolutamente necessario. Qui, è prevista l’istituzione dell’Organismo di Vigilanza (OdV) che può  rappresentare l’organo con funzioni di controllo richiamato dal Provvedimento della Banca d’Italia.

E a proposito di 231/01 basti l’elenco dei reati per rendersi conto di quanto sia utile, ed opportuno, estendere il proprio campo di azione in termini di compliance a cominciare da un’adeguata struttura organizzativa dove il dialogo fra funzioni di line e quelle di staff consente il raggiungimento del vantaggio competitivo aziendale coniugando sviluppo del business e osservanza delle norme.

Ti ricordo che:

  1. per una consulenza specifica in materia di D. Lgs. 231/01, D. Lgs. 231/2007, D. Lgs. 38/2017, Reg. 679/2016 e novellato D. Lgs. 196/03, ISDP 10003, ISO 19600, ISO 27001, ISO 37001 e Rating di legalità;
  2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema;
  3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e ISDP 10003 Auditor
Qualified ISO 37001 Auditor

 

La funzione CONTROLLO DI QUALITA’ per le società di revisione fra ISO 9001 e Regolamento Consob

Le società di revisione certificate ISO 9001, per i Sistemi di gestione per la qualità, devono porre un’attenta distinzione con riferimento alla funzione controllo di qualità soggetta ad una specifica regolamentazione.

Il paragrafo 5.3 della 9001: Ruoli, responsabilità e autorità nell’organizzazione contempla la funzione in discorso all’insegna della consapevolezza di una cultura per la qualità che non deve essere circoscritta al solo Responsabile del sistema di gestione ovvero del Rappresentante della direzione per la qualità, ma diffusa a tutti i livelli e funzioni dell’intera organizzazione.

Ciò premesso, la distinzione – fra i ruoli pertinenti a cui devono essere assegnate specifiche responsabilità e autorità in ambito ISO e quelli i cui compiti sono richiamati dal suddetto regolamento – assume particolare rilevanza in termini di chiarezza e trasparenza di compiti e mansioni per l’organizzazione medesima, per l’organismo di certificazione ed i suoi auditor, per i clienti in sede di verifiche ispettive di qualificazione, per gli organi di controllo e le Autorità competenti.

I margini di manovra, per gli uni e gli altri soggetti, sono chiaramente definiti all’interno delle rispettive norme.

Nella norma ISO 9001, Sistemi di gestione per la qualità – Requisiti, si legge:
L’alta direzione deve assegnare le responsabilità e autorità per:

  1. assicurare che il sistema di gestione per la qualità sia conforme ai requisiti della presente norma internazionale;
  2. assicurare che i processi stiano producendo gli output attesi;
  3. riferire, in particolare all’alta direzione, sulle prestazioni del sistema di gestione per la qualità e sulle opportunità di miglioramento
  4. assicurare la promozione della focalizzazione sul cliente nell’ambito dell’intera organizzazione;
  5. assicurare che l’integrità del sistema di gestione per la qualità sia mantenuta, quando vengono pianificate e attuate modifiche al sistema stesso.

All’art. 13 del regolamento Consob, in materia di Antiriciclaggio, è disposto che:

  1. La funzione di controllo di qualità, nell’ambito dei relativi programmi di monitoraggio, verifica l’osservanza delle disposizioni normative e delle procedure interne in materia di prevenzione e gestione dei rischi di riciclaggio e di finanziamento del terrorismo.
  2. In tale ambito, la funzione, tra l’altro, verifica:
    a) il costante rispetto dell’obbligo di adeguata verifica, sia nella fase di instaurazione del rapporto che nello svilupparsi nel tempo della prestazione professionale;
    b) l’effettiva acquisizione e l’ordinata conservazione dei dati, informazioni e documenti prescritti dalla normativa primaria e secondaria;
    c) l’effettivo svolgimento da parte del personale delle attività preordinate alla rilevazione, nell’ambito dell’esecuzione della prestazione professionale, di eventuali elementi di anomalia potenzialmente rilevanti ai fini dell’assolvimento dell’obbligo di segnalazione di operazioni sospette;
    d) l’adeguatezza e l’efficacia delle attività svolte dalla funzione antiriciclaggio e la funzionalità del complessivo sistema dei controlli interni.
  3. Gli interventi sono oggetto di pianificazione per consentire che le prestazioni professionali siano sottoposte a verifica in un congruo arco di tempo e che le iniziative siano più frequenti con riferimento agli incarichi caratterizzati da maggiore esposizione ai rischi di riciclaggio e di finanziamento del terrorismo.
  4. La funzione di controllo di qualità svolge altresì interventi di follow-up al fine di assicurarsi dell’avvenuta adozione degli interventi correttivi delle carenze e irregolarità riscontrate e della loro idoneità ad evitare analoghe situazioni nel futuro.
  5. Le verifiche svolte dalla funzione sono documentate e i relativi atti, ove richiesti, sono prontamente forniti alle Autorità di vigilanza di settore e alla UIF (Unità Interna Finanziaria).
  6. La funzione redige inoltre una relazione annuale da sottoporre agli organi sociali, avente ad oggetto compiute informazioni sull’attività svolta e sui relativi esiti.

Siffatta distinzione, nel rispetto delle peculiarità delle singole funzioni, rivela l’importanza dell’organigramma:

  1. aziendale, quale rappresentazione grafica della struttura organizzativa dell’azienda,
  2. per la Qualità, volto ad indentificare i diversi livelli e funzioni coinvolti nell’implementazione, applicazione e miglioramento continuo del Sistema di gestione,
  3. per l’Antiriciclaggio e Lotta al finanziamento del terrorismo, quale presidio organizzativo per i soggetti obbligati al rispetto del D. Lgs. 21 novembre 2007 n. 231 e successive modifiche ed integrazioni.

Qualora, diversamente, la funzione in commento, intesa in termini isoniani, rientrasse nell’ambito del Management Systems Department piuttosto che di una specifica funzione Qualità, il rischio di confusione dei compiti delle due figure verrebbe meno.
In questo caso, infatti, sarebbero più agevolmente distinguibili i diversi ruoli e compiti dei soggetti che, da differenti prospettive, si occupano di “controllo di qualità”.

Ti ricordo che:

  1. per una consulenza specifica in materia di Qualità e Antiriciclaggio,
  2. per un’assistenza personalizzata nell’applicazione della normativa cogente e di sistema,
  3. per un approccio puntuale nel raggiungimento dei tuoi obiettivi,

occorrono competenze trasversali e multidisciplinari.
Visita il mio sito http://www.colaianniconsulting.it e contattami, insieme faremo la differenza.

Marcello Colaianni
Compliance & Mgmt Systems Consultant/Auditor
Certified DPO e DP Auditor UNI11697
Qualified ISO 37001 Auditor

Titolare del trattamento, Titolare autonomo e Titolare indipendente. Chi più ne ha più ne metta.

Da quando è entrato in vigore il Regolamento UE 679/2016, il ricorso alla figura del Titolare autonomo è pressoché quotidiano per individuare le relazioni, e l’attribuzione delle relative responsabilità, di Tizio nei confronti di Caio.

Ho ripetutamente letto gli artt. 4, 9 e 10 del GDPR ed altre norme attinenti la protezione dei dati personali ma, ahimè, mi devo proprio arrendere; la definizione di questo fantomatico Titolare autonomo non riesco proprio a trovarla.

Mi chiedo, allora, come si possa attribuire a chicchessia un’etichetta, un’identità con l’aggravante di un carico di oneri, incombenze e responsabilità non meglio definite in assenza di una definizione chiara ed inequivocabile a cui fare riferimento.

La figura del Titolare autonomo viene messa in relazione con quella del Titolare del trattamento. Questi sì che è chiaramente identificato, all’art. 4, § 1, punto 7), come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Così come sono chiaramente definite altre figure contemplate dal GDPR come quella del Rappresentante del Titolare (o del Responsabile), del Contitolare, del Responsabile del trattamento e del Responsabile della protezione dei dati e ancora dei Terzi, dei Destinatari e delle Persone autorizzate. Come si può constatare, non vi è traccia del Titolare autonomo.

La suddetta relazione, di per se stessa, già riconosce l’esistenza di rapporti fra 2 soggetti, il Titolare ed il Titolare autonomo (?), per i quali il secondo effettua, nei confronti del primo, uno o più trattamenti di dati personali. E se c’è questa relazione, come si può parlare di Titolare autonomo?

Facciamo un passo indietro. Chiunque, fatte le debite eccezioni, nello svolgimento della propria attività professionale, in presenza di trattamenti di dati personali di persone fisiche è, per definizione, Titolare del trattamento. Poi succede che fra i due soggetti nasce una relazione che, rivelandosi particolarmente significativa dal punto di vista del trattamento dei dati personali, pone in essere la necessità di una specifica nominalizzazione ed attribuzione di responsabilità in capo ai due soggetti.

Vi si riconoscono, quindi, i rapporti fra:

  • Titolare e Rappresentante che viene designato laddove il titolare del trattamento non è stabilito nell’Unione;
  • Titolare e Contitolare qualora, insieme, determinano congiuntamente le finalità e i mezzi del trattamento;
  • Titolare e Responsabile del trattamento a cui, il primo, ricorre per un trattamento che deve essere effettuato per suo conto;
  • Titolare e Responsabile della protezione dei dati in presenza dei presupposti per la sua designazione obbligatoria;
  • Titolare e Terzi con riferimento ai soggetti nominativamente richiamati;
  • Titolare e Destinatari ai quali si comunicano i dati personali e, infine,
  • Titolare e Persone autorizzate al trattamento dei dati personali sotto la propria autorità.

Non vi è relazione, fra soggetti, che non sia specificatamente definita. Non si può parlare, quindi, di Titolare autonomo perché autonomo non è colui che si rapporta con il Titolare, in presenza di una relazione. La relazione va riconosciuta e definita fra quelle sopra elencate in modo da dare certezza al principio di accountability con individuazione delle rispettive responsabilità.

Parlare di Titolare autonomo significherebbe, fra l’altro, disconoscere l’esistenza di una relazione.

Ho inteso, fra le righe, che non tutti i fornitori hanno motivo di essere identificati. Certo, coloro con i quali io, come Titolare ex art. 4, § 1 punto 7), ho rapporti significativi in termini di trattamento dei dati personali devo necessariamente identificarli come Contitolari o Responsabili del trattamento; non come Titolari autonomi. Perché autonomi rispetto a me Titolare se sussiste una relazione significativa?

Esemplificando. La società XY Spa é Titolare del trattamento. Questa, ai fini privacy, ha relazioni, ovvero rapporti significativi, con il Medico competente, l’Organismo di Vigilanza, il Collegio sindacale, i Revisori legali, ecc.
Non mi soffermo, in  questa sede, per stabilire o esprimere un parere sull’etichetta, sulla figura da attribuire a questo o quel soggetto che si rapporta con il Titolare, la società XY Spa. Resto nella semplice convinzione che questi soggetti non possono essere Titolari autonomi rispetto a XY Spa in presenza di una relazione … e nemmeno Titolari.

La loro esistenza, infatti, è strettamente collegata alla relazione imposta dalle differenti disposizioni di legge nei confronti del Titolare XY Spa.
Il medico competente, il Collegio sindacale, l’Organismo di Vigilanza, e così via, ci sono esclusivamente in funzione della relazione con il Titolare; non hanno una propria ed indipendente identità.

In presenza di siffatto legame faccio molta fatica a riconoscere una qualsiasi autonoma titolarità.

Inoltre, il § “10.” dell’art. 28/679/2016, recita: <<Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione>>.

Il disposto normativo in discorso, pone in essere 2 possibili situazioni. La prima è quella per cui:

  1. assumo, come premessa, il fatto che già mi rivolgo ad un responsabile in quanto a lui ricorro per un trattamento, per mio conto, di dati personali. Dati:
    – di cui io, come Titolare, determino le finalità ed i mezzi di trattamento,
    – per il cui trattamento il Responsabile è tenuto all’osservanza dei requisiti ex art. 28;
  2. se il Responsabile viola il presente regolamento assumendo, a dispetto delle mie istruzioni documentate, una posizione di autodeterminazione delle finalità e dei mezzi di trattamento, allora, per il trattamento in questione, cioè per il trattamento per il quale l’ho designato, assume le responsabilità di Titolare alla stessa stregua per cui il Responsabile è Titolare dei propri trattamenti.

La seconda ipotesi è quella per cui il responsabile (fornitore) che si sottrae alla sottoscrizione della nomina da parte del Titolare (cliente) diventa, a sua volta, Titolare [ex art. 4, § 1 punto 7)] per il trattamento dei dati effettuato per conto del cliente.
Così è, per esempio, per i professionisti iscritti a Ordini e Collegi o per i consulenti informatici che, pur trattando a vario titolo i dati personali riconducibili al Titolare, si considerano dei Titolari autonomi (???).

Ne consegue, per quanto sopra, che anche qui siamo ben lontani dal poter parlare di Titolare autonomo.

Ah, un’altra cosa. Si badi bene che quando parlo di determinazione di finalità e mezzi di trattamento il contesto è quello della protezione dei dati personali senza riferimento alcuno alla libertà organizzativa del proprio lavoro da parte del professionista.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

DPO e RESPONSABILE del trattamento: 2 facce della stessa medaglia?

Ad oltre 2 anni dall’entrata in vigore del GDPR, restano di estrema attualità le riflessioni con cui, in adempimento ai requisiti ex art. 37, § 1, lett. a), b) e c), viene designato il Responsabile della Protezione dei Dati (RPD) ovvero il DPO.

Il Regolamento è perentorio ed individua il DPO in colui che:

  1. ha idonee qualità professionali,
  2. ha la conoscenza specialistica della normativa
  3. ha la conoscenza specialistica delle prassi in materia di protezione dei dati,
  4. ha la capacità di assolvere i compiti di cui all’articolo 39
  5. può svolgere altri compiti e funzioni purché questi non diano adito a conflitti d’interessi del che è garante il Titolare/Responsabile del trattamento

il che non dovrebbe lasciare dubbi a riguardo.

Tuttavia, qualunque sia il motivo, a prevalere è la volontà di concentrare ruoli e funzioni in capo al minor numero possibile di persone supportati, oltre ogni ragionevolezza, della possibilità di svolgimento di altri compiti e funzioni a dispetto di eventuali conflitti d’interesse.
Ecco allora che troviamo il consulente, il giurista, l’esperto informatico o il risk manager avocare a sé sia il ruolo di Responsabile esterno del trattamento, in quanto gestore del trattamento dei dati del Titolare, sia, all’occorrenza, quello del DPO.

Le linee guida del EDPB forniscono chiare indicazioni raccomandando di evitare che il DPO designato ricopra ruoli di vertice (es. amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, responsabile marketing, responsabile IT, direzione risorse umane) o posizioni gerarchicamente inferiori se quest’ultime comportano la determinazione di finalità o mezzi di trattamento. Qui, tuttavia, la fattispecie contrasta comunque con la previsione della designazione del DPO da parte del vertice del Titolare nonché dei presupposti di autonomia ed indipendenza.
In ipotesi di ricorso all’esterno del DPO il conflitto di interessi può poi manifestarsi laddove questi si ritrovi a ricoprire il ruolo di Responsabile o Con-titolare in qualità di, per esempio, RSPP, membro dell’OdV o dell’OdV monocratico, membro del Collegio sindacale, ecc.

Dati questi presupposti, l’orientamento sembra essere quello di evitare la designazione del DPO in capo a soggetti, interni o esterni, che in virtù delle funzioni già ricoperte trattano, a vario titolo, dati personali del Titolare.

MA le linee guida non sono fonti del diritto!

Quindi, è sufficiente che il Titolare/Responsabile afferma che non vi è conflitto d’interessi fra i compiti del DPO e gli altri compiti e funzioni?
No, occorre anche dimostrarlo in maniera inequivocabile!

Esiste un punto molto chiaro nel Regolamento che palesa l’esistenza di un conflitto d’interessi fra i 2 ruoli. Alla lettera h) dell’art. 28 che prescrive che il Responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato evidenziando l’impossibilità che controllore e controllato siano la stessa persona.
Insomma, c’è chi fa e c’è chi controlla!

È presto fatto: per le ispezioni al Responsabile/DPO si ricorre a un auditor interno o, meglio, ad un’organizzazione indipendente esterna evitando così che il Responsabile/DPO possa trovarsi contemporaneamente nella duplice posizione di controllore (come DPO) e di controllato (come Responsabile del trattamento).
Bah, mi sembra un comportamento elusivo e fine a se stesso.

Mi trovo costretto a perorare la mia causa: <<Responsabile e DPO sono funzioni in conflitto d’interessi!>>. Perché, fra l’altro:

  • sono normativamente inquadrati come soggetti fra loro in antitesi;
  • il Responsabile mette in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato;
  • il DPO sorveglia a che siano soddisfatti i requisiti del regolamento e messe in atto le azioni necessarie volte a tutelare i diritti dell’interessato;
  • il Responsabile tratta i dati personali soltanto su istruzione documentata del titolare del trattamento;
  • il DPO svolge i suoi compiti in assoluta assenza di istruzioni, in piena autonomia ed indipendenza.

A porre la dovuta attenzione, da parte del Titolare, circa la più idonea ed appropriata applicazione dei requisiti del GDPR è l’art. 24, 1° paragrafo che contempla, per il Titolare, la messa in atto di misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento tenuto conto (…) dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Fra le misure tecniche e organizzative da considerare, fin dalla progettazione, c’è quindi l’elaborazione di un chiaro organigramma per la data protection, l’individuazione dei singoli ruoli e responsabilità, all’insegna del principio di accountability su cui si basa l’intero regolamento, nonché dei compiti e funzioni che possono avere diversi livelli di probabilità, di essere fra loro in conflitto, ed altrettanti livelli di gravità ovvero di entità del danno che ne può conseguire.
Un’analisi superficiale delle condizioni di conflitto di interesse potrebbe determinare, in capo al Titolare/Responsabile, una culpa in eligendo con il rischio di disconoscimento del DPO e l’irrogazione di sanzioni pecuniarie per la sua conseguente mancata designazione.

Tutto ciò premesso, qualunque sia il risultato della valutazione di questa fattispecie di rischio, è evidente quanto sia utile, opportuno e doveroso tenere, da subito, separati i compiti e le aree di responsabilità in conflitto fra loro per ridurre al minimo le possibilità di trattamento illecito/irregolare degli asset dell’organizzazione quali sono i dati personali.

Marcello Colaianni
Certified DPO UNI11697
Certified DP Auditor ISDP10003 Scheme
Valutatore Privacy Certificato UNI11697

 

Quali le relazioni intercorrenti fra D. Lgs. 81/08, D. Lgs. 231/01 e OHSAS 18001?

L’art. 30/81/08 e smi costituisce l’anello di congiunzione di norme, cogenti e volontarie, riguardanti la Sicurezza sul lavoro (S&SL), i Sistemi di Gestione della Sicurezza sul Lavoro (SGSL) e la Responsabilità amministrativa delle persone giuridiche.

L’obiettivo di questo articolo é quello di dare evidenza alle relazioni che vengono a porsi attraverso il ricorso al dettato legislativo, ad esemplificazioni ed a mie considerazioni.
Andiamo, quindi, con ordine.

L’art. 30/81/08, sui Modelli di Organizzazione e di Gestione (MOG) recita, ai commi 1 e 5:

  • comma 1: “Il modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica di cui al D. Lgs 8 giugno 2001, n. 231, deve essere adottato ed efficacemente attuato, assicurando un sistema aziendale per l’adempimento di tutti gli obblighi giuridici relativi: (…..)”;
  • comma 5: “In sede di prima applicazione, i modelli di organizzazione aziendale definiti conformemente alle Linee guida UNI-INAIL per un sistema di gestione della salute e sicurezza sul lavoro (SGSL) del 28 settembre 2001 o al British Standard OHSAS 18001:2007 si presumono conformi ai requisiti di cui al presente articolo per le parti corrispondenti. Agli stessi fini ulteriori modelli di organizzazione e gestione aziendale possono essere indicati dalla Commissione di cui all’art. 6″

….. dal che si evince il richiamo sia al D.Lgs. 231 che al SGSL secondo le LG o la norma OHSAS 18001.

Ma di cosa si tratta? A cosa fa riferimento la cosiddetta 231 ?


D. Lgs. 8 giugno 2001, n. 231

Disciplina della Responsabilità Amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica a norma dell’art. 11 della legge 29 settembre 2000 n° 300.

Premesso che per l’applicazione delle sanzioni di cui al D. Lgs. 231 é fondamentale che l’Ente abbia tratto interesse e/o vantaggio parziale o esclusivo in relazione al reato commesso, trattasi di una norma di legge che introduce, nell’ordinamento giuridico italiano, la “responsabilità penale” delle persone giuridiche o, più propriamente, la responsabilità amministrativa delle persone giuridiche in ipotesi di reati, dolosi e colposi, commessi da persone fisiche.

Fattispecie: Qualora, all’interno di un’azienda, un soggetto – dal Top manager al neoassunto – commette uno dei reati per il quale il citato decreto attribuisce responsabilità all’ente, quest’ultimo sarà tenuto a risponderne con il rischio di trovarsi assoggettato a sanzioni di natura amministrativa.


LE SANZIONI AMMINISTRATIVE PER GLI ILLECITI DIPENDENTI DA REATO

  1. la sanzione pecuniaria,
  2. le sanzioni interdittive,
  3. la confisca del prezzo o del profitto e
  4. la pubblicazione della sentenza.

Le sanzioni interdittive, in particolare, riguardano:

  • l’interdizione dall’esercizio dell’attività;
  • la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito;
  • il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio;
  • l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi;
  • il divieto di pubblicizzare beni o servizi.

Quanto sopra rende molto bene l’idea dei molteplici rischi cui incorre l’Ente che non adotta un MOG o, diversamente, implementa sì un Modello di Organizzazione e Gestione che si rivela, però, non idoneo né efficacemente attuato.

L’ammontare delle sanzioni pecuniarie, che possono rivelarsi estremamente gravose, piuttosto che il divieto di partecipare ai bandi di gara della Pubblica Amministrazione o ancora il quello di pubblicizzare beni o servizi, portano a conseguenze nefaste o, comunque, deleterie per l’Azienda.

Alla lett. a) dell’art. 6/231/08 e smi, si legge: << l’ente non risponde se prova che l‘organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione (M.O.G.) idonei a prevenire reati della specie di quello verificatosi >>.

STRUTTURA  DEL  MODELLO  DI  ORGANIZZAZIONE  E  GESTIONE

Un elenco degli elementi distintivi del MOG, é il seguente:

  1. Codice etico
  2. Valutazione dei rischi di commissione reato
  3. Individuazione delle funzioni interessate ai rischi reato
  4. Sistema organizzativo-gestionale, Procedure e Protocolli
  5. OdV e flusso informativo
  6. Sistema disciplinare
  7. Informazione, formazione e comunicazione

Relativamente ai reati 231, in questa sede ci riferiamo al reato di  “Omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro” di cui al combinato disposto ex artt. 25-septies del D. Lgs. 231/01 e smi e 300/81/08 e smi.

 

 

D. Lgs. 8 giugno 2001 n° 231 e smi: Art. 6 comma 4bis-seconda parte

Continua

 

2) COMITATO PER IL CONTROLLO SULLA GESTIONE
     COMITATO PER IL CONTROLLO INTERNO

In questo caso il rischio di conflitto d’interessi si insinua con maggiore evidenza perché le attività di controllore e controllato fanno capo allo stesso organo interno. Il suddetto Comitato é un’estrapolazione del Consiglio di Amministrazione (CdA) con propri e specifici compiti dettati anche dall’art 2409-octiesdecies c.c. ed é impensabile che, diversamente dal CdA, possa esimersi dal suddetto controllo.
Allo stesso modo, come già sopra evidenziato, viene meno la costituzione dell’OdV come organismo dell’ente (e non di una sola sua parte).
Anche in questo caso, si confermano i dubbi sui minori oneri amministrativi per le imprese. Tuttavia, a destare maggiori perplessità é la sovrapposizione di quanto alla previsione del comma 4 dell’art. 6/231/01 e smi: <<Negli enti di piccole dimensioni i compiti dell’OdV possono esere svolti direttamente dall’organo dirigente>>, sebbene la fattispecie considerata si riferisca agli amministratori non esecutivi ed indipendenti.

Il suo ruolo, piuttosto, assume grande rilevanza ponendosi come interlocutore aziendale di riferimento ad una molteplicità di stakeholder assumendosi la paternità, a buon diritto:

  • dell’attuazione di un Sistema di Controllo Interno (SCI) a 360° che si sviluppi nella Corporate Governance estendendosi alla Compliance 231 fino alla Corporate Social Responsibility, avvalendosi di risorse interne (per es.: la figura dell’Internal Auditor, il Responsabile dell‘Ufficio legale o l’HR Manager) ed esterne (per es.: il Consulente per la Sicurezza sul lavoro);
  • della vigilanza sullo stesso SCI, sia direttamente sia con il ricorso di Consulenti esterni.

 

3) COMITATO DI SORVEGLIANZA

A riguardo, possono indicativamente valere le stesse considerazioni esposte per il Comitato di Controllo Interno; si ricorda semplicemente che il sistema di governance a cui si fa qui riferimento é quello dualistico.

C O N C L U S I O N I

Dalle suddette riflessioni, valgono le seguenti considerazioni con la premessa che sto esemplificando facendo riferimento ad un OdV plurisoggettivo di 3 membri:

 

  • Innanzitutto, é tanto banale quanto vero, una soluzione univoca ed universale non esiste;
  • Ogni ente – in base alla propria struttura, dimensionale ed organizzativa, nonché alla mappa delle aree a rischio-reato 231 e processi “sensibili” cui é soggetto e considerando i debiti aggiornamenti – valuterà quella che per lui é la più appropriata composizione del proprio Organismo di Vigilanza;
  • Nella realtà, di fatto e a dispetto delle varie e variegate prese di posizione su conflitto d’interessi, autonomia e indipendenza, vi sono OdV che fra i propri membri prevedono figure, per così dire, sconsigliate; vi si trovano infatti Amministratori indipendenti, Compliance Officier, Responsabili amministrativi o HR Manager, RSPP, Sindaci, ecc..

C’é l’imbarazzo della scelta.

Al di là delle differenti competenze, esso può essere costituito da:
• un membro esterno e due interni,
• un membro interno e due esterni,
• tre membri esterni o tre membri interni.
Le suddette ipotesi lasciano spazio all’opportunità di avere personale interno al fine di agevolare e condividere in seno all’OdV, le conoscenze dell’ente, piuttosto che professionisti esterni senza cariche né incarichi professionali con l’ente.
Se nell’OdV c’é almeno un componente dell’azienda, alla facilità di comunicazione circa la conoscenza dell’ente si contrappone il rischio di conflitto d’interessi. Mi si dirà che autonomia e indipendenza devono fare riferimento all’Organismo nel suo complesso e non in capo ai singoli componenti. E’ vero, ma il soggetto interessato dovrà necessariamente astenersi dalle votazioni riguardanti l’operato per le materie che gli sono state assegnate lasciando che ad esprimersene, presupposti permettendo, siano gli altri membri.

Mi chiedo allora: dò una buona immagine presentandomi con delle deroghe/eccezioni? Quale potrebbe essere la reazione del Giudice (penale)?

Se l’OdV risultasse composto da soli professionisti esterni, naturalmente con competenze differenziate e complementari, si avrebbe ugualmente un’adeguata conoscenza dell’ente?

Personalmente ritengo che, in presenza di un‘appropriata continuità d’azione e di idonei flussi informativi attivati fra l’OdV e tutti i suoi interlocutori, quella della conoscenza dell’ente si rivela un falso problema.

Un altro aspetto estremamente importante, specialmente in un contesto nel quale la prevenzione costituisce un atout, é conoscere l’orientamento giurisprudenziale che, oltre a fornire qualche elemento di certezza in più, rappresenta un utile ed ulteriore supporto al dettato legislativo così come alla dottrina.

Qual é il mio punto di vista ?  Dimmi come sei e ti dirò cosa fare !


Fine articolo

D. Lgs. 8 giugno 2001 n° 231 e smi: Art. 6 comma 4-bis – prima parte

Nel novembre del 2011, dopo le diverse modifiche ed integrazioni intervenute dal 2001, il Decreto di stabilità (L. 12.11.2011 n° 183 – G.U. 14.11.2011) – con l’obiettivo di “Ridurre gli oneri amministrativi per imprese e cittadini” – introduce, nel D.Lgs. 8 giugno 2001 n° 231, il comma 4-bis che, all’art. 6, prevede la <<possibilità per il Collegio Sindacale, il Consiglio di Sorveglianza (sistema dualistico) ed il Comitato per il Controllo sulla Gestione (sistema monistico) di svolgere le funzioni dell’Organismo di Vigilanza>>.

Il dettato legislativo apre ad un’infinità di considerazioni:

• „l’art. 6 c.1 lett. b) recita: << (…..) il compito di vigilare sul funzionamento, sull’osservanza dei modelli e di curare il loro aggiornamento sia affidato ad un organismo dell’ente (Organismo di Vigilanza) dotato di autonomi poteri di iniziativa e di controllo>>.

Il decreto fa riferimento all’ <<organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo>> il che non lascia dubbi sul fatto che l’Organismo di Vigilanza (OdV) debba intendersi come Funzione aziendale inserita in Organigramma e posta in staff ai più alti livelli gerarchici dell’impresa, come per esempio il Consiglio di Amministrazione (CdA), per poter esercitare – con l’autorità riconosciutale, l’autorevolezza che la caratterizza e l’autonomia che le viene attribuita – propri poteri di iniziativa e di controllo.

1) COLLEGIO SINDACALE (CS)

Il Collegio Sindacale é, al contrario, un Organo sociale esterno e non un Organismo dell’ente. Non si é mai visto un Collegio sindacale far parte della struttura organizzativa aziendale.
Se il CS può svolgere, come estensione delle proprie funzioni, anche quelle dell’OdV, delle due l’una:

• o l’OdV vede come propri membri i sindaci del CS ed in questa veste svolgono le funzioni di vigilanza sul funzionamento e l’osservanza dei modelli di organizzazione curando il loro aggiornamento il che determinerebbe, nella fattispecie, una ridondanza di funzioni organizzative;
• o l’istituzione dell’organismo dell’ente viene meno ravvisando una contraddizione nella norma ovvero una sua inadempienza.

Mi chiedo: il doppio ruolo assunto dal CS può creare qualche conflitto d’interessi?

• forse per la diversa estensione e gerarchia dell’oggetto del controllo oppure
• perché il CS può rivelarsi un possibile soggetto a conoscenza dei fatti e ritrovarsi coinvolto nel rischio del verificarsi di alcuni reati 231 e, quindi, nelle condizioni di ergersi a ruolo di controllore di se stesso. Se si sta consolidando, in dottrina, la tesi per cui il Responsabile del Servizio di Prevenzione e Protezione (R.S.P.P.) non può essere membro dell’OdV in quanto “palesemente” in conflitto d’interessi perché soggetto interessato al rischio-reato ex art. 25-septies/231: <<Omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro>>, non di meno, il suddetto ragionamento dovrebbe valere per gli Organi richiamati nel citato comma 4-bis essendo, con estrema ragionevolezza, suscettibili di coinvolgimento per altri rischi-reato 231 quali: Concussione e corruzione (Art. 25), Reati societari (Art. 25-ter), Abuso di mercato (Art. 25-sexies); per fare alcuni esempi.
E ancora: come troverebbe applicazione il Sistema Disciplinare a carico dei Sindaci quando questi avocano a sé anche le funzioni dell’OdV?

Quanto sopra, già mette in discussione due delle quattro caratteristiche che le Linee Guida di alcune associazioni di categoria attribuiscono all’OdV, quelle dell’autonomia e dell’indipendenza.

Relativamente alla professionalità – considerando la consueta caratterizzazione professionale dei Sindaci (almeno un Revisore e gli altri iscritti all’Albo degli Avvocati, dei Dottori commercialisti ed Esperti contabili o dei Consulenti del lavoro) – devo pensare che essi siano anche depositari delle conoscenze di materie a loro usualmente estranee o abbiano la necessità di avvalersi di altre tipologie di professionisti (per esempio con riguardo alla Sicurezza sul lavoro) a complemento delle proprie competenze. Una professionalità, pertanto, che in assenza di presupposti dovrebbe essere colmata.

Con riferimento alla quarta ed ultima caratteristica, la continuità d’azione, l’aspettativa é quella di veder prevalere l’applicazione del comma 1 ex art. 2403-bis c.c.: <<Poteri del collegio sindacale: i sindaci possono in qualsiasi momento procedere, anche individualmente, ad atti d’ispezione e di controllo>> sull’art. 2404 c.c., c. 1: <<Riunioni e deliberazioni del collegio: il collegio sindacale deve riunirsi almeno ogni novanta giorni>> in quanto la, generalmente consueta, periodicità trimestrale appare piuttosto riduttiva, se non del tutto insufficiente, di per se stessa ma soprattutto in relazione alla mole di lavoro che il CS si ritroverebbe all’ordine del giorno.

Un aspetto piuttosto importante, invero, é l’opportunità, all’interno dell’OdV, di un background che si avvicini di più a determinate tecniche di controllo del tipo di quelle che fanno riferimento ai Sistemi di Controllo Interno [per es.: il Committee of Sponsoring of the Tradeway Commissione (CoSO Report) – l’Enterprise Risk Management (ERM), ecc.] o ai Sistemi di Gestione Aziendale (ISO 9001, 14001, OHSAS 18001, SA8000, ecc.); attività che sono proprie dell’Internal Auditor e dell’Auditor/Consulente di Sistemi di Gestione Aziendale; ciò anche per una vigilanza sull’idoneità della struttura del Modello di Organizzazione e Gestione (MOG) ai fini della sua efficace attuazione.

Qualora, infine, in osservanza all’art.2477 c.c., il CS sia sostituito da un unico Sindaco revisore, come si può pensare che una sola persona, per quanto competente, possa essere onnisciente? E’ ragionevole, in siffatta ipotesi, il ricorso a consulenti esterni.
E in caso di risposta positiva, a quale costo?

Tutto ciò premesso, dove stanno i minori oneri amministrativi per le imprese di cui al Decreto di stabilità?
L’imprenditore può forse pensare che non gli giungano richieste di aumenti di compensi a seguito dello <<svolgimento delle ulteriori funzioni dell’Organismo di Vigilanza?>>

 

Fine prima parte