Titolare del trattamento, Titolare autonomo e Titolare indipendente. Chi più ne ha più ne metta.

Da quando è entrato in vigore il Regolamento UE 679/2016, il ricorso alla figura del Titolare autonomo è pressoché quotidiano per individuare le relazioni, e l’attribuzione delle relative responsabilità, di Tizio nei confronti di Caio.

Ho ripetutamente letto gli artt. 4, 9 e 10 del GDPR ed altre norme attinenti la protezione dei dati personali ma, ahimè, mi devo proprio arrendere; la definizione di questo fantomatico Titolare autonomo non riesco proprio a trovarla.

Mi chiedo, allora, come si possa attribuire a chicchessia un’etichetta, un’identità con l’aggravante di un carico di oneri, incombenze e responsabilità non meglio definite in assenza di una definizione chiara ed inequivocabile a cui fare riferimento.

La figura del Titolare autonomo viene messa in relazione con quella del Titolare del trattamento. Questi sì che è chiaramente identificato, all’art. 4, § 1, punto 7), come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Così come sono chiaramente definite altre figure contemplate dal GDPR come quella del Rappresentante del Titolare (o del Responsabile), del Contitolare, del Responsabile del trattamento e del Responsabile della protezione dei dati e ancora dei Terzi, dei Destinatari e delle Persone autorizzate. Come si può constatare, non vi è traccia del Titolare autonomo.

La suddetta relazione, di per se stessa, già riconosce l’esistenza di rapporti fra 2 soggetti, il Titolare ed il Titolare autonomo (?), per i quali il secondo effettua, nei confronti del primo, uno o più trattamenti di dati personali. E se c’è questa relazione, come si può parlare di Titolare autonomo?

Facciamo un passo indietro. Chiunque, fatte le debite eccezioni, nello svolgimento della propria attività professionale, in presenza di trattamenti di dati personali di persone fisiche è, per definizione, Titolare del trattamento. Poi succede che fra i due soggetti nasce una relazione che, rivelandosi particolarmente significativa dal punto di vista del trattamento dei dati personali, pone in essere la necessità di una specifica nominalizzazione ed attribuzione di responsabilità in capo ai due soggetti.

Vi si riconoscono, quindi, i rapporti fra:

  • Titolare e Rappresentante che viene designato laddove il titolare del trattamento non è stabilito nell’Unione;
  • Titolare e Contitolare qualora, insieme, determinano congiuntamente le finalità e i mezzi del trattamento;
  • Titolare e Responsabile del trattamento a cui, il primo, ricorre per un trattamento che deve essere effettuato per suo conto;
  • Titolare e Responsabile della protezione dei dati in presenza dei presupposti per la sua designazione obbligatoria;
  • Titolare e Terzi con riferimento ai soggetti nominativamente richiamati;
  • Titolare e Destinatari ai quali si comunicano i dati personali e, infine,
  • Titolare e Persone autorizzate al trattamento dei dati personali sotto la propria autorità.

Non vi è relazione, fra soggetti, che non sia specificatamente definita. Non si può parlare, quindi, di Titolare autonomo perché autonomo non è colui che si rapporta con il Titolare, in presenza di una relazione. La relazione va riconosciuta e definita fra quelle sopra elencate in modo da dare certezza al principio di accountability con individuazione delle rispettive responsabilità.

Parlare di Titolare autonomo significherebbe, fra l’altro, disconoscere l’esistenza di una relazione.

Ho inteso, fra le righe, che non tutti i fornitori hanno motivo di essere identificati. Certo, coloro con i quali io, come Titolare ex art. 4, § 1 punto 7), ho rapporti significativi in termini di trattamento dei dati personali devo necessariamente identificarli come Contitolari o Responsabili del trattamento; non come Titolari autonomi. Perché autonomi rispetto a me Titolare se sussiste una relazione significativa?

Esemplificando. La società XY Spa é Titolare del trattamento. Questa, ai fini privacy, ha relazioni, ovvero rapporti significativi, con il Medico competente, l’Organismo di Vigilanza, il Collegio sindacale, i Revisori legali, ecc.
Non mi soffermo, in  questa sede, per stabilire o esprimere un parere sull’etichetta, sulla figura da attribuire a questo o quel soggetto che si rapporta con il Titolare, la società XY Spa. Resto nella semplice convinzione che questi soggetti non possono essere Titolari autonomi rispetto a XY Spa in presenza di una relazione … e nemmeno Titolari.

La loro esistenza, infatti, è strettamente collegata alla relazione imposta dalle differenti disposizioni di legge nei confronti del Titolare XY Spa.
Il medico competente, il Collegio sindacale, l’Organismo di Vigilanza, e così via, ci sono esclusivamente in funzione della relazione con il Titolare; non hanno una propria ed indipendente identità.

In presenza di siffatto legame faccio molta fatica a riconoscere una qualsiasi autonoma titolarità.

Inoltre, il § “10.” dell’art. 28/679/2016, recita: <<Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione>>.

Il disposto normativo in discorso, pone in essere 2 possibili situazioni. La prima è quella per cui:

  1. assumo, come premessa, il fatto che già mi rivolgo ad un responsabile in quanto a lui ricorro per un trattamento, per mio conto, di dati personali. Dati:
    – di cui io, come Titolare, determino le finalità ed i mezzi di trattamento,
    – per il cui trattamento il Responsabile è tenuto all’osservanza dei requisiti ex art. 28;
  2. se il Responsabile viola il presente regolamento assumendo, a dispetto delle mie istruzioni documentate, una posizione di autodeterminazione delle finalità e dei mezzi di trattamento, allora, per il trattamento in questione, cioè per il trattamento per il quale l’ho designato, assume le responsabilità di Titolare alla stessa stregua per cui il Responsabile è Titolare dei propri trattamenti.

La seconda ipotesi è quella per cui il responsabile (fornitore) che si sottrae alla sottoscrizione della nomina da parte del Titolare (cliente) diventa, a sua volta, Titolare [ex art. 4, § 1 punto 7)] per il trattamento dei dati effettuato per conto del cliente.
Così è, per esempio, per i professionisti iscritti a Ordini e Collegi o per i consulenti informatici che, pur trattando a vario titolo i dati personali riconducibili al Titolare, si considerano dei Titolari autonomi (???).

Ne consegue, per quanto sopra, che anche qui siamo ben lontani dal poter parlare di Titolare autonomo.

Ah, un’altra cosa. Si badi bene che quando parlo di determinazione di finalità e mezzi di trattamento il contesto è quello della protezione dei dati personali senza riferimento alcuno alla libertà organizzativa del proprio lavoro da parte del professionista.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme
Compliance & Management Systems Consultant/Auditor

DPO e RESPONSABILE del trattamento: 2 facce della stessa medaglia?

Ad oltre 2 anni dall’entrata in vigore del GDPR, restano di estrema attualità le riflessioni con cui, in adempimento ai requisiti ex art. 37, § 1, lett. a), b) e c), viene designato il Responsabile della Protezione dei Dati (RPD) ovvero il DPO.

Il Regolamento è perentorio ed individua il DPO in colui che:

  1. ha idonee qualità professionali,
  2. ha la conoscenza specialistica della normativa
  3. ha la conoscenza specialistica delle prassi in materia di protezione dei dati,
  4. ha la capacità di assolvere i compiti di cui all’articolo 39
  5. può svolgere altri compiti e funzioni purché questi non diano adito a conflitti d’interessi del che è garante il Titolare/Responsabile del trattamento

il che non dovrebbe lasciare dubbi a riguardo.

Tuttavia, qualunque sia il motivo, a prevalere è la volontà di concentrare ruoli e funzioni in capo al minor numero possibile di persone supportati, oltre ogni ragionevolezza, della possibilità di svolgimento di altri compiti e funzioni a dispetto di eventuali conflitti d’interesse.
Ecco allora che troviamo il consulente, il giurista, l’esperto informatico o il risk manager avocare a sé sia il ruolo di Responsabile esterno del trattamento, in quanto gestore del trattamento dei dati del Titolare, sia, all’occorrenza, quello del DPO.

Le linee guida del EDPB forniscono chiare indicazioni raccomandando di evitare che il DPO designato ricopra ruoli di vertice (es. amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, responsabile marketing, responsabile IT, direzione risorse umane) o posizioni gerarchicamente inferiori se quest’ultime comportano la determinazione di finalità o mezzi di trattamento. Qui, tuttavia, la fattispecie contrasta comunque con la previsione della designazione del DPO da parte del vertice del Titolare nonché dei presupposti di autonomia ed indipendenza.
In ipotesi di ricorso all’esterno del DPO il conflitto di interessi può poi manifestarsi laddove questi si ritrovi a ricoprire il ruolo di Responsabile o Con-titolare in qualità di, per esempio, RSPP, membro dell’OdV o dell’OdV monocratico, membro del Collegio sindacale, ecc.

Dati questi presupposti, l’orientamento sembra essere quello di evitare la designazione del DPO in capo a soggetti, interni o esterni, che in virtù delle funzioni già ricoperte trattano, a vario titolo, dati personali del Titolare.

MA le linee guida non sono fonti del diritto!

Quindi, è sufficiente che il Titolare/Responsabile afferma che non vi è conflitto d’interessi fra i compiti del DPO e gli altri compiti e funzioni?
No, occorre anche dimostrarlo in maniera inequivocabile!

Esiste un punto molto chiaro nel Regolamento che palesa l’esistenza di un conflitto d’interessi fra i 2 ruoli. Alla lettera h) dell’art. 28 che prescrive che il Responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato evidenziando l’impossibilità che controllore e controllato siano la stessa persona.
Insomma, c’è chi fa e c’è chi controlla!

È presto fatto: per le ispezioni al Responsabile/DPO si ricorre a un auditor interno o, meglio, ad un’organizzazione indipendente esterna evitando così che il Responsabile/DPO possa trovarsi contemporaneamente nella duplice posizione di controllore (come DPO) e di controllato (come Responsabile del trattamento).
Bah, mi sembra un comportamento elusivo e fine a se stesso.

Mi trovo costretto a perorare la mia causa: <<Responsabile e DPO sono funzioni in conflitto d’interessi!>>. Perché, fra l’altro:

  • sono normativamente inquadrati come soggetti fra loro in antitesi;
  • il Responsabile mette in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato;
  • il DPO sorveglia a che siano soddisfatti i requisiti del regolamento e messe in atto le azioni necessarie volte a tutelare i diritti dell’interessato;
  • il Responsabile tratta i dati personali soltanto su istruzione documentata del titolare del trattamento;
  • il DPO svolge i suoi compiti in assoluta assenza di istruzioni, in piena autonomia ed indipendenza.

A porre la dovuta attenzione, da parte del Titolare, circa la più idonea ed appropriata applicazione dei requisiti del GDPR è l’art. 24, 1° paragrafo che contempla, per il Titolare, la messa in atto di misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento tenuto conto (…) dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Fra le misure tecniche e organizzative da considerare, fin dalla progettazione, c’è quindi l’elaborazione di un chiaro organigramma per la data protection, l’individuazione dei singoli ruoli e responsabilità, all’insegna del principio di accountability su cui si basa l’intero regolamento, nonché dei compiti e funzioni che possono avere diversi livelli di probabilità, di essere fra loro in conflitto, ed altrettanti livelli di gravità ovvero di entità del danno che ne può conseguire.
Un’analisi superficiale delle condizioni di conflitto di interesse potrebbe determinare, in capo al Titolare/Responsabile, una culpa in eligendo con il rischio di disconoscimento del DPO e l’irrogazione di sanzioni pecuniarie per la sua conseguente mancata designazione.

Tutto ciò premesso, qualunque sia il risultato della valutazione di questa fattispecie di rischio, è evidente quanto sia utile, opportuno e doveroso tenere, da subito, separati i compiti e le aree di responsabilità in conflitto fra loro per ridurre al minimo le possibilità di trattamento illecito/irregolare degli asset dell’organizzazione quali sono i dati personali.

Marcello Colaianni
Certified DPO UNI11697
Certified DP Auditor ISDP10003 Scheme
Valutatore Privacy Certificato UNI11697

 

Quali le relazioni intercorrenti fra D. Lgs. 81/08, D. Lgs. 231/01 e OHSAS 18001?

L’art. 30/81/08 e smi costituisce l’anello di congiunzione di norme, cogenti e volontarie, riguardanti la Sicurezza sul lavoro (S&SL), i Sistemi di Gestione della Sicurezza sul Lavoro (SGSL) e la Responsabilità amministrativa delle persone giuridiche.

L’obiettivo di questo articolo é quello di dare evidenza alle relazioni che vengono a porsi attraverso il ricorso al dettato legislativo, ad esemplificazioni ed a mie considerazioni.
Andiamo, quindi, con ordine.

L’art. 30/81/08, sui Modelli di Organizzazione e di Gestione (MOG) recita, ai commi 1 e 5:

  • comma 1: “Il modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica di cui al D. Lgs 8 giugno 2001, n. 231, deve essere adottato ed efficacemente attuato, assicurando un sistema aziendale per l’adempimento di tutti gli obblighi giuridici relativi: (…..)”;
  • comma 5: “In sede di prima applicazione, i modelli di organizzazione aziendale definiti conformemente alle Linee guida UNI-INAIL per un sistema di gestione della salute e sicurezza sul lavoro (SGSL) del 28 settembre 2001 o al British Standard OHSAS 18001:2007 si presumono conformi ai requisiti di cui al presente articolo per le parti corrispondenti. Agli stessi fini ulteriori modelli di organizzazione e gestione aziendale possono essere indicati dalla Commissione di cui all’art. 6″

….. dal che si evince il richiamo sia al D.Lgs. 231 che al SGSL secondo le LG o la norma OHSAS 18001.

Ma di cosa si tratta? A cosa fa riferimento la cosiddetta 231 ?


D. Lgs. 8 giugno 2001, n. 231

Disciplina della Responsabilità Amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica a norma dell’art. 11 della legge 29 settembre 2000 n° 300.

Premesso che per l’applicazione delle sanzioni di cui al D. Lgs. 231 é fondamentale che l’Ente abbia tratto interesse e/o vantaggio parziale o esclusivo in relazione al reato commesso, trattasi di una norma di legge che introduce, nell’ordinamento giuridico italiano, la “responsabilità penale” delle persone giuridiche o, più propriamente, la responsabilità amministrativa delle persone giuridiche in ipotesi di reati, dolosi e colposi, commessi da persone fisiche.

Fattispecie: Qualora, all’interno di un’azienda, un soggetto – dal Top manager al neoassunto – commette uno dei reati per il quale il citato decreto attribuisce responsabilità all’ente, quest’ultimo sarà tenuto a risponderne con il rischio di trovarsi assoggettato a sanzioni di natura amministrativa.


LE SANZIONI AMMINISTRATIVE PER GLI ILLECITI DIPENDENTI DA REATO

  1. la sanzione pecuniaria,
  2. le sanzioni interdittive,
  3. la confisca del prezzo o del profitto e
  4. la pubblicazione della sentenza.

Le sanzioni interdittive, in particolare, riguardano:

  • l’interdizione dall’esercizio dell’attività;
  • la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito;
  • il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio;
  • l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi;
  • il divieto di pubblicizzare beni o servizi.

Quanto sopra rende molto bene l’idea dei molteplici rischi cui incorre l’Ente che non adotta un MOG o, diversamente, implementa sì un Modello di Organizzazione e Gestione che si rivela, però, non idoneo né efficacemente attuato.

L’ammontare delle sanzioni pecuniarie, che possono rivelarsi estremamente gravose, piuttosto che il divieto di partecipare ai bandi di gara della Pubblica Amministrazione o ancora il quello di pubblicizzare beni o servizi, portano a conseguenze nefaste o, comunque, deleterie per l’Azienda.

Alla lett. a) dell’art. 6/231/08 e smi, si legge: << l’ente non risponde se prova che l‘organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione (M.O.G.) idonei a prevenire reati della specie di quello verificatosi >>.

STRUTTURA  DEL  MODELLO  DI  ORGANIZZAZIONE  E  GESTIONE

Un elenco degli elementi distintivi del MOG, é il seguente:

  1. Codice etico
  2. Valutazione dei rischi di commissione reato
  3. Individuazione delle funzioni interessate ai rischi reato
  4. Sistema organizzativo-gestionale, Procedure e Protocolli
  5. OdV e flusso informativo
  6. Sistema disciplinare
  7. Informazione, formazione e comunicazione

Relativamente ai reati 231, in questa sede ci riferiamo al reato di  “Omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro” di cui al combinato disposto ex artt. 25-septies del D. Lgs. 231/01 e smi e 300/81/08 e smi.

 

 

D. Lgs. 8 giugno 2001 n° 231 e smi: Art. 6 comma 4bis-seconda parte

Continua

 

2) COMITATO PER IL CONTROLLO SULLA GESTIONE
     COMITATO PER IL CONTROLLO INTERNO

In questo caso il rischio di conflitto d’interessi si insinua con maggiore evidenza perché le attività di controllore e controllato fanno capo allo stesso organo interno. Il suddetto Comitato é un’estrapolazione del Consiglio di Amministrazione (CdA) con propri e specifici compiti dettati anche dall’art 2409-octiesdecies c.c. ed é impensabile che, diversamente dal CdA, possa esimersi dal suddetto controllo.
Allo stesso modo, come già sopra evidenziato, viene meno la costituzione dell’OdV come organismo dell’ente (e non di una sola sua parte).
Anche in questo caso, si confermano i dubbi sui minori oneri amministrativi per le imprese. Tuttavia, a destare maggiori perplessità é la sovrapposizione di quanto alla previsione del comma 4 dell’art. 6/231/01 e smi: <<Negli enti di piccole dimensioni i compiti dell’OdV possono esere svolti direttamente dall’organo dirigente>>, sebbene la fattispecie considerata si riferisca agli amministratori non esecutivi ed indipendenti.

Il suo ruolo, piuttosto, assume grande rilevanza ponendosi come interlocutore aziendale di riferimento ad una molteplicità di stakeholder assumendosi la paternità, a buon diritto:

  • dell’attuazione di un Sistema di Controllo Interno (SCI) a 360° che si sviluppi nella Corporate Governance estendendosi alla Compliance 231 fino alla Corporate Social Responsibility, avvalendosi di risorse interne (per es.: la figura dell’Internal Auditor, il Responsabile dell‘Ufficio legale o l’HR Manager) ed esterne (per es.: il Consulente per la Sicurezza sul lavoro);
  • della vigilanza sullo stesso SCI, sia direttamente sia con il ricorso di Consulenti esterni.

 

3) COMITATO DI SORVEGLIANZA

A riguardo, possono indicativamente valere le stesse considerazioni esposte per il Comitato di Controllo Interno; si ricorda semplicemente che il sistema di governance a cui si fa qui riferimento é quello dualistico.

C O N C L U S I O N I

Dalle suddette riflessioni, valgono le seguenti considerazioni con la premessa che sto esemplificando facendo riferimento ad un OdV plurisoggettivo di 3 membri:

 

  • Innanzitutto, é tanto banale quanto vero, una soluzione univoca ed universale non esiste;
  • Ogni ente – in base alla propria struttura, dimensionale ed organizzativa, nonché alla mappa delle aree a rischio-reato 231 e processi “sensibili” cui é soggetto e considerando i debiti aggiornamenti – valuterà quella che per lui é la più appropriata composizione del proprio Organismo di Vigilanza;
  • Nella realtà, di fatto e a dispetto delle varie e variegate prese di posizione su conflitto d’interessi, autonomia e indipendenza, vi sono OdV che fra i propri membri prevedono figure, per così dire, sconsigliate; vi si trovano infatti Amministratori indipendenti, Compliance Officier, Responsabili amministrativi o HR Manager, RSPP, Sindaci, ecc..

C’é l’imbarazzo della scelta.

Al di là delle differenti competenze, esso può essere costituito da:
• un membro esterno e due interni,
• un membro interno e due esterni,
• tre membri esterni o tre membri interni.
Le suddette ipotesi lasciano spazio all’opportunità di avere personale interno al fine di agevolare e condividere in seno all’OdV, le conoscenze dell’ente, piuttosto che professionisti esterni senza cariche né incarichi professionali con l’ente.
Se nell’OdV c’é almeno un componente dell’azienda, alla facilità di comunicazione circa la conoscenza dell’ente si contrappone il rischio di conflitto d’interessi. Mi si dirà che autonomia e indipendenza devono fare riferimento all’Organismo nel suo complesso e non in capo ai singoli componenti. E’ vero, ma il soggetto interessato dovrà necessariamente astenersi dalle votazioni riguardanti l’operato per le materie che gli sono state assegnate lasciando che ad esprimersene, presupposti permettendo, siano gli altri membri.

Mi chiedo allora: dò una buona immagine presentandomi con delle deroghe/eccezioni? Quale potrebbe essere la reazione del Giudice (penale)?

Se l’OdV risultasse composto da soli professionisti esterni, naturalmente con competenze differenziate e complementari, si avrebbe ugualmente un’adeguata conoscenza dell’ente?

Personalmente ritengo che, in presenza di un‘appropriata continuità d’azione e di idonei flussi informativi attivati fra l’OdV e tutti i suoi interlocutori, quella della conoscenza dell’ente si rivela un falso problema.

Un altro aspetto estremamente importante, specialmente in un contesto nel quale la prevenzione costituisce un atout, é conoscere l’orientamento giurisprudenziale che, oltre a fornire qualche elemento di certezza in più, rappresenta un utile ed ulteriore supporto al dettato legislativo così come alla dottrina.

Qual é il mio punto di vista ?  Dimmi come sei e ti dirò cosa fare !


Fine articolo

D. Lgs. 8 giugno 2001 n° 231 e smi: Art. 6 comma 4-bis – prima parte

Nel novembre del 2011, dopo le diverse modifiche ed integrazioni intervenute dal 2001, il Decreto di stabilità (L. 12.11.2011 n° 183 – G.U. 14.11.2011) – con l’obiettivo di “Ridurre gli oneri amministrativi per imprese e cittadini” – introduce, nel D.Lgs. 8 giugno 2001 n° 231, il comma 4-bis che, all’art. 6, prevede la <<possibilità per il Collegio Sindacale, il Consiglio di Sorveglianza (sistema dualistico) ed il Comitato per il Controllo sulla Gestione (sistema monistico) di svolgere le funzioni dell’Organismo di Vigilanza>>.

Il dettato legislativo apre ad un’infinità di considerazioni:

• „l’art. 6 c.1 lett. b) recita: << (…..) il compito di vigilare sul funzionamento, sull’osservanza dei modelli e di curare il loro aggiornamento sia affidato ad un organismo dell’ente (Organismo di Vigilanza) dotato di autonomi poteri di iniziativa e di controllo>>.

Il decreto fa riferimento all’ <<organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo>> il che non lascia dubbi sul fatto che l’Organismo di Vigilanza (OdV) debba intendersi come Funzione aziendale inserita in Organigramma e posta in staff ai più alti livelli gerarchici dell’impresa, come per esempio il Consiglio di Amministrazione (CdA), per poter esercitare – con l’autorità riconosciutale, l’autorevolezza che la caratterizza e l’autonomia che le viene attribuita – propri poteri di iniziativa e di controllo.

1) COLLEGIO SINDACALE (CS)

Il Collegio Sindacale é, al contrario, un Organo sociale esterno e non un Organismo dell’ente. Non si é mai visto un Collegio sindacale far parte della struttura organizzativa aziendale.
Se il CS può svolgere, come estensione delle proprie funzioni, anche quelle dell’OdV, delle due l’una:

• o l’OdV vede come propri membri i sindaci del CS ed in questa veste svolgono le funzioni di vigilanza sul funzionamento e l’osservanza dei modelli di organizzazione curando il loro aggiornamento il che determinerebbe, nella fattispecie, una ridondanza di funzioni organizzative;
• o l’istituzione dell’organismo dell’ente viene meno ravvisando una contraddizione nella norma ovvero una sua inadempienza.

Mi chiedo: il doppio ruolo assunto dal CS può creare qualche conflitto d’interessi?

• forse per la diversa estensione e gerarchia dell’oggetto del controllo oppure
• perché il CS può rivelarsi un possibile soggetto a conoscenza dei fatti e ritrovarsi coinvolto nel rischio del verificarsi di alcuni reati 231 e, quindi, nelle condizioni di ergersi a ruolo di controllore di se stesso. Se si sta consolidando, in dottrina, la tesi per cui il Responsabile del Servizio di Prevenzione e Protezione (R.S.P.P.) non può essere membro dell’OdV in quanto “palesemente” in conflitto d’interessi perché soggetto interessato al rischio-reato ex art. 25-septies/231: <<Omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro>>, non di meno, il suddetto ragionamento dovrebbe valere per gli Organi richiamati nel citato comma 4-bis essendo, con estrema ragionevolezza, suscettibili di coinvolgimento per altri rischi-reato 231 quali: Concussione e corruzione (Art. 25), Reati societari (Art. 25-ter), Abuso di mercato (Art. 25-sexies); per fare alcuni esempi.
E ancora: come troverebbe applicazione il Sistema Disciplinare a carico dei Sindaci quando questi avocano a sé anche le funzioni dell’OdV?

Quanto sopra, già mette in discussione due delle quattro caratteristiche che le Linee Guida di alcune associazioni di categoria attribuiscono all’OdV, quelle dell’autonomia e dell’indipendenza.

Relativamente alla professionalità – considerando la consueta caratterizzazione professionale dei Sindaci (almeno un Revisore e gli altri iscritti all’Albo degli Avvocati, dei Dottori commercialisti ed Esperti contabili o dei Consulenti del lavoro) – devo pensare che essi siano anche depositari delle conoscenze di materie a loro usualmente estranee o abbiano la necessità di avvalersi di altre tipologie di professionisti (per esempio con riguardo alla Sicurezza sul lavoro) a complemento delle proprie competenze. Una professionalità, pertanto, che in assenza di presupposti dovrebbe essere colmata.

Con riferimento alla quarta ed ultima caratteristica, la continuità d’azione, l’aspettativa é quella di veder prevalere l’applicazione del comma 1 ex art. 2403-bis c.c.: <<Poteri del collegio sindacale: i sindaci possono in qualsiasi momento procedere, anche individualmente, ad atti d’ispezione e di controllo>> sull’art. 2404 c.c., c. 1: <<Riunioni e deliberazioni del collegio: il collegio sindacale deve riunirsi almeno ogni novanta giorni>> in quanto la, generalmente consueta, periodicità trimestrale appare piuttosto riduttiva, se non del tutto insufficiente, di per se stessa ma soprattutto in relazione alla mole di lavoro che il CS si ritroverebbe all’ordine del giorno.

Un aspetto piuttosto importante, invero, é l’opportunità, all’interno dell’OdV, di un background che si avvicini di più a determinate tecniche di controllo del tipo di quelle che fanno riferimento ai Sistemi di Controllo Interno [per es.: il Committee of Sponsoring of the Tradeway Commissione (CoSO Report) – l’Enterprise Risk Management (ERM), ecc.] o ai Sistemi di Gestione Aziendale (ISO 9001, 14001, OHSAS 18001, SA8000, ecc.); attività che sono proprie dell’Internal Auditor e dell’Auditor/Consulente di Sistemi di Gestione Aziendale; ciò anche per una vigilanza sull’idoneità della struttura del Modello di Organizzazione e Gestione (MOG) ai fini della sua efficace attuazione.

Qualora, infine, in osservanza all’art.2477 c.c., il CS sia sostituito da un unico Sindaco revisore, come si può pensare che una sola persona, per quanto competente, possa essere onnisciente? E’ ragionevole, in siffatta ipotesi, il ricorso a consulenti esterni.
E in caso di risposta positiva, a quale costo?

Tutto ciò premesso, dove stanno i minori oneri amministrativi per le imprese di cui al Decreto di stabilità?
L’imprenditore può forse pensare che non gli giungano richieste di aumenti di compensi a seguito dello <<svolgimento delle ulteriori funzioni dell’Organismo di Vigilanza?>>

 

Fine prima parte