E’ possibile integrare il modello di gestione e controllo MOGC (D.LGS 231/2001) con il Regolamento Europeo (GDPR 679/2016) e creare delle sinergie?
Assolutamente si! Possibile e necessario per una corretta e responsabile governance aziendale.
Negli ultimi anni alcune norme e regolamenti europei hanno introdotto il principio dell’Accountability in capo agli imprenditori. Un complesso sistema di adempimenti con un approccio RISK BASED che non può ignorare alcune urgenze che impattano su tutte le Organizzazioni e impongono delle analisi e collaborazioni trasversali a tutte le funzioni aziendali.
In particolare il Regolamento Europeo con il suo impianto normativo spinge le Organizzazioni ad un cambiamento in termini organizzativi e a dotarsi di un modello di gestione che possa rappresentare un “insieme di elementi correlati o interagenti di un’Organizzazione finalizzato a stabilire politiche, obiettivi e processi per conseguire gli obiettivi”. Potremmo quindi far riferimento a un Modello Organizzativo anche per le tematiche Privacy (in breve MOP).
BREVEMENTE
il D.Lgs. n. 231/01 è un decreto che introduce la responsabilità amministrativa delle Società le quali, in caso di reati commessi dai suoi membri nell’esercizio delle loro funzioni aziendali, incorreranno in sanzioni amministrative e penali.
Il GDPR n. 679/2016 (General Data Protection Regulation): adeguamento alle nuove disposizioni comunitarie in materia di trattamento e protezione dei dati personali al fine di garantire una maggiore certezza normativa e giuridica anche nel caso di trasferimento dei dati verso altri paesi extra UE.
ELEMENTI DI CONVERGENZA
Entrambi i modelli puntano a prevenire un rischio. Le previsioni del D.Lgs 231/2001 ancorchè funzionali ad esonerare l’Ente da responsabilità per reati commessi nel suo interesse e/o vantaggi, mirano a costruire un sistema di tutela “indiretta” anche per i diritti e le libertà dei titolari dei dati personali soggetti a trattamento, integrando in questo modo gli adempimenti previsti dal GDPR.
Quali sono gli elementi di contatto tra i due modelli/sistemi?
Il MOP presenta molti punti di contatto con le disposizioni dettate dal D.Lgs 231/2001. Esso si propone come uno strumento avente lo scopo di fornire in modo organico e compatto un apparato anche documentale afferente un determinato aspetto/settore.
L’ampliamento di responsabilità comune alle due normative mira a coinvolgere il patrimonio degli enti e gli interessi economici dei Soci, che in precedenza ed entro certi ambiti non subivano conseguenze in seguito alla realizzazione dei reati commessi, con vantaggio della Società, da amministratori e/o dipendenti.
Si viene a scardinare un solido principio secondo il quale “Societas delinquere non potest”.
Il D.Lgs 231/2001 disciplina una particolare forma di responsabilità giuridica che ha natura sostanzialmente penale, poiché sorge in dipendenza di un fatto di reato, accertata all’interno di un processo penale.
Coesistono dunque molti elementi di contatto tra i due modelli, evidenziamo alcuni punti che possono essere definiti denominatori comuni caratterizzati da:
- il Codice Etico: esso definisce un complesso di norme etiche e sociali al quale si devono attenere tutti coloro che operano all’interno di un’Organizzazione. Rappresenta inoltre una forte motivazione per il rispetto di regole di qualità, stimola azioni correttive al fine di migliorare i rapporti tra aziende; è uno dei capisaldi della corretta applicazione del D.Lgs n. 231/2001 ed è parte della tematica più generale sulla Responsabilità Sociale d’Impresa. Il documento contiene l’insieme dei diritti e dei doveri dell’Organizzazione nei confronti di tutte le parti interessate. Può essere supportato anche da un insieme di esempi che illustrino le “norme di comportamento” e gli “esempi di non conformità al GDPR”. Esso costituisce un mezzo efficace per prevenire comportamenti irresponsabili o eventualmente illeciti da parte di coloro che operano in nome e per conto dell’Organizzazione perché introduce una definizione chiara ed esplicita delle responsabilità di ciascun operatore verso coloro che sono coinvolti direttamente o indirettamente nell’attività dell’Organizzazione e cioè clienti, fornitori, soci, dipendenti, collaboratori, istituzioni pubbliche e chiunque altro sia interessato dall’attività dell’Organizzazione;
- l’analisi dei rischi: entrambi i sistemi prevedono l’analisi dei processi, delle attività e dei ruoli per mappare i possibili fattori di rischio ai danni dei dati personali delle persone e configurare le ipotesi di reato. Si adotta un approccio inverso, partendo dal rischio per individuare le modalità di prevenzione;
- un Organigramma la cui funzione è quella di individuare e descrivere i ruoli assegnati, corrispondenti al criterio della Segregation of Duties (Sod) su cui si basa il Sistema 231 il quale impone che un’Organizzazione sia articolata su di una segmentazione di ruoli più o meno granulare e delle responsabilità, affinché nessuno possa gestire autonomamente un intero processo;
- l’informativa agli interessati: gli interessati dalle procedure e dai flussi che afferiscono all’applicazione del D.Lgs 231/2001 devono essere informati che i loro dati saranno trattati nell’ambito dei controlli e delle verifiche svolte dagli Organismi di Vigilanza e dalla funzione di Internal Audit, relativi alla verifica della applicazione delle procedure previste, dei flussi e delle eventuali indagini a seguito di segnalazioni. Tali contenuti, implicanti naturalmente l’aggiornamento del registro dei trattamenti e dell’analisi dei rischi, devono essere presenti in tutte le informative previste per i soggetti esterni quali membri del CDA, fornitori, ecc.;
- i reati informatici: tra i reati che rientrano nel perimetro di quelli considerati dal D.Lgs 231/2001 si annoverano anche quelli “informatici”, un insieme di reati che afferiscono alla sfera dell’area ITC. Alcune misure di mitigazione previste per la protezione dei dati possono essere adottate per la prevenzione dei reati informatici previsti dal D.Lgs 231/2001;
- i reati in materia di copyright: tra i reati contemplati dal D.Lgs 231/2001 rientrano anche quelli relativi alla gestione della normativa in materia di copyright che possono impattare seppure indirettamente sulle licenze Software. Le procedure che potrebbero essere richiamata dal MOP possono afferire anche al MOG (es. configurazione dell’Hardware in relazione al ruolo ricoperto dai collaboratori aziendali con impatto sulla configurazione del SW). Da tale aspetto, risalta il punto di contatto tra il D.Lgs 231/2001 e gli aspetti relativi alla protezione dei dati personali;
- la procedura data breach: i punti di collegamento tra i due modelli vengono alla luce in relazione alle procedure da adottare per rilevare e segnalare eventuali infrazioni. Nella fattispecie, la procedura data breach risponde alle stesse esigenze che il Modello 231 impone allorché sussista l’obbligo di fornire informazioni o segnalare anomalie all’Organismo di Vigilanza;
- la formazione: una delle fondamentali misure atta a consentire di applicare in maniera efficace entrambi i Modelli. L’art. 6 del D.Lgs 231/2001 dispone infatti che il Modello Organizzativo affinchè sia adottato ed attuato con efficacia occorre che i dipendenti siano adeguatamente formati. Parimenti , il requisito del GDPR ai sensi dell’art. 32 si deve ritenere soddisfatto nella misura in cui la formazione sia erogata e sia verificata, non bastando la sola partecipazione alla seduta formativa.
CONSIDERAZIONI FINALI
Tenendo in debita considerazione tutti gli aspetti normativi e legali che sono stati esposti, è d’obbligo evidenziare una considerazione di carattere organizzativo che impatta sul capitale umano.
Entrambi i modelli poggiano su di un elemento fondamentale: l’ACCOUNTABILITY, ovvero un profondo senso di responsabilità che deve permeare non solo le figure apicali e l’imprenditore, ma tutti coloro che operano all’interno di una Organizzazione.
Vogliamo dire che ogni Organizzazione deve condividere il PURPOSE, il perché esiste (strategia, cultura, operatività) e può realizzarlo attraverso:
- l’orientamento allo scopo aziendale
- l’organizzazione
- la responsabilizzazione
- l’apprendimento
- l’integrazione
Seguendo questi step e creando la giusta cultura aziendale ogni modello che verrà implementato sarà adeguato e adatto ad esprimere tutto il suo potenziale, sarà concepito in ogni sua parte come un “vestito su misura”, aderente all’Organizzazione.
Proprio per questi motivi ogni modello è visto come una forma di mitigazione atta a soddisfare il principio di “accountability” rappresentando la capacità di dimostrare o meglio “rendicontare” le azioni di responsabilizzazione adottate dall’Organizzazione.
I professionisti di YourGroup possono supportare le Aziende nell’implementazione di questi processi.
Qualunque sia la dimensione dell’Organizzazione!
