|
PRIVACY E 231
NUOVI MODI DI FARE IMPRESA
Analogie e parallelismi tra i due
adempimenti
 Rosario
Imperiali
Studio Legale Imperiali
rosario.imperiali@imperiali.com
Una delle novità di maggior rilievo, introdotte
dal d.lgs. 196/2003, riguarda l'obbligo, per le società e
gli enti tenuti alla pubblicazione del bilancio di esercizio
e dei documenti allegati, di attestare, nella relazione accompagnatoria
degli amministratori allegata al bilancio, l'avvenuta redazione
e aggiornamento del Documento Programmatico sulla Sicurezza
(DPS). Quest'ultimo è un piano aziendale, la cui redazione è obbligatoria
per legge - e sanzionata penalmente in caso di omissione
- in tutti i casi di trattamento con strumenti elettronici
di dati sensibili e/o giudiziari. L'attestazione di tale
adempimento nella relazione accompagnatoria al bilancio d'esercizio
segna la continuità tra il diritto societario e il
diritto "privacy", imprimendo al DPS il rango di
vero e proprio "bilancio" sulla sicurezza, fondato
su un modello organizzativo e di gestione del rischio "sicurezza" in
continuo divenire: attraverso tale modello, si fissano i
ruoli e le responsabilità connessi ai trattamenti
operati in azienda e, sulla base dei risultati conseguiti
nel precedente esercizio, si identificano le aree a rischio
da presidiare nel corso dell'esercizio successivo, nonché il
piano di attuazione in materia coi relativi obblighi di formazione
dei dipendenti, verifiche intermedie e così via. La
stessa logica di processo aziendale presiede all'adozione
del modello organizzativo di prevenzione della responsabilità "di
impresa", introdotta dal d.lgs. 231/2001 per i reati
di frode, malversazione, corruzione e altri commessi - dagli
organi sociali (CdA, amministratore delegato, eccetera) o
da singoli esponenti aziendali (dirigente, dipendente, consulente
esterno) - nell'interesse o a vantaggio della società.
In questi casi, il decreto prevede una forma di "esonero" da
responsabilità per l'azienda che dimostri, nel corso
del procedimento penale per uno dei reati considerati, di
aver adottato ed efficacemente attuato modelli di organizzazione,
gestione e controllo idonei a prevenire la commissione del
reato per cui si procede e di aver istituito un organismo
indipendente e autonomo, competente a vigilare sull'attuazione
dei modelli. Al contrario, l'assenza del modello organizzativo
di prevenzione dei reati espone l'impresa a una presunzione
di responsabilità che non ammette prova contraria.
Ciò non significa, tuttavia, che la società sia
obbligata a dotarsi di un modello organizzativo "231",
così come è invece obbligata, da apposita sanzione
penale prevista dal Codice Privacy (art. 169), a dotarsi
del DPS. In ciò risiede la differenza più saliente
tra i due adempimenti: mentre le misure minime di sicurezza
previste dal Codice Privacy e culminanti nel DPS integrano
un obbligo di legge sanzionato penalmente, la scelta di adottare
o meno il modello 231 è rimessa a una valutazione
discrezionale dell'imprenditore. Il diverso valore giuridico
dei due adempimenti tende a sfumare alla luce delle recenti
integrazioni apportate - all'impianto originario del D.lgs.
231/2001 - dalla Finanziaria 2005. Con essa, viene dettata
una specifica prescrizione in base alla quale tutti gli enti
e le società che fruiscono di finanziamenti a carico
di bilanci pubblici o dell'UE - in materia di avviamento
al lavoro, aggiornamento e formazione professionale, utilizzazione
di lavoratori, sgravi contributivi per personale addetto
all'attività produttiva - devono dotarsi, entro il
31 ottobre 2005, di "specifiche misure organizzative
e di funzionamento idonee a prevenire il rischio del compimento
di illeciti nel loro interesse o a loro vantaggio, nel rispetto
dei principi previsti dal decreto legislativo, 6 giugno 2001,
n.231" (art. 1, comma 82, legge 311 del 2004). L'adozione
di un modello organizzativo di prevenzione dei reati è sancita,
al pari del DPS, in termini di vero e proprio obbligo a carico
delle imprese che accedano a una particolare tipologia di
fondi pubblici: quelli destinati all'area formazione/lavoro.
A conferma di tale obbligatorietà, sono previste ispezioni
da parte di appositi organismi pubblici - ai quali va tempestivamente
comunicata l'adozione delle misure di prevenzione individuati
nei comitati di coordinamento finanziario regionale competenti
per territorio. Protagonista di questa operazione di "messa
a norma" sarà l'Istituto per lo sviluppo e la
formazione professionale dei lavoratori (Isfol) che ha il
compito di verificare e approvare la conformità -
agli obiettivi fissati dalla norma - di quelle già adottate
dalle imprese. Il processo vedrà coinvolta anche l'Agenzia
delle Entrate che comunica all'Isfol, in modalità telematica,
l'elenco degli enti beneficiari delle agevolazioni o degli
incentivi in materia di formazione e avviamento al lavoro.
Se la nuova Finanziaria riduce espressamente la discrezionalità degli
organi sociali nell'adottare o meno il modello organizzativo
231, non va taciuto che il carattere facoltativo della scelta
appariva, di fatto, già limitato dal coordinamento
tra la disciplina 231 e il nuovo regime di responsabilità degli
amministratori di società introdotto dalla legge di
riforma del diritto societario (l. n. 366/2001) ove si prevede,
a carico degli amministratori, un duplice dovere di vigilanza:
uno consistente nell'onere di adempiere a tutti gli obblighi
previsti dalla legge e dall'atto costitutivo (art. 2392.1
c.c.) al quale, pertanto, è riconducibile anche l'adozione
del DPS e delle altre misure minime di sicurezza e la relativa
attestazione nei documenti di bilancio, l'altro nell'obbligo
di vigilare sul generale andamento della gestione, facendo
quanto possibile per evitare ed eliminare le conseguenze
dannose per la società derivanti da atti pregiudizievoli
di cui gli amministratori siano a conoscenza (cfr. art. 2392.2
c.c.). In questa prospettiva, l'introduzione del modello
organizzativo 231 diviene, perciò, oggetto di un dovere
di vigilanza specifica che grava sugli amministratori: l'inosservanza
di questo dovere espone l'organo dirigente all'azione di
responsabilità civile per i danni causati alla società chiamata
a rispondere per illecito 231, alla stessa stregua di quanto
può accadere per i danni derivanti dalla mancata adozione
del DPS e delle altre misure minime di sicurezza, ferma restando,
in quest'ultimo caso, la sanzione penale prevista dal Codice
Privacy (art. 169). Ma il parallelismo tra i due adempimenti
non si arresta al carattere della obbligatorietà.
Come già accennato, DPS e Modello di Organizzazione
e Gestione del rischio di reato sono legati allo stesso processo
di minimizzazione del rischio: in entrambi i casi, è necessario
individuare tutte le possibili aree di rischio, con particolare
attenzione alle attività che portano l'azienda a confrontarsi
in vario modo con le "minacce" prefigurate dai
due processi, sia che riguardino il trattamento di dati sensibili
con strumenti elettronici (DPS) o i rapporti con la Pubblica
Amministrazione (M.O. 231). Ma le analogie non si fermano
qui. I due modelli di compliance aziendale possono, infatti,
interagire in vista della prevenzione di reati che, considerati
nell'unicità del disegno criminoso, incidono sia sulla
sfera del "Data Security", tutelata dal DPS, sia
su quella della criminalità d'impresa fronteggiata
dal modello organizzativo 231: è il caso del trattamento
illecito di dati personali che sia finalizzato alla indebita
percezione di erogazioni pubbliche, alla frode informatica
a danno della P.A. o alla pedofilia on line, tutti reati
per i quali è prevista, in aggiunta alla responsabilità penale
dell'autore materiale, quella 231 a carico della società.
Allo stesso modo, la falsa attestazione dell'avvenuta redazione
o aggiornamento del DPS - in realtà mancante - in
quanto falsità riportata nella relazione degli amministratori
allegata al bilancio, può integrare sia il reato di
false comunicazioni sociali - al quale è estesa la
responsabilità 231 della società - sia quello
di omessa adozione di misure minime di sicurezza, punito
dal Codice Privacy. Più in generale, un trattamento
illecito di dati personali o una procedura di gestione delle
informazioni aziendali in difformità dalle prescrizioni
del Codice Privacy e del Disciplinare Tecnico ad esso allegato,
sono idonei ad agevolare, in concreto, la commissione di
diversi fatti delittuosi di cui la società può essere
chiamata a rispondere in base al d.lgs.231. Alla luce di
tali rilievi sulla sostanziale omogeneità delle due
discipline, emerge una nuova frontiera di due diligence aziendale,
in cui la confluenza tra i modelli organizzativi "Privacy" e "231" necessita
di gestione unitaria da parte di un'unica funzione di internal
auditing: è possibile, cioè, prospettare la
creazione di una unità di coordinamento interna alla
società che cumuli le funzioni dell'Organismo di Vigilanza
sul modello organizzativo 231 con quelle di Centro di Competenza "Privacy" preposto
alla corretta gestione dei flussi informativi aziendali e
alla manutenzione e aggiornamento del DPS. Un tale modello "integrato" di
governo societario, supportato costantemente da un monitoraggio
coordinato e da un'analisi dei rischi mirata, può essere
impostato dal management non solo per rispondere a obblighi
di legge, ma anche per migliorare la qualità dei processi
decisionali.
|
