Il 25 gennaio, la signora Viviane Reding, vicepresidente della Commissione europea, ha presentato la Privacy che verrà all’interno dell’Unione Europea entro la fine del 2014.

Gli aspetti chiave del Progetto di Regolamento sono:

Più diritti per gli Interessati

• Ogni volta che è previsto il consenso per il trattamento, questo dovrà essere fornito espressamente, piuttosto che presunto.
• Gli Interessati avranno un “diritto alla portabilità dei dati“, che consentirà loro di trasferire i dati personali da un fornitore di servizi ad un altro più facilmente.
• Agli Interessati sarà riconosciuto un “diritto all’oblio“, che permetterà loro di ottenere la cancellazione dei dati presenti online se non vi sono motivi legittimi per il loro mantenimento (salvo eccezioni).
• Gli Interessati potranno rivolgersi al Garante Privacy del proprio Paese di residenza, anche quando i loro dati sono trattati da una società con sede al di fuori dell’UE.

Maggiori obblighi e responsabilità per i Titolari di trattamento

• Ai Titolari  sarò richiesto di realizzare un vero e proprio Privacy Impact Assessment (una versione evoluta dell’attuale DPS);
• I Titolari saranno tenuti a comunicare all’autorità di controllo nazionale le violazioni alla sicurezza dei dati, se possibile entro 24 ore, e se la violazione possa ripercuotersi negativamente sulla tutela dei dati personali o la vita privata degli Interessati;  il Titolare sarà, inoltre, tenuto a comunicare la violazione di dati personali agli interessati, senza ritardo.
• I Titolari di trattamento avranno  a che fare con una singola autorità nazionale di protezione dei dati nel paese dell’UE in cui hanno la sede principale.

Sanzioni inasprite

• Per violazione della normativa sul trattamento dei dati personali, i Titolari saranno esposti a sanzioni fino a € 1 milioni di euro o al 2% del fatturato globale annuo della Società.

Il nuovo Regolamento Privacy entrerà in vigore due anni dopo la sua adozione, verosimilmente entro la fine del 2014.

Con gennaio che volge al termine, iniziamo il nostro consueto avvicinamento alla più importante scadenza privacy dell’anno fissata nella data del 31 marzo.

Cosa va fatto entro il 31 marzo

Entro il 31 marzo ogni Titolare di trattamento (Azienda, Libero Professionista, Ente, Associazione, etc.) deve metter mano ai Sistema Privacy adottato e realizzare i seguenti adempimenti:

• Aggiornamento del Sistema Privacy alla luce delle modifiche alla normativa di riferimento
• Aggiornamento del DPS
• Redazione della nota di avvenuto aggiornamento del DPS per l’anno in corso da inserire nella relazione accompagnatoria al bilancio d’esercizio
• Verifica delle attività degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, ad un’attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti
• Verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione
• Aggiornamento del mansionario Privacy e delle attività svolte in outsourcing (Incaricati e Responsabili del trattamento)
• Programmazione degli interventi formativi.

Nei prossimi Post affronteremo ciascuno dei sopra indicati Punti segnalando soluzioni concrete e, ove possibile, proponendo facsimili documentali.

Cari amici,

come oramai consuetudine d’inizio anno, in vista delle scadenze del 31 marzo, Studio Mazzolari propone il proprio Modello di Documento Programmatico sulla Sicurezza (DPS 2012) semplificato.

Il Modello è aggiornato con le ultime novità legislative e dottrinali (da ultimo il  Decreto Legge “Salva Italia” 6 dicembre 2011 n°20) e arricchito di nuove note esplicative.

Passiamo ora ad un breve reminder.

Chi può redigere il DPS in forma semplificata?

Possono redigere un DPS in forma semplificata piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per correnti finalità amministrativo-contabili (inclusi i dati personali di carattere sensibile).

Per trattamenti effettuati per finalità amministrativo-contabili si intendono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.

Entro quando va redatto e/o aggiornato il DPS?

Entro il 31 marzo di ogni anno.

Quale la più importante novità rispetto all’edizione 2011

La novità più rilevante è figlia del Decreto Monti, ovvero: le informazioni relative a persone giuridiche, enti o associazioni non sono più dati personali, ergo non sono più meritevoli di protezione secondo il DLgs 196/2003. 

Attraverso la limitazione della definizione di dato personale che ora coinvolge solo ed esclusivamente persone fisiche, l’Italia si riallinea alla normativa della maggior parti dei Paesi dell’Unione Europea. Pertanto, da oggi in poi, quando si parla di “Interessato” ci si riferisce solo ad una persona fisica (per un approfondimento: SMBlog).

A tutti ancora un sereno 2012 e buon lavoro.

Scarica il Facsimle DPS 2012 Semplificato

Con la pubblicazione in Gazzetta Ufficiale il 6 dicembre 2011, il Decreto Monti (DL 201/2011) è entrato in vigore. 

Diciamo una, una sola novità, ma di portata copernicana: le informazioni relative a persone giuridiche, enti o associazioni non sono più dati personali, ergo non sono più meritevoli di protezione secondo il DLgs 196/2003.

Attraverso la limitazione della definizione di dato personale che ora coinvolge solo ed esclusivamente persone fisiche, l’Italia si riallinea alla normativa della maggior parti dei Paesi dell’Unione Europea. 

Pertanto, da oggi in poi, quando si parla di “Interessato” ci si riferisce solo ad una persona fisica, unico soggetto cui l’ordinamento riconosce il sacrosanto diritto alla riservatezza e, quindi, unico soggetto che potrà esercitare i diritti previsti dall’Art. 7 del Codice Privacy (Diritto di accesso ai dati personali ed altri diritti), diritti che si sostanziano il quel diritto di partecipazione al trattamento perno dell’intero sistema privacy, ovvero il diritto:

• di ottenere l’indicazione dell’origine dei dati personali, delle finalità e modalità del trattamento (…);
• di ottenere l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati (…);
• di opporsi, in tutto o in parte :
• per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
• al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Cosa cambia nella sostanza?

Nella pratica quotidiana, a parte il venir meno dell’obbligo di Informativa verso soggetti diversi da persone fisiche,  l’unica vera rivoluzione riguarda i trattamenti finalizzati all’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale  a mezzo fax, email, Mms, Sms, che ora sono completamente liberalizzati senza più necessità di alcun consenso preventivo del destinatario società, ente, pubblica amministrazione o associazione.

Quale l’obiettivo delle modifiche al Codice Privacy?

L’obiettivo è quello di escludere dalla protezione del  Codice Privacy le informazioni relative a persone giuridiche, enti e associazioni (imprese ed enti pubblici in primis), ma non quello di eliminare gli adempimenti per questi soggetti.

Come gestire la Privacy Compliance post Decreto Monti?

Se da una parte, ora, le imprese (ed enti ed associazioni) non dovranno più preoccuparsi della normativa privacy quando trattano dati di altre imprese (ed enti ed associazioni), dall’altra parte dovranno continuare a realizzare tutti gli altri adempimenti quando trattano informazioni relative a persone fisiche, tra le quali: i propri dipendenti e collaboratori, fornitori, clienti…

In pratica, dovranno continuare ad adottare tutte le misure minime e necessarie di sicurezza previste dal DLgs 196/2003 e successivi Provvedimenti del Garante (presidiate da sanzioni sia di carattere amministrativo che penale), tra cui:

• Redazione idonee Informative (Art. 13 DLgs 196/2003)
• Informative Dipendenti e Collaboratori
• Informative Clienti, Fornitori, Potenziali Clienti, Terzi
• Informative utenti sito web
• Informativa Candidati all’assunzione
• Privacy Policy sito web.
• Nomina Incaricati al trattamento dati personali (Art. 30 DLgs 196/2003)
• Redazione documento che individua l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa
• Redazione lettere d’incarico per ciascun incaricato al trattamento dati personali
• Nomina Responsabili al trattamento dati personali e analisi trattamenti affidati in outsourcing (Art. 29  DLgs 196/2003)
• Redazione lettera di nomina per ciascun Responsabile al trattamento dati personali
• Analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda
• Analisi dei flussi di dati intra ed extra Unione Europea
• Individuazione dell’idoneo rapporto da formalizzare con i soggetti esterni ai quali viene affidato il trattamento dati personali.
• Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1° Marzo 2007)
• Redazione Disciplinare interno obbligatorio relativo all’uso di Internet e della posta elettronica
• Procedura sindacale prevista dall’Art 4 L. 300/70 (Statuto Lavoratori) per l’adozione del Disciplinare
• Nuove prescrizioni in tema di Amministratori di sistema (Art 154 comma 1 lett. c) e h) DLgs 196/2003, Provvedimento Garante 27 Novembre 2008)
• Adempimenti procedurali e redazione documentazione richiesta dal Provvedimento Generale 27 novembre 2008 – Garante privacy
• Adozione idoneo software.
• Nuove prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010)
• Adempimenti procedurali
• Adozione delle nuove misure necessarie di sicurezza.
• Gestione Privacy Policy sito web, Newsletter e Servizi interattivi
• Procedure di gestione dati personali utenti sito web
• Procedure di attivazione e gestione servizio Newsletter
• Procedure di attivazione e accesso aree riservate
• Documento Programmatico sulla Sicurezza (DPS)
• Redazione/aggiornamento DPS in forma ordinaria/semplificata oppure autocertificazione sostitutiva,
• Formazione del Personale

In conclusione

Con un Provvedimento a carattere generale, lo scorso 4 ottobre il Garante Privacy, attraverso lo strumento del c.d. Bilanciamenti di interessi già utilizzato nei settori della videosorveglianza e dell’utilizzo degli strumenti elettronici nei luoghi di lavoro,  ha individuato le condizioni alle quali i datori di lavoro possono ricorrere  all’installazione di sistemi di localizzazione e di comunicazione (anche in tempo reale) della posizione rilevata a bordo dei veicoli impiegati, senza l’acquisizione del consenso dell’Interessato (lavoratore).

La possibilità di individuare in un dato momento la posizione dei veicoli (e quindi dei lavoratori) mediante sistemi di localizzazione risulta utile per soddisfare esigenze organizzative e produttive ovvero per la sicurezza sul lavoro. Tali finalità ricorrono senz’altro, ad esempio, in caso di impiego dei sistemi in esame per:

• soddisfare esigenze logistiche (consentendo di impartire tempestive istruzioni al conducente del veicolo oggetto di localizzazione);
• elaborare rapporti di guida allo scopo di commisurare il tempo di lavoro del conducente (con la conseguente determinazione della retribuzione dovuta, anche in vista dell’assolvimento degli obblighi legali connessi alla tenuta del libro unico del lavoro previsto dall’art. 6, D.M. 9 luglio 2008);
• commisurare i costi da imputare alla clientela;
• assicurare una più efficiente gestione e manutenzione del parco veicoli, con effetti vantaggiosi anche sulla sicurezza sul lavoro e per la sicurezza della collettività.

Le condizioni di legittimità del trattamento

Rispetto dello Statuto dei Lavoratori

La localizzazione dei veicoli può comportare una  forma di controllo a distanza dell’attività dei lavoratori, pertanto, oltre alla disciplina di protezione dei dati personali, deve altresì essere rispettata la disciplina dettata dall’art. 4 della legge 20 maggio 1970, n. 300 (Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e nell’attività sindacale nei luoghi di lavoro e norme sul collocamento).

Principi di pertinenza e non eccedenza

Possono formare oggetto di trattamento, mediante sistemi opportunamente configurati (art. 3 del Codice), solo i dati pertinenti e non eccedenti. Tali possono essere, oltre all’ubicazione del veicolo:

• la distanza percorsa,
• i tempi di percorrenza,
• il carburante consumato,
• la velocità media del veicolo (restando riservata alle competenti autorità la contestazione di eventuali violazioni dei limiti di velocità fissati dal codice della strada).

Nel rispetto del principio di necessità (artt. 3 e 11, comma 1, lett. d), del Codice):

• la posizione del veicolo di regola non dovrebbe essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite,
• i tempi di conservazione delle diverse tipologie di dati personali eventualmente trattati siano commisurati tenendo conto di ciascuna delle finalità in concreto perseguite.

Informativa degli interessati

Tenuto conto delle diverse finalità perseguite, ai lavoratori dovranno essere forniti gli elementi informativi prescritti dall’art. 13 del Codice unitamente a compiuti ragguagli sulla natura dei dati trattati e sulle caratteristiche del sistema (sì che risulti chiaramente che il veicolo è soggetto a localizzazione).

A tal fine, i datori di lavoro che si avvalgano di sistemi di localizzazione sui veicoli utilizzati per l’esecuzione di prestazioni lavorative dovranno anche collocare all’interno dei veicoli vetrofanie recanti la dizione “VEICOLO SOTTOPOSTO A LOCALIZZAZIONE” o comunque avvisi ben visibili che segnalino la circostanza della geolocalizzazione del veicolo, anche avvalendosi del modello riportato in fac-simile.

Responsabili e incaricati del trattamento dei dati di localizzazione

I dati relativi alla localizzazione dei veicoli devono essere trattati unicamente dagli Incaricati che, in ragione delle mansioni svolte, devono poter accedere a tali informazioni per dare attuazione ai propri compiti (quali il personale incaricato di gestire la logistica, i servizi di magazzino e di manutenzione del parco veicoli, ovvero quello operante nell’ambito della gestione delle risorse umane).

Considerato che i trattamenti dei dati di localizzazione sono di regola effettuati con l’ausilio di operatori economici che forniscono i servizi di localizzazione del veicolo e di trasmissione della posizione del medesimo e tenuto conto che tali soggetti sono terzi rispetto al titolare del trattamento, questi ultimi devono essere designati Responsabili del trattamento ai sensi dell’art. 29 del Codice e i titolari del trattamento sono tenuti ad impartire le necessarie istruzioni in ordine all’utilizzo legittimo dei dati raccolti per le sole finalità previste dall’accordo che regola la fornitura del servizio di localizzazione, determinando altresì le tipologie di dati da trattare nonché le modalità e i tempi della loro eventuale conservazione.

Obbligo di Notificazione al Garante

Il trattamento dei dati di localizzazione deve formare oggetto di Notificazione al Garante (cfr. art. 37, comma 1, lett. a), del Codice).

In questi termini il Garante privacy ha dato via libera allo schema di linee di indirizzo in materia di misure regionali di compartecipazione alla spesa sanitaria per fasce di reddito, predisposte dal Ministero dell’economia e delle finanze.

Le nuove misure, che avranno valore su tutto il territorio nazionale, traggono origine dalle segnalazioni di pazienti che, per usufruire delle esenzioni sul ticket, erano stati costretti a comunicare il loro livello di reddito al farmacista, magari in presenza di altri clienti, o alle persone che eventualmente acquistavano medicinali per loro conto.

Alcune Regioni, infatti, in seguito alla manovra economica 2011, avevano deciso di non introdurre il pagamento di 10 euro sulle ricette per le prestazioni specialistiche ambulatoriali, differenziando invece il ticket richiesto in base alla fascia di reddito familiare. Le modalità adottate, però, non garantivano un’adeguata protezione dei dati personali dei pazienti.

Lo schema di linee di indirizzo, che tiene conto delle indicazioni fornite dal Garante al Ministero dell’economia e delle finanze e al Ministero della salute, prevede che, a tutela della privacy, sia il medico stesso ad apporre sulla ricetta un codice teso a identificare, non in chiaro, la fascia di reddito di appartenenza dell’assistito, e quindi a definire l’entità del contributo da pagare.

All’atto della prescrizione, il medico dovrà verificare il codice da inserire per ogni persona collegandosi al Sistema tessera sanitaria oppure utilizzando l’apposita documentazione cartacea o digitale predisposta dalla azienda sanitaria locale.

Questa la decisione Garante (Verifica Preliminare ex Art. 17 DLgs 196/2003, 17 novembre 2010) che ha respinto le richieste di verifica preliminare con le quali due società (un’impresa di autotrasporti e la sua capogruppo) chiedevano di poter usare un meccanismo di autenticazione biometrico.

La sopra citata decisione conferma il principio generale delineato nel Comunicato Stampa del Garante 25 luglio 2005 secondo il quale è vietato l’uso generalizzato delle impronte digitali dei dipendenti per controllare le presenze sul luogo di lavoro. Tale sistema è troppo invasivo della sfera personale e della libertà individuale.

Per raggiungere lo stesso scopo si possono adottare altre tecniche più proporzionate ed ugualmente efficaci.

Con questa motivazione il Garante privacy con un proprio Provvedimento (relatore Mauro Paissan) ha vietato il trattamento dei dati biometrici ad una industria del settore costruzioni con circa trecento dipendenti, che intendeva utilizzare le impronte per controllare gli orari di ingresso e uscita dei propri dipendenti dai luoghi di lavoro. L’impresa intendeva con questo metodo prevenire alcune condotte abusive (scambio dei badge) e ovviare allo smarrimento delle tessere magnetiche in uso.

“Il provvedimento del Garante (commenta il relatore Mauro Paissan) chiarisce ancora una volta che non è lecito l’uso generalizzato e incontrollato dei dati biometrici. Nel caso specifico, esistono molti altri sistemi altrettanto rigorosi per controllare gli ingressi nei luoghi di lavoro, senza mettere a rischio la dignità stessa dei lavoratori interessati“.

L’azienda, secondo quanto previsto dal Codice sulla privacy per questo delicato tipo di trattamento di dati, aveva presentato all’Autorità una richiesta di verifica preliminare di conformità alle norme della tecnologia proposta. Il sistema prevedeva la raccolta dell’impronta di ciascun dipendente e la sua trasformazione in un codice numerico poi memorizzato, senza cifratura, nella banca dati aziendale. A ciascun ingresso in azienda i lettori elettronici avrebbero rilevato l’impronta e “letto” il codice da questa ricavato.

Nel corso dell’istruttoria svolta dal Garante non sono emersi elementi che potessero giustificare la richiesta di introdurre la rilevazione di dati biometrici, come ad esempio accessi ad aree dell’azienda che richiedono standard di sicurezza particolarmente elevati in ragione di specifiche circostanze o attività svolte.

Il trattamento è risultato, in altri termini, sproporzionato e non necessario rispetto agli scopi perseguiti.

Forti perplessità sono state sollevate dal Garante anche per quanto riguarda lo stesso funzionamento del sistema che non assicurava:

• una rigorosa garanzia di affidabilità ed integrità dei dati,
• né adeguate misure di sicurezza a protezione della rete di comunicazione elettronica sulla quale i dati sono trasmessi, non criptati, dai singoli lettori al sistema centrale.

Trattamento sproporzionato anche per quanto riguarda le modalità tecniche prefigurate.

Alla centralizzazione nella banca dati dei codici identificativi generati dall’esame dell’impronta, si sarebbe potuto ovviare, infatti, con la memorizzazione su un supporto digitale da assegnare al lavoratore e tale da rimanere nella sua esclusiva disponibilità. Ciò per evitare gravi ripercussioni per i diritti individuali in caso di violazione delle misure di sicurezza, di accessi di persone non autorizzate o comunque di abuso delle informazioni memorizzate.

Inoltre, contrariamente a quanto dichiarato dalla società i lavoratori non sarebbero stati liberi di aderire o meno a tale sistema di rilevazione delle presenze.

Troppe violazioni, servono più tutele per i dipendenti.

Redatto il Disciplinare sull’Uso di Internet e Posta Elettronica? Adottate le Nuove misure necessarie per gli Amministratori di Sistema?

Ecco un caso emblematico nel quale troppi Titolari di trattamento potranno riconoscersi.

Il Garante privacy che con un recente Provvedimento ha vietato all’Istituto Poligrafico alcuni trattamenti illeciti effettuati sui dati personali dei dipendenti.

La decisione è stata adottata dall’Autorità a seguito di accertamenti effettuati per verificare la corretta applicazione da parte dell’Istituto della normativa in materia di protezione dei dati personali riguardo:

• all’utilizzo di Internet e posta elettronica aziendale,
• ai sistemi di telefonia su Internet (Voip),
• alla correttezza dell’operato degli amministratori di sistema.

Il Provvedimento del Garante è stato trasmesso alla magistratura per le valutazioni di competenza.

Fatto

Nel corso degli accertamenti è emerso che, attraverso un sistema di filtraggio che consentiva la memorizzazione degli indirizzi delle pagine web effettivamente visitate o anche semplicemente richieste, il Poligrafico:

• monitorava in modo sistematico e a insaputa dei dipendenti le attività su Internet, conservando le informazioni per un ampio periodo di tempo;
• conservava per un tempo indeterminato i numeri di telefono chiamati da ogni dipendente tramite Voip e la durata delle singole conversazioni.

Trattamenti questi, non consentiti dallo Statuto dei lavoratori, che vieta il controllo a distanza dei lavoratori, ammettendolo solo in casi particolari e con l’adozione di necessarie garanzie.

I dati trattati dall’Istituto in violazione di legge non potranno quindi essere più utilizzati. Il Poligrafico potrà conservare le informazioni finora  raccolte solamente in vista di una eventuale acquisizione da parte dell’autorità giudiziaria.

Contestualmente al divieto, l’Autorità ha ordinato al Poligrafico:

• di informare dettagliatamente i propri dipendenti sulle modalità d’uso e di archiviazione della posta elettronica (adozione di un Disciplinare interno sull’uso di Internet e Posta elettronica)
• di rendere conoscibili all’interno della società le identità degli amministratori di sistema, le cui operazioni dovranno essere tracciabili (Nuove misure necessarie di sicurezza relative agli Amministratori di sistema).

Con riferimento ai fatti accertati è stato infine avviato un procedimento sanzionatorio per violazione degli obblighi di informativa e inosservanza dei provvedimenti dell’Autorità.

Gli Obblighi di conformità al DLgs 231/2001

E’ opportuno chiarire subito che, al momento, la normativa non prevede alcun obbligo per le persone giuridiche “private”. I casi di obbligo di conformità però esistono ed, attualmente, derivano da  requisiti emessi dalla Borsa Italiana e da alcune Regioni, tra cui la prima è stata la Regione Lombardia. 

L’importanza del Dlgs 231/01 continua a crescere in relazione all’aumento:

• dell’obbligatorietà per alcune casistiche
• della giurisprudenza in materia ed dell’applicazione di sanzioni amministrative e penali
• delle tipologie di rischi di reato considerati dalla normativa in continuo aggiornamento
• delle relazioni con altre normative, quali quelle relativi alla Sicurezza e Tutela della Salute nei luoghi di lavoro, alla Privacy, alla Traccabilità dei flussi finanziari, degli Appalti Pubblici, etc, o norme tecniche (ISO 9001, ISO 14001; OHSAS 18001:2007; SA 8000, ISO 26000, etc)
• Da linee guida emanate dalla Pubblica Amministrazione o Associazioni di Categoria
• della sensibilizzazione dovuta alla crisi finanziaria ed ai fatti di cronaca relativi a illeciti aziendali

Hanno l’obbligo di conformità ai requisiti del D.lgs 231/01 le Società Quotate nella Borsa Italiana nel segmento STAR e gli Enti accreditati dalla Regione Lombardia per la filiera formazione – lavoro.

A livello Istituzionale Nazionale, lo Stato Italiano ha emesso il Codice di comportamento dei dipendenti delle pubbliche amministrazioni, con Decreto 28 novembre 2000 Presidenza del Consiglio dei Ministri. A tale Codice di Comportamento è opportuno fare riferimento nel caso l’Azienda abbia relazioni importanti con la Pubblica Amministrazione in caso di gare di appalto, subappalti, concessioni, autorizzazioni, finanziamenti o contributi

La Regione Lombardia si segnala come particolarmente attenta al tema; ha infatti emesso due Linee Guida per lo Sviluppo di Modelli Organizzativi e Gestionali secondo il DLgs 231/01:

• Linee Guida Regionali per lo Sviluppo del  Codice Etico e dei Modelli di Organizzazione e Controllo nelle ASL e nelle Aziende Ospedaliere.
• Linee Guida Regione Lombardia per la realizzazione di modelli organizzativi, di gestione e controllo D.lgs 231/01 per enti accreditati nella filiera formazione-lavoro

Non è difficile prevedere che altre tipologie di enti accreditati dalla Regione, per servizi diversi da formazione, lavoro e sanitari (quali gli asili nido, le scuole secondarie superiori o universitarie) possano in futuro dover rispondere a requisiti di  conformità anche nei confronti del DLgs 231/01

Altre Regioni hanno introdotto l’obbligo dell’adeguamento al DLgs 231/01 per alcuni enti ed aziende (Regione Abruzzo, Sicilia e Piemonte)

Per quanto riguarda invece il settore privato sono sempre più numerosi i casi di aziende quotate , anche non necessariamente nel segmento STAR, che si  adeguano spontaneamente al DLgs 231/01 per tutelare l’Azienda dai rischi e che richiedono ai propri fornitori l’adeguamento al DLgs 231/01 come requisito di qualificazione nel loro albo fornitori (Enel, ENI). Analogo comportamento è stato seguito anche da alcuni Ospedali e Cliniche Private convenzionate.

Vantaggi dell’adozione dei Modelli Organizzativi ex DLgs 231/2001

Dotarsi e far rispettare un Modello Organizzativo non è solo una via per essere esonerati dalle responsabilità previste dal DLgs 231/2001. Un approccio all’introduzione del Modello non limitato all’obiettivo di difesa dalle sanzioni determina il conseguimento di molti ulteriori vantaggi che possono contribuire in modo significativo al miglioramento dei risultati aziendali.

Tra i principali vantaggi che si possono ottenere:

• limitazione dei rischi aziendali e sanzionatori (permette una razionalizzazione dei processi ai fini della riduzione dei rischi)
• semplificazione organizzativa (favorisce la realizzazione di un’impostazione organizzativa unitaria, superando la contemporanea presenza di procedure spesso contrastanti tra loro, quali ad esempio, procedure sicurezza, procedure privacy, procedure qualità)
• aumento dell’efficienza aziendale (favorisce la condivisione delle informazioni e la definizione di attività di controllo interno);
• creazione di vantaggi competitivi (migliora l’immagine dell’azienda nei rapporti con i clienti e con tutti i portatori d’interesse, con conseguente generazione di nuove opportunità di affari). Può essere richiesto come requisito di qualificazione nell’albo fornitori dei committenti
• facilitazione dell’accesso al credito bancario (la presenza di un efficace Modello Organizzativo è un parametro importante di valutazione per la concessione del credito)

Il DLgs 231:2001 ha rivoluzionato la normativa Italiana, estendendo  la responsabilità amministrativa in sede penale anche alle Aziende, per alcuni reati commessi nell’ interesse o a vantaggio delle stesse, da persone in posizione apicale o subordinata. In caso di reato sarà quindi responsabile in sede penale sia la persona fisica sia la persona giuridica.

Il decreto prevede una sistema sanzionatorio molto pesante di carattere sia pecuniario sia interdittivo per le Imprese, con sanzioni:

• oltre 1.000.000 di euro,
• interdizione sino ad un anno dell’attività e/o
• il divieto a lavorare con la Pubblica Amministrazione.

Le fattispecie di reato considerate sono oltre un centinaio e comprendono, oltre ai reati colposi in materia di Igiene e Sicurezza sul Lavoro, anche, fra gli altri:

• reati contro la Pubblica Amministrazione,
• reati informatici e trattamento illecito dei dati,
• reati societari,
• Reati contro l’industria ed il Commercio,
• Reati Ambientali (da agosto 2011)

In caso il reato sia commesso da persona in posizione apicale, un eventuale processo parte dalla “presunzione di colpevolezza”, l’onere della prova di innocenza è a carico dell’Azienda!

L’Azienda non risponde penalmente se dimostra che

• ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;
• il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento e’ stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo (Organismo di Vigilanza),
• ha introdotto un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello

A chi è rivolto il DLgs 231/01

Chi sono i soggetti interessati? Il Dlgs 231/01 si applica a tutti gli  Enti forniti di personalità giuridica, alle Società ed alle Associazioni anche prive di personalità giuridica. La normativa vale anche per sedi Italiane di Società Estere. Il bacino dei destinatari potenziali è quindi davvero molto ampio

In sostanza:

• Società di capitali e di persone
• Associazioni anche prive di personalità giuridica
• ATI e ATS
• Enti pubblici economici (enti a soggettività pubblica ma privi di poteri pubblici)
• Agenzie pubbliche (ASL)
• Aziende pubbliche per la gestione di servizi pubblici (aziende speciali)
• Enti pubblici autarchici (INPS, INAIL, ISTAT, etc)