Imprese al test Gdpr: il Regolamento Europeo in materia di protezione dei dati

Manca poco meno di un mese all’introduzione della nuova normativa sulla privacy disposta dal Gdpr (General Data Protection Regulation). Il Regolamento Europeo 2016/679 in materia di privacy diventerà infatti efficace in tutta l’Unione Europea dal prossimo 25 Maggio.
Il regolamento sancisce da un lato, l’obbligo di protezione dei dati personali, dall’altro afferma che la loro libera circolazione non può essere inibita in quanto i dati sono un bene prezioso, elemento centrale del sistema economico.

Il legislatore europeo pertanto ha voluto ricercare un equilibrio tra la libera circolazione dei dati e la protezione delle persone fisiche con riguardo al trattamento dai dati personali.
Le imprese avranno l’obbligo di conformarsi al Regolamento e ciò avrà un impatto considerevole sulla loro organizzazione: si dovrà effettuare una mappatura iniziale dei dati e valutarne il relativo rischio, per poi passare all’implementazione delle misure di sicurezza, con una particolare attenzione al livello di protezione ed ai costi da sostenere.

Sarà inoltre obbligatorio istituire una nuova figura professionale, il responsabile per la protezione dei dati (RDP); un soggetto nominato per assolvere funzioni di controllo, consultive, formative e informative relativamente all’applicazione del regolamento medesimo.
In caso di rischi per la sicurezza dei dati l’RDP dovrà informare senza ritardo l’Autorità Garante, dotata del potere di sanzionare gli inadempienti con multe fino a 20 milioni di euro.
Dalla normativa emerge come non siano necessarie attestazioni formali sul possesso di competenze professionali o l’iscrizione ad appositi albi professionali, essendo richiesta soltanto la conoscenza della normativa in materia di privacy e del settore di riferimento.
Riteniamo pertanto che le imprese dovranno valutare con estrema attenzione la nomina dell’RDP: nello specifico ci si chiede se i requisiti professionali richiesti dal regolamento siano sufficienti per lo svolgimento di un compito così delicato come quello di responsabile della protezione dei dati. Anche secondo Federprivacy, persistono ancora molti dubbi ed incertezze sui criteri che le aziende e le pubbliche amministrazioni devono adottare per scegliere correttamente il proprio RDP.

L’obiettivo per le imprese dovrà essere quello di implementare quanto più possibile un sistema di protezione dei dati efficace e flessibile, da poter aggiornare sulla base degli eventuali cambiamenti della struttura organizzativa o per adeguarlo alle novità tecnologiche. Progettualità e flessibilità che, alla luce dei recenti fatti di Facebook si dimostrano quanto mai necessarie per non doversi trovare a fronteggiare disastrose perdite di dati personali.

Ecco perché sarebbero auspicabili requisiti più stringenti, in maniera tale che le competenze possedute dall’RDP siano adeguate e consentano una conoscenza approfondita della normativa e dei processi di gestione delle informazioni nonché di offrire la consulenza necessaria per progettare, aggiornare e monitorare un sistema organizzato di gestione dei dati personali adeguato alle esigenze delle singole imprese.

L’autoriciclaggio entra nei reati “231”

A partire dal 1 gennaio 2015 le società potrebbero essere chiamate a rispondere del reato di autoriciclaggio commesso da soggetti con determinate cariche all’interno dell’organizzazione o comunque a questi subordinati.

Cosa si intende esattamente per autoriciclaggio?
E’ il trasferimento o impiego in attività economiche o finanziarie di somme successivamente destinate ad uso personale in modo da ostacolare l’identificazione della provenienza illecita del denaro derivante dalla commissione del reato stesso. Il nuovo reato è stato introdotto con il Ddl sul “rientro dei capitali” all’esame della commissione Finanze già dagli ultimi mesi del 2014, come si legge da un articolo di Galimberti de Il Sole 24 Ore dello scorso 10 ottobre. La portata della novità è consistente se si considera che in presenza di reati tributari la probabilità di dover rispondere anche del nuovo reato è molto elevata in quanto i proventi da evasione fiscale sono spesso reinvestiti in attività economiche e finanziarie creando le condizioni per l’integrazione del nuovo reato.

Il legame con la responsabilità amministrativa delle Società
Il Ddl oltre ad introdurre l’autoriciclaggio, lo include nel catalogo dei reati presupposto ai fini del D. Lgs. 231/2001 sulla responsabilità d’impresa. In altre parole, in ipotesi di creazione di fondi all’estero da parte di un amministratore, egli ne dovrà risponderà personalmente ma la commissione dell’illecito avrà conseguenze anche sulla Società di appartenenza.

L’impatto dell’emendamento per il mondo delle imprese
Gli effetti potrebbero essere devastanti. Sono previste multe in capo alle persone giuridiche fino ad un valore massimo di un milione e mezzo di euro, oltre a misure interdittive fortemente penalizzanti per l’operatività dell’organizzazione, a meno che la Società non provi di aver adottato un modello organizzativo in grado di prevenire il reato in questione.
A tal proposito, l’articolo di Acireno su Il Sole 24 Ore di oggi propone un focus sull’urgenza per le imprese di adeguare i propri modelli organizzativi 231 al nuovo reato.
L’aggiornamento del modello dovrà essere volto individuare in concreto le molteplici fattispecie che possono costituire presupposto di autoriciclaggio e a minimizzarne il rischio, a partire dall’identificazione delle aree più esposte alla commissione dell’illecito fino all’adeguamento dei protocolli e di tutti i documenti del modello (ad es. codice etico, sistema disciplinare).
Naturalmente, una revisione simile non potrà prescindere da una rivisitazione del sistema organizzativo societario: occorrerà infatti una ricognizione delle funzioni apicali, dei processi aziendali e dell’intero sistema di controlli interni.

foto credits: The Preiser Project

Collegio sindacale e organismo di vigilanza, criticità e vantaggi

Il d. lgs. 231/2001 sta assumendo un ruolo sempre più centrale per l’attività di risk management delle imprese italiane. Il fulcro del modello organizzativo è l’Organismo di Vigilanza (Odv) che interviene:

  • in funzione preventiva per contenere il rischio di illeciti societari
  • in funzione esimente consentendo alla società di dimostrare che il modello è stato efficacemente attuato e monitorato.

Se le funzioni dell’ Odv trovano ampio consenso tra gli “addetti ai lavori”, controverso è invece il tema caldo della sua composizione, rispetto al quale segnaliamo un interessante intervento dell’Avv. Calleri in occasione del Forum 231 Paradigma (Milano, 6 e 7 novembre 2014) sui profili penalistici dell’interazione tra Odv e Collegio Sindacale.
Non è un caso che le Linee Guida Confindustria dedichino specifica attenzione all’argomento nell’auspicio di “ispirare le imprese nella costruzione del proprio modello” (cit. nuove Linee guida Confindustria 2014), tentando di colmare evidenti vuoti normativi.

Oltre che ad un soggetto esterno, il ruolo di Odv può essere attribuito:

  • al Comitato controllo e rischi
  • all’Internal Audit
  • dal 1 gennaio 2012, nelle società di capitali, al collegio sindacale

Il Collegio Sindacale come Organismo di Vigilanza?
Proprio la possibilità che il Collegio Sindacale svolga la funzione di OdV ha generato un acceso dibattito rispetto al profilo della responsabilità di questo organo. Benché sia dotato di autonomia e poteri di iniziativa e controllo, l’OdV non ha poteri gestionali, né direttamente impeditivi degli illeciti. Coerentemente con questa impostazione, l’OdV non assume una posizione di garanzia né ha obblighi di denuncia. All’opposto, il nostro Codice Civile attribuisce al collegio sindacale una chiara funzione di garanzia nella prevenzione degli illeciti dal momento che esso è tenuto ad intervenire con la denuncia delle anomalie al Tribunale, supplendo all’eventuale inerzia degli amministratori. A ciò si aggiunga che l’Odv ha poteri di ispezione non solo nei confronti del board societario ma anche dello stesso Collegio Sindacale.

Le perplessità sulla sovrapposizione tra Odv e Collegio Sindacale derivano dunque dal possibile rischio di estendere all’OdV la responsabilità penale per i reati che non è riuscito a prevenire e sostituire di fatto all’intervento ex ante dell’OdV il potere/obbligo direttamente sanzionatorio dei sindaci. D’altro canto i primi esperimenti realizzati soprattutto nel settore bancario, confermano le evidenti sinergie che la coincidenza tra le due funzioni può generare grazie all’ eliminazione di una duplice attività di controllo.

foto credits: Jonathan McIntosh