Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Smau Bari 2013 Giorgio Spedicato
1. LA LEGGE, LA TECNOLOGIA E
LA LEGGE, LA TECNOLOGIA E
LA SICUREZZA DEI DATI E DEI SISTEMI:
LA SICUREZZA DEI DATI E DEI SISTEMI:
DALLA NORMATIVA SULLA PRIVACY AI
DALLA NORMATIVA SULLA PRIVACY AI
MODELLI ORGANIZZATIVI E DI CONTROLLO
MODELLI ORGANIZZATIVI E DI CONTROLLO
Avv. Giorgio Spedicato
Avv. Giorgio Spedicato
2. Managing Partner dello studio legale Monducci Perri Spedicato
Managing Partner dello studio legale Monducci Perri Spedicato
& Partners.
& Partners.
CHI SONO
CHI SONO Professore a contratto di Diritto della Proprietà intellettuale
Professore a contratto di Diritto della Proprietà intellettuale
presso la Facoltà di Giurisprudenza dell’Università di Bologna
presso la Facoltà di Giurisprudenza dell’Università di Bologna
(polo didattico di Ravenna).
(polo didattico di Ravenna).
Dottore di ricerca in Informatica giuridica e diritto
Dottore di ricerca in Informatica giuridica e diritto
dell’informatica.
dell’informatica.
Lo Studio legale associato Monducci Perri Spedicato & Partners è
Lo Studio legale associato Monducci Perri Spedicato & Partners è
CHI È MPS&P
una law boutique specializzata in proprietà intellettuale, diritto
CHI È MPS&P
una law boutique specializzata in proprietà intellettuale, diritto
delle nuove tecnologie e diritto dell’innovazione con sede a
delle nuove tecnologie e diritto dell’innovazione con sede a
Milano, Bologna e Imola.
Milano, Bologna e Imola.
Affianca chi fa dell’innovazione il proprio lavoro e il proprio
Affianca chi fa dell’innovazione il proprio lavoro e il proprio
impegno quotidiani, supportandolo nell’attività day by day e
impegno quotidiani, supportandolo nell’attività day by day e
assistendolo nelle operazioni più complesse.
assistendolo nelle operazioni più complesse.
3. INDICE
INDICE
Overview del D.Lgs. 231/2001
Overview del D.Lgs. 231/2001
I modelli di organizzazione e controllo
I modelli di organizzazione e controllo
La redazione dei modelli di organizzazione e controllo
La redazione dei modelli di organizzazione e controllo
I modelli di organizzazione e controllo dopo l’abrogazione del DPS
I modelli di organizzazione e controllo dopo l’abrogazione del DPS
Quali misure di sicurezza ora?
Quali misure di sicurezza ora?
I side effects dell’adozione di un modello organizzativo 231/01 e il rapporto
I side effects dell’adozione di un modello organizzativo 231/01 e il rapporto
con gli adempimenti privacy
con gli adempimenti privacy
4. IL SENSO DELL’EVOLUZIONE NORMATIVA
IL SENSO DELL’EVOLUZIONE NORMATIVA
Prima del D.Lgs. 231/2001
Prima del D.Lgs. 231/2001
Principio generale: societas delinquere non potest
Principio generale: societas delinquere non potest
Con l’introduzione del D.Lgs. 231/2001
Con l’introduzione del D.Lgs. 231/2001
Cambio di prospettiva: viene istituita la responsabilità amministrativa dell’ente per
Cambio di prospettiva: viene istituita la responsabilità amministrativa dell’ente per
reati posti in essere da amministratori, dirigenti e/o dipendenti nell’interesse o a
reati posti in essere da amministratori, dirigenti e/o dipendenti nell’interesse o a
vantaggio dell’ente stesso
vantaggio dell’ente stesso
La 231/2001 nasce per prevenire e contrastare la c.d. “criminalità d’impresa”: Si
La 231/2001 nasce per prevenire e contrastare la c.d. “criminalità d’impresa”: Si
ritiene che colpire il reale beneficiario del reato (l’ente) piuttosto che il singolo soggetto
ritiene che colpire il reale beneficiario del reato (l’ente) piuttosto che il singolo soggetto
agente possa essere un efficace sistema preventivo e repressivo di alcune ipotesi
agente possa essere un efficace sistema preventivo e repressivo di alcune ipotesi
delittuose
delittuose
5. IL SENSO DELL’EVOLUZIONE NORMATIVA
IL SENSO DELL’EVOLUZIONE NORMATIVA
Il fondamento della responsabilità in questione è basato sulla c.d. «colpa di
Il fondamento della responsabilità in questione è basato sulla c.d. «colpa di
organizzazione», giacché si puniscono, con sanzioni gravi, le società e gli enti
organizzazione», giacché si puniscono, con sanzioni gravi, le società e gli enti
che non hanno saputo scongiurare, nella propria organizzazione, significative
che non hanno saputo scongiurare, nella propria organizzazione, significative
ipotesi di reato
ipotesi di reato
La responsabilità sorge sia per mancata o insufficiente dotazione ed
La responsabilità sorge sia per mancata o insufficiente dotazione ed
attuazione di modelli organizzativi e gestionali efficienti, sia per difetto di
attuazione di modelli organizzativi e gestionali efficienti, sia per difetto di
controllo sul corretto operato di chi opera, a diverso titolo, a contatto con
controllo sul corretto operato di chi opera, a diverso titolo, a contatto con
l’ente
l’ente
6. AMBITO DI APPLICAZIONE SOGGETTIVO
AMBITO DI APPLICAZIONE SOGGETTIVO
Enti forniti di personalità giuridica
Enti forniti di personalità giuridica
Società e associazioni, anche prive di personalità giuridica…
Società e associazioni, anche prive di personalità giuridica…
…ivi incluse le imprese individuali (Cass. pen. n. 15657/2010)
…ivi incluse le imprese individuali (Cass. pen. n. 15657/2010)
7. EFFETTI
EFFETTI
Responsabilità dell’ente che si aggiunge
Responsabilità dell’ente che si aggiunge
a quella personale del soggetto agente
a quella personale del soggetto agente
Effetti diretti sul patrimonio dell’ente
Effetti diretti sul patrimonio dell’ente
e indiretti sugli interessi di tutti ii soci
e indiretti sugli interessi di tutti soci
8. MITIGAZIONE
MITIGAZIONE
L’effetto dirompente della disciplina è mitigato da tre elementi:
L’effetto dirompente della disciplina è mitigato da tre elementi:
ii reati devono essere posti in essere da soggetti in posizione apicale o da
reati devono essere posti in essere da soggetti in posizione apicale o da
soggetti in posizione subordinata;
soggetti in posizione subordinata;
ii reati che possono far sorgere questo tipo di responsabilità sono
reati che possono far sorgere questo tipo di responsabilità sono
tassativamente individuati dal testo di legge (anche se sono molto numerosi e
tassativamente individuati dal testo di legge (anche se sono molto numerosi e
il catalogo viene aggiornato spesso);
il catalogo viene aggiornato spesso);
ii reati devono essere commessi nell’interesse o a vantaggio della società o
reati devono essere commessi nell’interesse o a vantaggio della società o
dell’ente.
dell’ente.
9. I SOGGETTI
I SOGGETTI
I soggetti idonei a commettere reati rilevanti ex D.Lgs. 231/01 possono essere
I soggetti idonei a commettere reati rilevanti ex D.Lgs. 231/01 possono essere
divisi in due categorie:
divisi in due categorie:
Soggetti in posizione apicale
Soggetti in posizione apicale
Soggetti in posizione subordinata
Soggetti in posizione subordinata
10. SOGGETTI IN POSIZIONE APICALE
SOGGETTI IN POSIZIONE APICALE
Per individuarli il Legislatore ha preferito utilizzare una formula basata su
Per individuarli il Legislatore ha preferito utilizzare una formula basata su
un criterio funzionale
un criterio funzionale
Rientrano in questa categoria tutti quei soggetti che esprimono la volontà
Rientrano in questa categoria tutti quei soggetti che esprimono la volontà
dell’ente nei rapporti esterni e nelle scelte di politica d’impresa attraverso
dell’ente nei rapporti esterni e nelle scelte di politica d’impresa attraverso
un potere di gestione, controllo e vigilanza, come ad esempio:
un potere di gestione, controllo e vigilanza, come ad esempio:
il legale rappresentante dell’ente
il legale rappresentante dell’ente
gli amministratori
gli amministratori
ii direttori generali ex art. 2396 c.c.
direttori generali ex art. 2396 c.c.
ii membri di comitati esecutivi
membri di comitati esecutivi
e tutti ii soggetti dotati di rappresentanza…
e tutti soggetti dotati di rappresentanza…
11. SOGGETTI IN POSIZIONE SUBORDINATA
SOGGETTI IN POSIZIONE SUBORDINATA
Non sono necessariamente solo ii dipendenti dell’ente
Non sono necessariamente solo dipendenti dell’ente
Anche in questo caso viene adottato un criterio funzionale (ma non
Anche in questo caso viene adottato un criterio funzionale (ma non
vengono considerati responsabili ii soggetti che esercitano le funzioni di
vengono considerati responsabili soggetti che esercitano le funzioni di
vigilanza e controllo bensì coloro che le subiscono)
vigilanza e controllo bensì coloro che le subiscono)
Perchè sorga responsabilità commessa dai soggetti in posizione
Perchè sorga responsabilità commessa dai soggetti in posizione
subordinata, è essenziale che questi operino sotto il diretto controllo del
subordinata, è essenziale che questi operino sotto il diretto controllo del
soggetto apicale (è sempre necessaria un’analisi concreta
soggetto apicale (è sempre necessaria un’analisi concreta
dell’organigramma aziendale e dei poteri conferiti ai singoli soggetti)
dell’organigramma aziendale e dei poteri conferiti ai singoli soggetti)
12. I REATI PRESUPPOSTO
I REATI PRESUPPOSTO
Lungo elenco di reati cc.dd. presupposto (in costante aggiornamento)
Lungo elenco di reati cc.dd. presupposto (in costante aggiornamento)
Quelli che riguardano più specificamente il tema della sicurezza informatica
Quelli che riguardano più specificamente il tema della sicurezza informatica
e della tutela della proprietà intellettuale sono:
e della tutela della proprietà intellettuale sono:
frode informatica in danno dello Stato o di altro ente pubblico
frode informatica in danno dello Stato o di altro ente pubblico
delitti informatici e trattamento illecito di dati
delitti informatici e trattamento illecito di dati
fabbricazione e commercio di beni realizzati usurpando titoli di
fabbricazione e commercio di beni realizzati usurpando titoli di
proprietà industriale
proprietà industriale
delitti in materia di diritto d’autore
delitti in materia di diritto d’autore
13. «NELL’INTERESSE O A VANTAGGIO»
«NELL’INTERESSE O A VANTAGGIO»
Perchè sorga questo tipo di responsabilità, è necessario che ii reati individuati
Perchè sorga questo tipo di responsabilità, è necessario che reati individuati
dalla norma siano commessi nell’interesse o a vantaggio della società, a nulla
dalla norma siano commessi nell’interesse o a vantaggio della società, a nulla
rilevando, ad esempio, l’ipotesi che il reato venga commesso a favore proprio
rilevando, ad esempio, l’ipotesi che il reato venga commesso a favore proprio
o di terzi. Nel caso in cui, invece, vi sia una commistione tra interesse
o di terzi. Nel caso in cui, invece, vi sia una commistione tra interesse
personale e aziendale, la responsabilità dell’ente non è esclusa nè ridotta
personale e aziendale, la responsabilità dell’ente non è esclusa nè ridotta
Interesse: è riferito alla condotta e sussiste quando l’autore del reato pone in
Interesse: è riferito alla condotta e sussiste quando l’autore del reato pone in
essere un comportamento finalizzato a far ottenere all’ente un lucro o
essere un comportamento finalizzato a far ottenere all’ente un lucro o
comunque un obiettivo desiderabile, sebbene non immediatamente lucroso
comunque un obiettivo desiderabile, sebbene non immediatamente lucroso
Vantaggio: è riferito all’evento del reato e non presuppone il lucro ma può
Vantaggio: è riferito all’evento del reato e non presuppone il lucro ma può
tradursi nell’acquisizione di una qualche utilità che consenta all’ente di
tradursi nell’acquisizione di una qualche utilità che consenta all’ente di
conseguire una posizione di vantaggio
conseguire una posizione di vantaggio
14. GRUPPI DI IMPRESE
GRUPPI DI IMPRESE
Qualora una società controllante tragga un interesse o un vantaggio, anche
Qualora una società controllante tragga un interesse o un vantaggio, anche
mediato, dalla commissione di un reato previsto dal decreto da parte di una
mediato, dalla commissione di un reato previsto dal decreto da parte di una
controllata, sarà sanzionabile per responsabilità amministrativa anche la
controllata, sarà sanzionabile per responsabilità amministrativa anche la
controllante.
controllante.
(cfr. Cass. pen. Sez. V, 18 gennaio 2011, n. 24583)
(cfr. Cass. pen. Sez. V, 18 gennaio 2011, n. 24583)
15. SANZIONI
SANZIONI
Le sanzioni previste dal d.lgs. 231/01 sono di quattro tipi:
Le sanzioni previste dal d.lgs. 231/01 sono di quattro tipi:
sanzione pecuniaria
sanzione pecuniaria
sanzioni interdittive
sanzioni interdittive
confisca
confisca
pubblicazione della sentenza
pubblicazione della sentenza
16. SANZIONE PECUNIARIA
SANZIONE PECUNIARIA
È applicata per quote ed è compresa tra € 25.800 ed € 1.549.000
È applicata per quote ed è compresa tra € 25.800 ed € 1.549.000
Nel determinare l’ammontare effettivo della sanzione pecuniaria, il giudice
Nel determinare l’ammontare effettivo della sanzione pecuniaria, il giudice
deve tenere conto dei seguenti criteri:
deve tenere conto dei seguenti criteri:
gravità del fatto
gravità del fatto
grado di responsabilità dell’ente
grado di responsabilità dell’ente
attività svolta dall’ente per eliminare o attenuare le conseguenze del
attività svolta dall’ente per eliminare o attenuare le conseguenze del
fatto e per prevenire la commissione di ulteriori illeciti
fatto e per prevenire la commissione di ulteriori illeciti
condizioni economiche e patrimoniali dell’ente (allo scopo di assicurare
condizioni economiche e patrimoniali dell’ente (allo scopo di assicurare
l’effettività della sanzione, che potrebbe essere resa vana dalle
l’effettività della sanzione, che potrebbe essere resa vana dalle
maggiori capacità patrimoniali ed economiche dell’ente medesimo)
maggiori capacità patrimoniali ed economiche dell’ente medesimo)
17. SANZIONI INTERDITTIVE
SANZIONI INTERDITTIVE
Le sanzioni interdittive sono principalmente volte, per quanto possibile, ad
Le sanzioni interdittive sono principalmente volte, per quanto possibile, ad
eliminare le condizioni oggettive e soggettive che hanno agevolato ii fattori
eliminare le condizioni oggettive e soggettive che hanno agevolato fattori
criminogeni:
criminogeni:
interdizione dall’esercizio dell’attività
interdizione dall’esercizio dell’attività
sospensione o revoca delle autorizzazioni, delle licenze o delle
sospensione o revoca delle autorizzazioni, delle licenze o delle
concessioni funzionali alla commissione dell’illecito
concessioni funzionali alla commissione dell’illecito
divieto di contrattare con la Pubblica Amministrazione, salvo che per
divieto di contrattare con la Pubblica Amministrazione, salvo che per
ottenere le prestazioni di un pubblico servizio
ottenere le prestazioni di un pubblico servizio
esclusione da agevolazioni, finanziamenti, contributi o sussidi ed
esclusione da agevolazioni, finanziamenti, contributi o sussidi ed
eventuale revoca di quelli già concessi
eventuale revoca di quelli già concessi
divieto di pubblicizzare beni o servizi
divieto di pubblicizzare beni o servizi
18. CONFISCA
CONFISCA
Con la sentenza di condanna si dispone sempre la confisca del prezzo o del
Con la sentenza di condanna si dispone sempre la confisca del prezzo o del
profitto del reato
profitto del reato
Quando non sia possibile eseguire la confisca, questa potrà avere ad oggetto
Quando non sia possibile eseguire la confisca, questa potrà avere ad oggetto
anche somme di denaro, beni o altre utilità di valore equivalente al profitto del
anche somme di denaro, beni o altre utilità di valore equivalente al profitto del
reato
reato
19. ESONERO DELLA RESPONSABILITÀ
ESONERO DELLA RESPONSABILITÀ
Il d.lgs. 231/2001 offre la possibilità agli enti di essere esonerati dalla
Il d.lgs. 231/2001 offre la possibilità agli enti di essere esonerati dalla
responsabilità qualora ii medesimi:
responsabilità qualora medesimi:
si dotino ed abbiano efficacemente adottato specifici modelli organizzativi e
si dotino ed abbiano efficacemente adottato specifici modelli organizzativi e
di gestione, idonei alla prevenzione di reati della medesima specie di quello
di gestione, idonei alla prevenzione di reati della medesima specie di quello
commesso, di modo che il reato venga commesso aggirando
commesso, di modo che il reato venga commesso aggirando
fraudolentemente ii predetti modelli di organizzazione e di gestione;
fraudolentemente predetti modelli di organizzazione e di gestione;
si dotino di un organismo di vigilanza ad hoc, dotato di autonomi poteri di
si dotino di un organismo di vigilanza ad hoc, dotato di autonomi poteri di
iniziativa e controllo, che abbia effettivamente esercitato le sue funzioni ed ii
iniziativa e controllo, che abbia effettivamente esercitato le sue funzioni ed
suoi compiti durante il momento di commissione del reato.
suoi compiti durante il momento di commissione del reato.
20. I MODELLI ORGANIZZATIVI
I MODELLI ORGANIZZATIVI
I modelli organizzativi devono:
I modelli organizzativi devono:
individuare le attività nell’ambito delle quali possono essere commessi ii reati
individuare le attività nell’ambito delle quali possono essere commessi reati
prevedere protocolli in base ai quali effettuare la programmazione e
prevedere protocolli in base ai quali effettuare la programmazione e
l’attuazione delle decisioni relative ai reati da prevenire
l’attuazione delle decisioni relative ai reati da prevenire
individuare le modalità di gestione delle risorse finanziarie idonee ad
individuare le modalità di gestione delle risorse finanziarie idonee ad
impedire la commissione dei reati
impedire la commissione dei reati
prevedere obblighi di informazione verso l’organismo deputato a vigilare sul
prevedere obblighi di informazione verso l’organismo deputato a vigilare sul
funzionamento e l’osservanza dei modelli stessi
funzionamento e l’osservanza dei modelli stessi
introdurre un sistema disciplinare tramite il quale sanzionare il mancato
introdurre un sistema disciplinare tramite il quale sanzionare il mancato
rispetto delle misure che sono indicate nel modello
rispetto delle misure che sono indicate nel modello
21. COME REDIGERE IL MODELLO ORGANIZZATIVO
COME REDIGERE IL MODELLO ORGANIZZATIVO
Le linee guida, in genere, suggeriscono di prevedere le seguenti fasi per la
Le linee guida, in genere, suggeriscono di prevedere le seguenti fasi per la
definizione del “modello 231”:
definizione del “modello 231”:
identificazione dei rischi
identificazione dei rischi
predisposizione e/o implementazione di un sistema di controllo idoneo a
predisposizione e/o implementazione di un sistema di controllo idoneo a
prevenire ii rischi attraverso l’adozione di specifici protocolli
prevenire rischi attraverso l’adozione di specifici protocolli
…in una parola: analisi del rischio e policy, analogamente a quanto occorreva
…in una parola: analisi del rischio e policy, analogamente a quanto occorreva
fare per il DPS
fare per il DPS
22. RISK ASSESSMENT: UN ESEMPIO
RISK ASSESSMENT: UN ESEMPIO
Individuazione delle aree di rischio
Individuazione delle aree di rischio
Elaborazione delle regole interne atte a disciplinare il controllo delle aree di
Elaborazione delle regole interne atte a disciplinare il controllo delle aree di
rischio sopra identificate e a progettare misure volte a contrastare ii rischi
rischio sopra identificate e a progettare misure volte a contrastare rischi
eventualmente emersi
eventualmente emersi
Gestione delle risorse strutturata in modo da assicurare all’attività di
Gestione delle risorse strutturata in modo da assicurare all’attività di
individuazione e gestione del rischio gli stanziamenti necessari
individuazione e gestione del rischio gli stanziamenti necessari
Predisposizione di un apposito sistema disciplinare che consenta di
Predisposizione di un apposito sistema disciplinare che consenta di
intervenire sanzionando chi trasgredisca alle prescrizioni elaborate in seguito
intervenire sanzionando chi trasgredisca alle prescrizioni elaborate in seguito
al processo di controllo esaminato. Per rispondere a tale esigenza si adottano
al processo di controllo esaminato. Per rispondere a tale esigenza si adottano
spesso dei protocolli interni che, oltre a un sistema di sanzioni coerente e
spesso dei protocolli interni che, oltre a un sistema di sanzioni coerente e
adeguato, contengano la disciplina delle procedure da seguire nell’esecuzione
adeguato, contengano la disciplina delle procedure da seguire nell’esecuzione
di determinate attività aziendali
di determinate attività aziendali
23. LE COMPONENTI PIÙ RILEVANTI
LE COMPONENTI PIÙ RILEVANTI
Redazione e sottoscrizione di un codice etico
Redazione e sottoscrizione di un codice etico
Formalizzazione del sistema organizzativo, soprattutto per quanto attiene
Formalizzazione del sistema organizzativo, soprattutto per quanto attiene
all’attribuzione di responsabilità, alle linee di dipendenza gerarchica e alla
all’attribuzione di responsabilità, alle linee di dipendenza gerarchica e alla
descrizione dei compiti, con specifica previsione di principi di controllo
descrizione dei compiti, con specifica previsione di principi di controllo
quali, ad esempio, la contrapposizione di funzioni
quali, ad esempio, la contrapposizione di funzioni
Procedure manuali e/o informatiche tali da regolamentare lo svolgimento
Procedure manuali e/o informatiche tali da regolamentare lo svolgimento
delle attività prevedendo gli opportuni punti di controllo
delle attività prevedendo gli opportuni punti di controllo
Poteri autorizzativi e di firma assegnati in coerenza con le responsabilità
Poteri autorizzativi e di firma assegnati in coerenza con le responsabilità
organizzative e gestionali definite, prevedendo, quando richiesto, una
organizzative e gestionali definite, prevedendo, quando richiesto, una
puntuale indicazione delle soglie di approvazione delle spese
puntuale indicazione delle soglie di approvazione delle spese
24. LE COMPONENTI PIÙ RILEVANTI
LE COMPONENTI PIÙ RILEVANTI
Sistemi di controllo e gestione in grado di fornire tempestiva segnalazione
Sistemi di controllo e gestione in grado di fornire tempestiva segnalazione
dell’esistenza e dell’insorgere di situazioni di criticità generale e/o
dell’esistenza e dell’insorgere di situazioni di criticità generale e/o
particolare
particolare
Comunicazione al personale e sua formazione
Comunicazione al personale e sua formazione
Previsione di un adeguato sistema sanzionatorio per la violazione delle
Previsione di un adeguato sistema sanzionatorio per la violazione delle
norme del codice etico e delle procedure previste dal Modello
norme del codice etico e delle procedure previste dal Modello
Autonomia, indipendenza, professionalità e continuità d’azione
Autonomia, indipendenza, professionalità e continuità d’azione
dell’Organismo di Vigilanza
dell’Organismo di Vigilanza
25. IL CODICE ETICO
IL CODICE ETICO
È il documento nel quale si racchiudono gli impegni e le responsabilità
È il documento nel quale si racchiudono gli impegni e le responsabilità
etiche nella conduzione degli affari e delle attività imprenditoriali
etiche nella conduzione degli affari e delle attività imprenditoriali
La funzione principale consiste nell’uniformare ii singoli comportamenti,
La funzione principale consiste nell’uniformare singoli comportamenti,
così che il perseguimento degli interessi aziendali sia svolto in piena legalità
così che il perseguimento degli interessi aziendali sia svolto in piena legalità
26. ESEMPI DI REGOLE DEL CODICE ETICO
ESEMPI DI REGOLE DEL CODICE ETICO
Non è consentito offrire denaro o doni a dirigenti, funzionari o dipendenti
Non è consentito offrire denaro o doni a dirigenti, funzionari o dipendenti
della P.A. o a loro parenti, salvo che si tratti di doni di modico valore
della P.A. o a loro parenti, salvo che si tratti di doni di modico valore
Non è consentito accettare o offrire beni, servizi, prestazioni o favori per
Non è consentito accettare o offrire beni, servizi, prestazioni o favori per
ottenere un miglior trattamento in relazione ai rapporti con la P.A.
ottenere un miglior trattamento in relazione ai rapporti con la P.A.
Non è consentito assumere alle dipendenze della società ex impiegati della
Non è consentito assumere alle dipendenze della società ex impiegati della
P.A. che abbiano partecipato personalmente ad operazioni poste in essere
P.A. che abbiano partecipato personalmente ad operazioni poste in essere
tra l’ente e la P.A.
tra l’ente e la P.A.
Nel corso di una transazione con la P.A. non è consentito proporre offerte
Nel corso di una transazione con la P.A. non è consentito proporre offerte
d’impiego e/o commerciali che possano avvantaggiare dipendenti della P.A.
d’impiego e/o commerciali che possano avvantaggiare dipendenti della P.A.
a titolo personale
a titolo personale
27. L’ORGANISMO DI VIGILANZA
L’ORGANISMO DI VIGILANZA
Le migliori applicazioni dei modelli 231 hanno evidenziato come, per
Le migliori applicazioni dei modelli 231 hanno evidenziato come, per
garantire l’effettività dei controlli inseriti nei modelli organizzativi, sia
garantire l’effettività dei controlli inseriti nei modelli organizzativi, sia
necessaria la costituzione di un OdV
necessaria la costituzione di un OdV
Tale entità può essere sia monosoggettiva che plurisoggettiva
Tale entità può essere sia monosoggettiva che plurisoggettiva
I parametri di cui tener conto sono le dimensioni e la complessità
I parametri di cui tener conto sono le dimensioni e la complessità
dell’azienda
dell’azienda
Nelle piccole imprese, è consentito che l’OdV coincida con l’organo
Nelle piccole imprese, è consentito che l’OdV coincida con l’organo
dirigente, anche se la best practice in materia di audit prescrive sempre di
dirigente, anche se la best practice in materia di audit prescrive sempre di
servirsi di consulenti esterni
servirsi di consulenti esterni
28. REQUISITI DELL’ODV
REQUISITI DELL’ODV
Indipendenza (viene nominato dal CdA ma risponde al Collegio sindacale)
Indipendenza (viene nominato dal CdA ma risponde al Collegio sindacale)
Autonomia (è svincolato dal potere gerarchico del management e dispone
Autonomia (è svincolato dal potere gerarchico del management e dispone
autonomamente le proprie attività)
autonomamente le proprie attività)
Professionalità (all’interno dell’OdV devono confluire diverse
Professionalità (all’interno dell’OdV devono confluire diverse
professionalità)
professionalità)
Continuità nell’azione (l’OdV non deve essere soggetto a continui o
Continuità nell’azione (l’OdV non deve essere soggetto a continui o
repentini cambiamenti dei suoi componenti)
repentini cambiamenti dei suoi componenti)
29. POSSONO SVOLGERE LE FUNZIONI DELL’ODV
POSSONO SVOLGERE LE FUNZIONI DELL’ODV
Il Comitato per il controllo di gestione
Il Comitato per il controllo di gestione
Il Collegio sindacale
Il Collegio sindacale
Il Consiglio di sorveglianza
Il Consiglio di sorveglianza
L’organismo di internal auditing
L’organismo di internal auditing
Eventuali organismi creati ad hoc
Eventuali organismi creati ad hoc
30. COSA FA L’ODV
COSA FA L’ODV
Vigila sulla corretta osservanza del modello da parte di tutti ii soggetti
Vigila sulla corretta osservanza del modello da parte di tutti soggetti
tenuti a rispettarlo
tenuti a rispettarlo
Valuta la concreta idoneità del modello a prevenire comportamenti illeciti
Valuta la concreta idoneità del modello a prevenire comportamenti illeciti
Valuta la necessità di ricorrere ad un aggiornamento del modello
Valuta la necessità di ricorrere ad un aggiornamento del modello
Aggiorna, se necessario, il modello
Aggiorna, se necessario, il modello
31. ABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPS
ABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPS
L’art. 45 del d.lgs. 9 febbraio 2012 n. 5 convertito nella l. 4 aprile 2012 n. 35,
L’art. 45 del d.lgs. 9 febbraio 2012 n. 5 convertito nella l. 4 aprile 2012 n. 35,
ha abrogato le norme del d.lgs. 30 giugno 2003 n. 196 (c.d. Codice Privacy)
ha abrogato le norme del d.lgs. 30 giugno 2003 n. 196 (c.d. Codice Privacy)
nella parte in cui imponevano l’adozione del Documento Programmatico
nella parte in cui imponevano l’adozione del Documento Programmatico
sulla Sicurezza (e, quindi, l’art. 34, comma 1, lett. g) e ha abrogato anche il
sulla Sicurezza (e, quindi, l’art. 34, comma 1, lett. g) e ha abrogato anche il
comma 1-bis dello stesso articolo, che comprendeva ii casi di semplificazione.
comma 1-bis dello stesso articolo, che comprendeva casi di semplificazione.
Pertanto, a partire dallo scorso anno, ii Titolari del trattamento che prima
Pertanto, a partire dallo scorso anno, Titolari del trattamento che prima
erano obbligati non sono più tenuti ad aggiornare il Documento
erano obbligati non sono più tenuti ad aggiornare il Documento
Programmatico sulla Sicurezza.
Programmatico sulla Sicurezza.
32. ABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPS
ABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPS
Da più parti, peraltro, si caldeggia la conservazione dei DPS redatti in
Da più parti, peraltro, si caldeggia la conservazione dei DPS redatti in
vigenza dell’obbligo, in quanto potrebbero ancora essere richiesti in fase di
vigenza dell’obbligo, in quanto potrebbero ancora essere richiesti in fase di
ispezione
ispezione
In ogni caso, la semplificazione non è intervenuta sulle altre misure di
In ogni caso, la semplificazione non è intervenuta sulle altre misure di
sicurezza che, pertanto, continuano ad essere obbligatorie (e la cui
sicurezza che, pertanto, continuano ad essere obbligatorie (e la cui
omissione, pertanto, continua ad essere sanzionata penalmente ed
omissione, pertanto, continua ad essere sanzionata penalmente ed
amministrativamente)
amministrativamente)
33. GLI OBBLIGHI RELATIVI ALLE MISURE MINIME
GLI OBBLIGHI RELATIVI ALLE MISURE MINIME
Resta pertanto obbligo del Titolare e del Responsabile del trattamento,
Resta pertanto obbligo del Titolare e del Responsabile del trattamento,
secondo le specifiche di cui all’Allegato B al Codice Privacy:
secondo le specifiche di cui all’Allegato B al Codice Privacy:
impostare un sistema di autenticazione informatica
impostare un sistema di autenticazione informatica
adottare procedure di gestione delle credenziali di autenticazione
adottare procedure di gestione delle credenziali di autenticazione
utilizzare un sistema di autorizzazione
utilizzare un sistema di autorizzazione
aggiornare periodicamente l’individuazione dell’ambito del trattamento
aggiornare periodicamente l’individuazione dell’ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici
degli strumenti elettronici
proteggere gli strumenti elettronici rispetto a trattamenti illeciti di dati, ad
proteggere gli strumenti elettronici rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici
accessi non consentiti e a determinati programmi informatici
adottare procedure per la custodia di copie di sicurezza, il ripristino della
adottare procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi
disponibilità dei dati e dei sistemi
34. MODELLI ORGANIZZATIVI E D.P.S.
MODELLI ORGANIZZATIVI E D.P.S.
Alla luce dell’intervenuta abrogazione del DPS è altamente probabile che,
Alla luce dell’intervenuta abrogazione del DPS è altamente probabile che,
in futuro, ii controlli disposti dal Garante per la protezione dei dati
in futuro, controlli disposti dal Garante per la protezione dei dati
personali saranno svolti in modo più capillare, anche accedendo, come
personali saranno svolti in modo più capillare, anche accedendo, come
consentito dal Codice Privacy, al sistema informatico del titolare del
consentito dal Codice Privacy, al sistema informatico del titolare del
trattamento.
trattamento.
Venendo a mancare il DPS, pertanto, l’unica modalità attraverso la quale il
Venendo a mancare il DPS, pertanto, l’unica modalità attraverso la quale il
Garante potrà verificare l’effettiva adozione delle misure minime, sarà
Garante potrà verificare l’effettiva adozione delle misure minime, sarà
quella di disporre controlli diretti, anche mediante specifico accesso ai
quella di disporre controlli diretti, anche mediante specifico accesso ai
sistemi, ai sensi dell’art. 159 del Codice Privacy.
sistemi, ai sensi dell’art. 159 del Codice Privacy.
35. MODELLI ORGANIZZATIVI E D.P.S.
MODELLI ORGANIZZATIVI E D.P.S.
Gli unici “pezzi di carta” contenenti (anche) prescrizioni in merito alla
Gli unici “pezzi di carta” contenenti (anche) prescrizioni in merito alla
sicurezza informatica e alle policy presenti in azienda che rimangono tra gli
sicurezza informatica e alle policy presenti in azienda che rimangono tra gli
ispettori e il sistema informatico, quindi, restano ii modelli organizzativi ex
ispettori e il sistema informatico, quindi, restano modelli organizzativi ex
D.Lgs. 231/01.
D.Lgs. 231/01.
Uno sguardo al futuro: le proposte di riforma della normativa comunitaria
Uno sguardo al futuro: le proposte di riforma della normativa comunitaria
in materia di privacy, richiamando ii concetti di «privacy impact
in materia di privacy, richiamando concetti di «privacy impact
assessment», «privacy by design», «privacy by default», sembrano
assessment», «privacy by design», «privacy by default», sembrano
muoversi con le stesse logiche di fondo del D.Lgs. 231/01.
muoversi con le stesse logiche di fondo del D.Lgs. 231/01.
36. I MODELLI ORGANIZZATIVI, QUINDI…
I MODELLI ORGANIZZATIVI, QUINDI…
Contribuiscono a costituire, ormai, il solo “ambiente” di sicurezza
Contribuiscono a costituire, ormai, il solo “ambiente” di sicurezza
informatica e policy di utilizzo delle risorse informatiche presente in
informatica e policy di utilizzo delle risorse informatiche presente in
azienda
azienda
Agevolano il raggiungimento di una visione olistica della sicurezza
Agevolano il raggiungimento di una visione olistica della sicurezza
informatica
informatica
Sono coadiuvanti nel caso in cui l’azienda voglia intraprendere un percorso
Sono coadiuvanti nel caso in cui l’azienda voglia intraprendere un percorso
di certificazione
di certificazione
37. I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231
I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231
L’attuazione di quanto previsto dal d.lgs. 231/01 porta, oltre alla conformità normativa, ii
L’attuazione di quanto previsto dal d.lgs. 231/01 porta, oltre alla conformità normativa,
seguenti vantaggi:
seguenti vantaggi:
accesso a commesse di significativo rilievo, per le quali viene richiesto, da parte di
accesso a commesse di significativo rilievo, per le quali viene richiesto, da parte di
soggetti pubblici o da grandi committenti privati, l’attuazione dei modelli previsti dal d.lgs.
soggetti pubblici o da grandi committenti privati, l’attuazione dei modelli previsti dal d.lgs.
231/01
231/01
incremento della fiducia dei soggetti terzi in tutte le operazioni societarie (es.: fusione;
incremento della fiducia dei soggetti terzi in tutte le operazioni societarie (es.: fusione;
acquisizione o cessione di quote o di azioni; acquisizione o cessione di pacchetti di controllo;
acquisizione o cessione di quote o di azioni; acquisizione o cessione di pacchetti di controllo;
vendita di rami di azienda; ingresso di nuovi soci; strutturazione o modifica dei gruppi
vendita di rami di azienda; ingresso di nuovi soci; strutturazione o modifica dei gruppi
societari; operazioni con partners esteri; operazioni di co-branding; etc.), con possibilità di
societari; operazioni con partners esteri; operazioni di co-branding; etc.), con possibilità di
ottenere una migliore valutazione economica
ottenere una migliore valutazione economica
incremento della fiducia da parte dei clienti nel caso in cui si abbia un’efficace sistema di
incremento della fiducia da parte dei clienti nel caso in cui si abbia un’efficace sistema di
tutela del trattamento dei dati personali
tutela del trattamento dei dati personali
prevenzione dei rischi economici connessi alla condanna penale del soggetto e/o al
prevenzione dei rischi economici connessi alla condanna penale del soggetto e/o al
pagamento di rilevanti sanzioni pecuniarie in conseguenza di una mancata ottemperanza
pagamento di rilevanti sanzioni pecuniarie in conseguenza di una mancata ottemperanza
alle misure minime di sicurezza
alle misure minime di sicurezza
38. I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231
I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231
prevenzione dei rischi economici connessi alla condanna dell’ente a sanzioni pecuniarie,
prevenzione dei rischi economici connessi alla condanna dell’ente a sanzioni pecuniarie,
interdittive ed alle altre sanzioni previste dal d.lgs. 231/01 (in conseguenza di eventuali
interdittive ed alle altre sanzioni previste dal d.lgs. 231/01 (in conseguenza di eventuali
azioni criminose dei soggetti collocati in posizione apicale o dei loro sottoposti) e miglior
azioni criminose dei soggetti collocati in posizione apicale o dei loro sottoposti) e miglior
capacità di risposta in caso di ispezioni a norma del Codice Privacy
capacità di risposta in caso di ispezioni a norma del Codice Privacy
miglioramento dell’efficienza interna dell’azienda
miglioramento dell’efficienza interna dell’azienda
miglioramento delle capacità di gestione dei rischi e di reazione di fronte agli eventi
miglioramento delle capacità di gestione dei rischi e di reazione di fronte agli eventi
critici
critici
incremento del livello di percezione di “eticità” dell’ente
incremento del livello di percezione di “eticità” dell’ente
veicolazione di immagine più solida, onesta, “pulita ”, dell’ente presso tutti gli
veicolazione di immagine più solida, onesta, “pulita ”, dell’ente presso tutti gli
stakeholders (compreso clienti, fornitori, istituzioni), con riflessi sul posizionamento
stakeholders (compreso clienti, fornitori, istituzioni), con riflessi sul posizionamento
dell’ente nel mercato
dell’ente nel mercato
possibilità di gestire al meglio le eventuali controversie che dovessero instaurarsi coi
possibilità di gestire al meglio le eventuali controversie che dovessero instaurarsi coi
propri prestatori di lavoro
propri prestatori di lavoro
39. SUGGERIMENTI FINALI
SUGGERIMENTI FINALI
Dotarsi di un adeguato modello organizzativo anche qualora non si rientri
Dotarsi di un adeguato modello organizzativo anche qualora non si rientri
tra ii soggetti espressamente indicati dalla normativa, in quanto è sempre
tra soggetti espressamente indicati dalla normativa, in quanto è sempre
possibile un’estensione giurisprudenziale
possibile un’estensione giurisprudenziale
Prevedere procedure efficaci di verifica della corretta applicazione della
Prevedere procedure efficaci di verifica della corretta applicazione della
normativa, soprattutto in merito all’attività di controllo che dovrà essere
normativa, soprattutto in merito all’attività di controllo che dovrà essere
condotta dall’Organismo di Vigilanza
condotta dall’Organismo di Vigilanza
Convogliare, all’interno dei modelli organizzativi, le prescrizioni aziendali in
Convogliare, all’interno dei modelli organizzativi, le prescrizioni aziendali in
tema di sicurezza e trattamento dei dati
tema di sicurezza e trattamento dei dati
40. STUDIO LEGALE ASSOCIATO
STUDIO LEGALE ASSOCIATO
MILANO
MILANO
Via Larga, 6
Via Larga, 6
20122 Milano
20122 Milano
GRAZIE DELL’ATTENZIONE!
GRAZIE DELL’ATTENZIONE!
Tel. 02.89926248
Tel. 02.89926248
Email: milano.desk@mpslaw.it
Email: milano.desk@mpslaw.it
BOLOGNA
BOLOGNA
Avv. Giorgio Spedicato
Avv. Giorgio Spedicato
Via dell’Indipendenza, 36
Via dell’Indipendenza, 36
40121 Bologna
40121 Bologna
Tel. 051.7878043
Tel. 051.7878043
Email: bologna.desk@mpslaw.it email: giorgio.spedicato@mpslaw.it
email: giorgio.spedicato@mpslaw.it
Email: bologna.desk@mpslaw.it
IMOLA
IMOLA
Via Garibaldi, 40
Via Garibaldi, 40
40026 Imola (Bo)
40026 Imola (Bo)
Tel. 0542.30702
Tel. 0542.30702
Email: imola.desk@mpslaw.it
Email: imola.desk@mpslaw.it