Modelli organizzativi, privacy e “whistleblowing”
D.lgs. 231/2001: la necessaria integrazione dei modelli organizzativi con le normative privacy (gdpr – regolamento ue 2016/679) e “whistleblowing” (legge 179/17)
Il D.Lgs. n. 231/01 ha introdotto, nel nostro ordinamento, il principio della responsabilità amministrativa delle persone giuridiche per i reati commessi dalle figure apicali e dalle persone sottoposte alla vigilanza delle figure apicali anzidette (dipendenti, fornitori) nell’interesse o a vantaggio dell’ente stesso.
Il legislatore, ad ogni modo, ha espressamente previsto, con il decreto in oggetto, la possibilità per l’ente di andare esente dalla predetta responsabilità nella sola ipotesi in cui questi si sia dotato di un Modello di Organizzazione, Gestione e Controllo, nonché di un Organismo di Vigilanza, con il compito di diffondere tale modello e di verificare la corretta attuazione delle procedure.
Una volta realizzato un modello organizzativo per la responsabilità amministrativa conforme al D.Lgs. 231/01, questo andrà mantenuto aggiornato con le modifiche normative ed organizzative.
Questa necessità di aggiornamento deve essere vista come un’opportunità di mantenere la propria organizzazione focalizzata sulla prevenzione di reati che potrebbero portare all’ente un danno non trascurabile.
Il D.Lgs. 231/01 prevede, infatti, sanzioni sia pecuniarie che interdittive applicabili anche in fase di indagini.
Per quanto riguarda le novità normative introdotte in tema di privacy, l’entrata in vigore del Regolamento Europeo 2016/679 (GDPR "Regolamento Generale sulla Protezione dei Dati") il 25 maggio 2018, comporterà un’integrazione dei modelli organizzativi e dei compliance program, un aggiornamento del sistema dei controlli interni e nella gestione dei data breach, oltre che un’integrazione dei ruoli coinvolti nel processo di privacy compliance: DPO, Audit, Compliance, Ufficio Legale e OdV.
Per quanto concerne, invece, le novità introdotte dalla Legge n. 179/2917 (Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato) in tema di "Whistleblowing", il modello organizzativo dovrà ora prevedere: 1) uno o più canali che consentano a coloro che a qualsiasi titolo rappresentino o dirigano l’ente di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte, tali canali garantiscono riservatezza dell’identità del segnalante nell’attività di gestione della segnalazione; 2) almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità segnalante; 3) misure idonee a tutelare l’identità del segnalante e a mantenere la riservatezza dell’informazione in ogni contesto successivo alla segnalazione, nei limiti in cui l’anonimato e la riservatezza siano opponibili per legge.
Pertanto, se tali aggiornamenti non verranno effettuati, ovvero se i modelli saranno predisposti in modo inadeguato, qualora i vertici dell'impresa dovessero commettere uno dei reati presupposto, l’ente potrà essere esposto ad una responsabilità ai sensi del D.Lgs. 231/2001.
Avv. Fabrizio Salmi
Studio Legale Salmi
Il legislatore, ad ogni modo, ha espressamente previsto, con il decreto in oggetto, la possibilità per l’ente di andare esente dalla predetta responsabilità nella sola ipotesi in cui questi si sia dotato di un Modello di Organizzazione, Gestione e Controllo, nonché di un Organismo di Vigilanza, con il compito di diffondere tale modello e di verificare la corretta attuazione delle procedure.
Una volta realizzato un modello organizzativo per la responsabilità amministrativa conforme al D.Lgs. 231/01, questo andrà mantenuto aggiornato con le modifiche normative ed organizzative.
Questa necessità di aggiornamento deve essere vista come un’opportunità di mantenere la propria organizzazione focalizzata sulla prevenzione di reati che potrebbero portare all’ente un danno non trascurabile.
Il D.Lgs. 231/01 prevede, infatti, sanzioni sia pecuniarie che interdittive applicabili anche in fase di indagini.
Per quanto riguarda le novità normative introdotte in tema di privacy, l’entrata in vigore del Regolamento Europeo 2016/679 (GDPR "Regolamento Generale sulla Protezione dei Dati") il 25 maggio 2018, comporterà un’integrazione dei modelli organizzativi e dei compliance program, un aggiornamento del sistema dei controlli interni e nella gestione dei data breach, oltre che un’integrazione dei ruoli coinvolti nel processo di privacy compliance: DPO, Audit, Compliance, Ufficio Legale e OdV.
Per quanto concerne, invece, le novità introdotte dalla Legge n. 179/2917 (Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato) in tema di "Whistleblowing", il modello organizzativo dovrà ora prevedere: 1) uno o più canali che consentano a coloro che a qualsiasi titolo rappresentino o dirigano l’ente di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte, tali canali garantiscono riservatezza dell’identità del segnalante nell’attività di gestione della segnalazione; 2) almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità segnalante; 3) misure idonee a tutelare l’identità del segnalante e a mantenere la riservatezza dell’informazione in ogni contesto successivo alla segnalazione, nei limiti in cui l’anonimato e la riservatezza siano opponibili per legge.
Pertanto, se tali aggiornamenti non verranno effettuati, ovvero se i modelli saranno predisposti in modo inadeguato, qualora i vertici dell'impresa dovessero commettere uno dei reati presupposto, l’ente potrà essere esposto ad una responsabilità ai sensi del D.Lgs. 231/2001.
Avv. Fabrizio Salmi
Studio Legale Salmi
Articolo del:
