01 Sep Increasing convergence between Privacy and Legislative Degree 231: toward integrated compliance. The new guidelines from Confindustria
Introduzione
L’8 giugno 2021 sono state approvate (e pubblicate poi in data 30 giugno) dal Ministero della Giustizia le nuove Linee Guida di Confindustria per l’adozione dei modelli organizzativi 231 che, come noto, forniscono alle imprese indicazioni metodologiche utili per l’elaborazione dei modelli organizzativi redatti ai sensi del D.lgs. 231/2001.
L’aggiornamento in commento riguarda sia la parte generale che quella speciale dei modelli organizzativi di gestione e di controllo (d’ora in poi solo MOGC), con interventi ed approfondimenti puntuali su diversi temi.
L’impatto delle nuove linee guida lato privacy
Ciò che preme evidenziare è come, per la prima volta in maniera esplicita, l’adeguamento del MOGC al Regolamento europeo per la protezione dei dati 679/2016 (di seguito “Regolamento”) e alle disposizioni privacy, viene indicato nelle Linee Guida come un efficace presidio di controllo di carattere generale e trasversale a tutte le aree sensibili utile per la prevenzione dei reati presupposto della responsabilità degli enti ai sensi del D.lgs. 231/2001. Più nel dettaglio, la compliance del MOGC al Regolamento viene considerata alla stregua di una esimente in svariate ipotesi di consumazione di diversi reati presupposto in quanto, oltre ad essere un presidio di controllo da dover tenere in considerazione in più aree e processi sensibili (come ad esempio in relazione al principio della segregation of duties, sulla tracciabilità delle informazioni, delle operazioni e degli accessi, sulla conservazione dei documenti anche contabili ecc.) essa diventa un elemento essenziale e centrale che il giudice dovrà valutare nelle sue verifiche sull’efficacia ed idoneità dei MOGC.
Inoltre, secondo quanto stabilito dalle Linee Guida, si ritiene necessario che le società rendano compliant al Regolamento il sistema di segnalazioni Whistleblowing adottato – o da adottarsi – al fine di tutelare la riservatezza del segnalante in maniera tale da non pregiudicare lo scopo e la riuscita della segnalazione[1]. Sul punto è di questi giorni il Provvedimento sanzionatorio dell’Autorità Garante per la Protezione dei Dati Personali comminato ai danni di una importante Società per non aver adottato garanzie adeguate a tutela della riservatezza del segnalante[2].
In aggiunta, in questa nuova versione delle Linee Guida, quello che nella precedente era un semplice invito a forme di compliance integrata, ora diventa un importante requisito al fine di evitare la commissione di reati presupposto, tant’è che si legge: “il rischio di compliance, ossia di non conformità alle norme, comporta per le imprese il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni reputazionali in conseguenza di violazioni di norme imperative ovvero di autoregolamentazione, molte delle quali rientrano nel novero dei reati di cui al D.Lgs. 231/2001”.
Mette conto evidenziare come le novità in ambito compliance riguardino più aree sensibili e processi aziendali, ma per quanto di nostra competenza, riteniamo opportuno segnalare l’importanza e la rilevanza che l’adeguamento al Regolamento assume nella valutazione dell’adeguatezza ed efficacia del MOGC delle società, ove dovesse instaurarsi un processo “231”. Ciò che emerge, infatti, dalla lettura di questa nuova versione delle Linee Guida è una particolare attenzione all’adempimento degli obblighi previsti dal Regolamento, tanto da diventare uno degli elementi che devono essere verificati nella valutazione dell’adeguatezza del MOGC al fine di escludere la responsabilità dell’ente.
Infine, per migliorare l’efficienza dei modelli organizzativi richiesti dal decreto 231, viene sottolineata l’importanza dell’adozione di sistemi di certificazione tra i quali – in materia di sicurezza informatica – la ISO 27001, nonché di sicurezza delle informazioni e anticorruzione.
Conclusioni
Per concludere, l’adozione di Modelli Organizzativi Privacy integrati a quelli 231, unitamente ai Modelli di Cybersecurity, consente dunque alle imprese non solo la prevenzione dei rischi informatici, ma più in generale la salvaguardia dei dati e delle informazioni riservate che vengono gestite dall’azienda, contribuendo così a raggiungere un elevato livello di compliance generale utile come detto a mitigare i rischi sanzionatori in caso di commissione di tutti i reati presupposto (e non solo quelli informatici).
[1] Per un approfondimento sugli adempimenti da porre in essere al fine di rendere conforme ai sistemi di segnalazione whistleblowing alla normativa in materia di protezione dei dati personali si veda la nostra news del 2020.
[2] Per un approfondimento cfr. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9687860#2 che sarà oggetto anche di una nostra analisi puntuale in merito alle azioni di compliance che le Società devono adottare per rendere conforme il sistema di segnalazione whistleblowing alle diverse prescrizioni vigenti nei vari contesti normativi di riferimento (ciò anche in senso evolutivo rispetto a quanto da noi già esaminato lo scorso anno; si veda nota precedente).
