La complessità del contesto esterno e interno delle imprese medio-grandi comporta rilevanti rischi organizzativi, legali, finanziari, per i diritti e le libertà fondamentali delle persone che devono necessariamente essere identificati e affrontati tempestivamente al fine di ridurre la possibilità di violazioni e la conseguente applicazione di sanzioni.
Indice degli argomenti
Organi preposti al controllo per gestire i diversi rischi
La gestione di tali rischi è affidata a diversi organi interni preposti al controllo delle organizzazioni in ambito privato. Nella tabella seguente sono riportati quelli di maggior rilievo che assumono un ruolo proattivo nella prevenzione dei rischi.
Organo preposto a controllo/sorveglianza | Vincoli e condizioni per la designazione/nomina | Tipo di rischio da gestire |
DPO (Data Protection Officer) | L’art. 39/1 del GDPR impone all’impresa, che tratta dati personali come titolare o responsabile del trattamento, l’obbligo di designare un DPO quando le attività principali (cioè il core business) consistono in processi aziendali che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o che consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 del GDPR o di dati relativi a condanne penali e a reati di cui all’articolo 10 del GDPR. | Rischi per i diritti e le libertà fondamentali delle persone fisiche. |
Collegio sindacale/Revisore | L’art. 2477 del Codice civile impone all’impresa l’obbligo di nominare l’organo di controllo o il revisore se la società:
L’obbligo di nomina dell’organo di controllo o del revisore cessa quando, per tre esercizi consecutivi, non è superato alcuno dei predetti limiti. | Rischio finanziario di un’insolvenza irrisolvibile (che non consenta di far ricorso a misure di composizione assistita). |
OdV (Organismo di vigilanza) | Art. 6, comma 1, lett. b) del D.lgs. 231/2001 prevede la facoltà, non l’obbligo, per l’Ente (persona giuridica, società o associazione priva di personalità giuridica) di nominare un organismo dotato di autonomi poteri di iniziativa e controllo, al fine di ottenere l’esonero dalla responsabilità per gli illeciti amministrativi dipendenti da reato. Attenzione: lo stesso art. 6, comma 4 bis prevede che nelle società di capitali le funzioni di OdV possono essere svolte dal collegio sindacale, dal consiglio di sorveglianza e dal comitato per il controllo della gestione. | Rischio di commissione di reati. |
Il tipo, la natura e la composizione di tali Organi dipendono da molteplici elementi. Per tutti sono previsti livelli di indipendenza più o meno marcati e sono strettamente disciplinate le modalità di riporto al vertice aziendale.
Relazione tra organi di controllo: utilità di una regolamentazione
Non risulta, invece, disciplinato il livello di relazione tra gli stessi Organi. Eppure i rapporti tra il DPO e gli altri organismi di controllo di un’organizzazione potrebbero, utilmente, in un’ottica di accountability, essere oggetto di regolamentazione.
Gli organismi considerati nel presente articolo sono quelli indicati nella tabella precedente che assumono un ruolo proattivo nella prevenzione del rischio: DPO, Collegio dei sindaci, Organismo di Vigilanza nominato ai sensi del D.lgs.231/2001.
Infatti, tali soggetti, attraverso l’identificazione delle minacce, mirano a prevenire che i relativi eventi dannosi si verifichino. In concreto, operano sviluppando autonomi processi di gestione dei rischi con output differenti, costituiti dalla mitigazione dei rischi, rispettivamente:
- per i diritti e le libertà fondamentali;
- finanziari;
- di commissione dei reati.
Detti output, quantunque differenti, convergono verso un unico outcome ben riassunto dal secondo comma dell’art. 2086 del codice civile secondo il quale “L’imprenditore, che operi in forma societaria o collettiva, ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l’adozione e l’attuazione di uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale”.
Questa norma introduce quindi il dovere di istituire un assetto organizzativo, amministrativo e contabile “adeguato” che consenta di rilevare tempestivamente e di gestire situazioni di crisi e di insolvenza nonché la perdita della continuità aziendale e quindi anche i data breach.
Detti Organismi di controllo sono, quindi, orientati, ognuno per la sua parte, a garantire una componente di business continuity. Questo scenario deve, pertanto, inevitabilmente e costruttivamente portare ad una condivisione di informazioni tra tali soggetti da regolamentare secondo una logica di accountability.
Quali informazioni dovrebbero essere condivise
Lo scambio di comunicazioni tra tali organi deve avere come obiettivo quello di favorire un controllo sinergico attraverso una condivisione mirata e regolamentata delle informazioni. Tale condivisione consente di demandare all’Organo che ha competenze specifiche l’approfondimento di alcuni temi e permettere, quindi, di gestire tutti i rischi secondo una visione olistica del controllo.
Gli ambiti nei quali è opportuno condividere informazioni possono riguardare:
- la mappatura dei processi aziendali;
- lo stato della presa in carico delle misure pianificate per la riduzione dei rischi che sono comuni a questi Organi e che costituiscono quindi aree operative sovrapposte. Si pensi, ad esempio, alle misure poste in essere per garantire la trasparenza delle informazioni, o ancora alle misure per prevenire reati informatici nel contesto del d.lgs. n. 231/2001 o i reati afferenti all’area dei copyright, della gestione dei rifiuti elettronici ecc.;
- la pianificazione di attività di audit sui processi che rientrano nel campo di applicazione degli organismi nonché i risultati degli stessi audit eseguiti sia in modo congiunto che singolarmente dai vari Organi di controllo;
- variazioni di processi, contesto, ambito di attività, introduzione di nuove tecnologie (ad esempio applicazioni aventi una componente di AI) ed altri aspetti che toccano ambiti in comune tra i soggetti preposti al controllo;
- variazioni normative;
- i risultati di attività di audit/ispezione condotte sia internamente che da soggetti terzi;
- eventi che hanno minato o avrebbero potuto minare la sicurezza delle informazioni.
Ulteriori ambiti potrebbero essere individuati in relazione alle specificità dell’organizzazione ed al settore in cui opera.
Naturalmente, lo scambio di informazioni dovrebbe essere pianificato almeno con frequenza annuale, ferma restando la necessità che tali soggetti siano sempre pronti a organizzare in modo rapido la condivisione di informazioni qualora si verificassero situazioni critiche.
Le misure di collaborazione
Al fine di favorire la messa in atto delle forme di collaborazioni è necessario definire le misure di cooperazione tra i vari soggetti.
Di seguito una panoramica delle principali modalità operative di condivisione che potrebbero essere adottate, tenendo presente che, in termini generali, la relazione tra il DPO e gli organismi di controllo dovrebbe avere come obiettivo ultimo la salvaguardia, attraverso efficaci sistemi di controllo, dell’azienda, dei suoi lavoratori e della sua reputazione sul mercato.
Il Regolamento
A monte, dovrebbe essere definito e concordato tra le parti un “Regolamento tra gli Organi di controllo” che consideri anche lo scambio di flussi – ad evento o secondo un calendario – che siano pianificati, per garantire uno scambio costante e proficuo di informazioni.
L’elemento a supporto di tali controlli è rappresentato proprio da tale “Regolamento” che dovrebbe essere congruente con i documenti che regolamentano le attività dei singoli Organi, richiamato dagli stessi e contenere:
- finalità del regolamento;
- struttura;
- iter di gestione, iter di redazione, verifica, approvazione, accesso del regolamento;
- compiti e responsabilità degli organismi, sia in relazione ai compiti precipui di tali funzioni sia in relazione alle attività da svolgere in modo congiunto;
- modalità e tempi di relazione all’organo di governo dell’organizzazione;
- convocazione degli incontri ordinari – responsabilità, modalità e tempi;
- convocazione degli incontri straordinari;
- coinvolgimento di terze parti;
- verbalizzazione degli incontri;
- flussi informativi tra i vari organi;
- gestione della documentazione condivisa (registrazioni ed evidenze) – archiviazione ed eliminazione;
- obblighi di riservatezza;
- riesame delle operazioni e modifiche del Regolamento.
La verbalizzazione degli incontri
Molto utile può risultare anche la verbalizzazione a seguito di ogni incontro che dovrebbe essere effettuata in modo sistematico e dettagliato. La relazione finale dell’ODV dovrebbe riportare gli incontri e gli scambi di informazioni tra tali Organi, sia quelli a consuntivo che quelli pianificati per il periodo a venire.
Il verbale di tali incontri potrebbe contenere i seguenti paragrafi:
- le circostanze ed i partecipanti all’incontro;
- i temi affrontati;
- eventuali criticità emerse nel corso dell’incontro;
- azioni pianificate per il periodo a venire;
- la pianificazione degli incontri successivi e dello scambio di informazioni.
Il verbale, così predisposto, andrebbe sottoscritto dai soggetti partecipanti e richiamato nel primo successivo verbale delle attività a carico del DPO.
La relazione finale del DPO presentata, in accordo all’art. 38 del GDPR dovrebbe prevedere un paragrafo che dia conto degli scambi effettuati nel corso del periodo precedente e della pianificazione di quelli previsti nel periodo a venire, ferma restando la necessità di ulteriori incontri straordinari nel corso dell’anno.
Le procedure
A supporto delle attività in carico, eseguite sia singolarmente sia in modo congiunto, dai vari organismi, possono essere formalizzate delle specifiche procedure, quali, ad esempio:
- “Pianificazione, esecuzione e rendicontazione dell’attività di audit”,
- “Rapporti con la PA”,“Gestione delle ispezioni della PA”,
- “Gestione dei data breach e degli eventi sulla sicurezza delle informazioni”.
Tali procedure dovrebbero essere controllate ad intervalli, per verificare che rispecchino quanto avviene nella realtà e che siano efficaci nel conseguire i risultati.
Conclusioni
Si è cercato di evidenziare quanto sia utile e opportuno uno scambio regolamentato, continuo e rendicontato di informazioni e di esperienze tra il DPO ed altri soggetti preposti al controllo all’interno dell’Organizzazione.
Gli strumenti, le misure e le modalità proposte, pur risultando applicabili in modo prevalente a organizzazioni ad alta complessità, possono comunque costituire un modello di riferimento anche per realtà organizzative di minori dimensioni.
In qualunque modo, è auspicabile che risulti acquisito il principio secondo il quale l’opera congiunta e sinergica degli organi preposti al controllo e alla sorveglianza consente di identificare e affrontare tempestivamente tutti i rischi inerenti ai processi aziendali, migliorando la compliance, riducendo la possibilità di violazioni e conseguenti sanzioni e potenziando la corporate governance.
