In breve sintesi, il decreto legislativo 231/2001 ha introdotto: il modello di organizzazione e gestione (MOG 231); l’organismo di vigilanza e la responsabilità amministrativa degli Enti. Per la prima volta ed in modo del tutto rivoluzionario oggi anche gli Enti possono essere ritenuti responsabili qualora commettano un reato.

Reati presupposto

I reati sono quelli specifici e previsti dalla 231 (c.d. reati presupposto), e devono essere commessi nell’interesse o vantaggio dell’Ente, e da esponenti dei vertici aziendali o da soggetti sottoposti alla loro direzione e vigilanza.

Si tratta di una responsabilità diretta, autonoma e concorrente rispetto a quella della persona fisica che ha commesso il reato.

Importante sottolineare che la responsabilità, anche se definita amministrativa, per il tipo di sanzione inflitta all’ente, è penale a tutti gli effetti.

A chi si applica la 231?

Alle società di capitali, Società di persone, Fondazioni, Associazioni riconosciute e Enti pubblici.

Responsabilità dell’ente e i soggetti in Posizione Apicale

L’ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio (art. 5 del d.lgs.231/2001) se direttamente coinvolti tutti coloro che rivestono una posizione apicale:

  •  il legale rappresentante;
  •  l’amministratore (unico o delegato);
  •  il direttore generale;
  •  l’amministratore di fatto;
  •  e quei soggetti sottoposti alla loro direzione e vigilanza.

Le possibilità di esenzione della responsabilità dell’ente

L’ente può essere esento della responsabilità amministrativa se dimostra:

  • di aver preventivamente adottato ed efficacemente attuato un modello di organizzazione e gestione idoneo a prevenire il compimento di reati della specie di quello verificatosi.
  • di essersi dotato di un organismo di vigilanza con autonomi poteri di iniziativa e di controllo, che vigili sull’osservanza e il buon funzionamento del modello e che provveda costantemente al suo aggiornamento.

Perché adottare il Modello Organizzativo 231 in Azienda

L’adozione del modello 231 deve essere considerata un investimento, che consentirà all’azienda di apparire agli occhi dei clienti, fornitori nonché enti pubblici, affidabile. Il MOG 231 comporta un aumento della valutazione e della considerazione anche sociale ed etica (reputation), a cui la legge ricollega vantaggi in sede di concessione di finanziamenti pubblici e agevolazioni per l’accesso al credito bancario.

La adozione del riferito modello è un vantaggio ancora maggiore per le aziende che partecipano alle gare d’appalto, visto che le esigenze della pubblica amministrazione stanno crescendo ogni giorno.

Inoltre concede:

  • Migliore organizzazione.
  • Controllo del rischio.
  • Controllo e implementazione delle risorse.
  • Presidio di sicurezza e legalità
  • Rating di legalità.

Il covid-19 e la 231

Con l’arrivo del covid-19, i protocolli 231 vanno adattati per gestire il rischio, cosiddetto “rischio d’impresa”, in consonanza con il disposto nel documento pubblicato sul sito del Consiglio nazionale dell’Ordine dei commercialisti.

Qui può annidarsi l’eventualità di reati in materia di sicurezza sul lavoro (per esempio come conseguenze della mancata o incompleta adozione di misure di protezione per i dipendenti), quali l’omicidio colposo o le lesioni (gravi o gravissime) commesse con violazione delle norme sulla tutela della salute e sicurezza.

La 231 versus Privacy

Proprio come prevede la 231 a rispetto dell’adozione di un modello di organizzazione e gestione idoneo a prevenire il compimento di reati della specie di quello verificatosi, cosi anche la normativa sulla Privacy, che, appunto, racchiude tutti gli adempimenti necessari ad assicurare la riservatezza ed il più elevato grado di tutela per i dati personali trattati nelle società.

Il primo step per l’elaborazione del dossier Privacy è la revisione dell’organigramma aziendale, prestando cioè attenzione alla presenza delle nomine esistenti e alla descrizione dei nuovi compiti assegnati al titolare, al responsabile del trattamento, agli incaricati al trattamento.

Quanto sopra detto sembra rispondere pienamente al criterio della Segregation of Duties (separazione di compiti) che già governa il sistema 231, in base al quale occorre individuare distinte responsabilità in capo a ciascuna funzione descrivendone nel dettaglio i compiti affidati.

Inoltre, l’organismo di vigilanza, previsto dal d.lgs.231, nell’esercizio delle sue funzioni entra in contatto con una pluralità di dati personali, difatti la gestione di flussi informativi, le attività di controllo e vigilanza nonché le eventuali segnalazioni di condotte illecite portano inevitabilmente allo svolgimento di trattamenti di dati riferiti o riferibili a persone fisiche facenti parte del management aziendale (art. 6 D.lgs. 231/2001).

Possiamo concludere sostenendo che, alla luce della recente normativa sulla privacy, il titolare del trattamento, il responsabile ed il Data Protection Officer (quando designato) risultano essere interlocutori importanti dell’OdV, alla stregua del RSPP e dei Responsabili dei sistemi di gestione aziendale che, quindi, dovrebbero monitorare anche il trattamento dei dati effettuato dall’OdV nella sua funzione di organo di controllo e vigilanza del modello organizzativo adottato dall’ente (articoli 6 e 7 del D.lgs. 231/2001).

Altro aspetto di collegamento tra la 231 e il Regolamento UE 679/2016 è riscontrabile con riguardo all’articolo 24-bis del D.lgs. 231/2001 rubricato Delitti informativi e trattamento illecito dei dati e cioè, nella previsione nei c.d. reati-presupposto di alcuni delitti informatici e fattispecie connesse di trattamento illecito di dati.

Sistema Integrato 231 e Privacy

A livello pratico, quindi, può essere utile, per le organizzazioni che hanno definito e incrementato nel corso degli anni, un modello organizzativo 231, recuperare il contenuto dello stesso e verificare quando di tali contenuti siano trascinabili nel “modello privacy”.

Ciò anche per garantire un necessario coordinamento e un necessario collegamento tra i due modelli. Non bisogna cadere nell’errore, però, di ritenere che il “modello organizzativo 231” esaurisca in maniera completa tutti gli aspetti di programmazione e di formazione imposti dal regolamento europeo sulla privacy.

Bene fa, quindi, l’impresa a mappare i trattamenti e a mappare i rischi riprendendo anche i rischi individuati nella modello organizzativo 231, soprattutto con riferimento ai delitti informatici e relativi al trattamento illecito di dati, per poi combinare i piani dei possibili rimedi e quelli di formazione. Si ottimizzeranno gli adempimenti e si darà una solida base alla propria
irresponsabilità.

Vuoi approfondire? Contatta i nostri uffici per una consulenza specializzata sul sistema 231 !

Scopri subito la nostra soluzione Privacy Facile
e trova la versione più adatta alle tue esigenze

Iscriviti alla nostra Newsletter

Altri articoli della stessa categoria