Poteri e responsabilità modelli “231”

Pubblicato il 21 Marzo 2014

Poteri e responsabilità modelli “231”

Giungo ora al terzo appuntamento riferito alla serie di sei articoli, che vogliono costituire altrettanti appuntamenti finalizzati ad approfondire alcuni importanti profili organizzativi che all’interno delle Aziende rivestono motivo di confronto ed analisi in ordine alla conformità organizzativa acquisita nei riguardi dei requisiti dettati dalla normativa sulla “privacy”.

I primi due già pubblicati hanno riguardato, in un caso, la redazione del Documento Programmatico sulla Sicurezza dei dati e del sistema informativo, mentre nel secondo la gestione delle attività commerciali e dei processi di marketing attraverso lo strumento della rete di internet.

In questa presente occasione voglio quindi occuparmi di un ulteriore aspetto che, pur sicuramente interessato dal dettato del Codice sulla Privacy, insiste significativamente su profili di carattere più generale, che riguardano il sistema di controllo interno aziendale, inteso questo come l’insieme di regole, procedure e strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali ed il conseguimento dell’efficacia e dell’efficienza dei processi aziendali, la salvaguardia del valore delle attività e la protezione dalle perdite, l’affidabilità e integrità delle informazioni contabili e gestionali, la conformità delle operazioni con la legge e con le disposizioni interne aziendali. La definizione riportata di sistema di controllo interno, ampia ma tuttavia molto chiara, si richiama alle indicazioni diffusamente riconosciute nell’ambito professionale della revisione interna ed offre in questo caso anche lo spunto per sottolineare una volta di più l’estrema vicinanza dell’argomento con il perimetro di interesse del decreto legislativo 231/2001 sulla responsabilità amministrativa degli enti, che per un breve lasso di tempo ha peraltro incluso in sé stesso anche i reati di tipo penale elencati dal decreto 196/2003.

Come ho già sostenuto in più occasioni, questa previsione, decaduta in fase di conversione con l’approvazione della legge 119/2013, è probabile si ripresenti in futuro ed in ogni caso, vista la rilevanza penale dei reati di cui al Titolo III e Capo II della Terza Parte del decreto “privacy”, nonché l’estrema inerenza gestionale che il trattamento dei dati e delle informazioni da parte dei sistemi informativi aziendali rappresenta nell’ambito del controllo interno delle organizzazioni, è senz’altro salutare porre la massima attenzione al rispetto della legge ed alla eticità dei comportamenti in questi ambiti, come richiesto in effetti anche dai modelli organizzativi conformi ai requisiti “231” e non solo quindi dalle esigenze di rispetto della “privacy”.

L’attenzione alla “compliance” e lo stile etico sono aspetti che chiaramente hanno molto “a che fare” con le persone e meno con le procedure; appare quindi logico che aspetti quali la responsabilità e la rappresentanza assumono nel contesto dell’analisi di conformità di una organizzazione una rilevanza significativa.

Veniamo quindi al merito della questione ed alle indicazioni organizzative e di governo che per la buona gestione delle deleghe e delle responsabilità all’interno dell’Azienda è importante vengano assolte.
Il testo normativo del Garante, al contrario di quanto in realtà si desume dal d.lgs.231, le cui indicazioni di contenuto del modello organizzativo sono “note” per essere molto limitate, sembra fornire alcuni elementi molto precisi in ordine alla assegnazione delle responsabilità aziendali.

Le figure che il decreto “196” tratta in ordine al sistema informativo ed ai dati in esso contenuti sono, come noto, quelle del Titolare, del Responsabile, dell’Incaricato e – non del tutto esplicitamente – dell’Amministratore. Dal dettato della norma, integrata dalle interpretazioni più riconosciute e dalle integrazioni che progressivamente il Garante a messo a disposizione, l’elemento più evidente è la forma di questi incarichi: si tratta sempre di “forma ufficiale”; anche nel caso infatti del Titolare, il cui ruolo è assunto evidentemente “di fatto”, l’esigenza della sua pubblicità, richiesta ad esempio in tutte le informative rivolte ai terzi, accomuna in un certo senso il suo profilo agli aspetti di formalità presenti - invece esplicitamente - in tutte le altre figure, dove si richiede infatti la “nomina scritta”. Il processo di nomina formale, inoltre, evidenzia nelle modalità richieste anche la chiarezza dei limiti dell’incarico e la scelta che deve basarsi su criteri di competenza. Tutto questo si desume dal contenuto degli artt.28, 29 e 30 del decreto “196” ed è altresì particolarmente evidente – per quanto alla figura dell’Amministratore di sistema – nell’Allegato “B” del decreto, pur mai in modo esplicito.

Il senso di quanto così articolato è evidente: occorre assegnare gli incarichi, che hanno peraltro una rilevanza anche esterna, in modo non equivocabile ed a soggetti che sono in grado di assumerli, assolvendo pienamente ogni garanzia riguardo la capacità di raggiungere gli obiettivi assegnati ed assicurare la conformità di quanto viene realizzato, non ultimo – infine - assolvendo pure la necessità di assicurare il perfezionamento di ogni atto compiuto in modo non contestabile.

Questo spirito, pur nei limiti anzi detti, viene rintracciato anche nel decreto “231”. Nel descrivere le dinamiche di responsabilità si distingue infatti tra soggetti “apicali” e “sottoposti”, senza ulteriori distinzioni, se non specificando che la figura di apicale può essere realizzata di diritto o di fatto. Ciò significa evidentemente che per soggetti apicali, si devono intendere opportunamente non solo le figure dotate di rappresentanza o di direzionalità, ma – più propriamente – ogni funzione che si trovi ad esercitare un ruolo di formazione e perfezionamento di decisioni all’interno dell’organizzazione. La differenza, semmai, sarà in ordine alla rilevanza che tali decisioni hanno in via immediata verso l’esterno e riguarderà quindi l’aspetto della forma con cui tale funzione viene ad essere istituita. Lo strumento, per dare massima cautela in senso di validità, dovrà rientrare certamente negli ambiti già noti della “pubblicità”.

L’aspetto tuttavia che maggiormente interessa, nel quadro in particolare degli obiettivi di questo articolo, è quello riguardante specificatamente l’organizzazione al suo interno.
I requisiti di forma e di sostanza elencati secondo lo spirito od il dettato dei due decreti legislativi citati – 196/2003 e 231/2001 – hanno specifico valore all’interno dell’Azienda e costituiscono appunto la validità e la robustezza del cosiddetto “Sistema delle deleghe interne”.

Il Sistema in questione è certamente parte integrante e fondamentale del modello organizzativo, ma è richiamato frequentemente anche in altri contesti, in misura tale da ampiamente significare la sua crucialità in ordine alla buona organizzazione ed alla buona gestione; si pensi in proposito a quanto richiesto per le nomine riguardanti la sicurezza e la salute sui luoghi di lavoro, ma anche a quanto richiesto dagli standard internazionali più diffusi in ambito gestionale ed oggetto di certificazioni ben note, quali l’Ambientale e la Qualità.

Certamente all’interno di un modello organizzativo il requisito generale della chiara e competente assegnazione dei compiti può essere raggiunto con formalità diverse, non rilevando in proposito la valenza verso i terzi. Anche il documento di organigramma aziendale, se reso ufficiale in modo idoneo, può rappresentare lo strumento adatto, soprattutto in ordine al rapporto contrattuale tra Azienda e Dipendente.
L’idoneità di forma dovrà comunque essere raggiunta attraverso una procedura formale e gestita, cioè attraverso un documento normativo riconosciuto e codificato, la cui edizione ed emanazione risulti costantemente sotto controllo.

Ai fini interni, se tale requisito è rispettato, sono assolti sicuramente anche i requisiti privacy e – ben più cruciali – i requisiti di responsabilità amministrativa ex decreto “231”.
La valenza esterna, in una tale situazione, andrà quindi valutata solo per alcuni livelli di responsabilità e sarà realizzata con le opportune modalità pubbliche di stipula e pubblicità.



 

Condividi:

Formazione professionale per la tua crescita.

Lisa Servizi è un Organismo di Formazione accreditato dalla Regione Veneto in ambito di Formazione Continua, e offre formazione di alto livello attraverso la business unit dedicata, che propone corsi interaziendali a catalogo, corsi aziendali personalizzati, e-learning e training su campi prove.

Rimani informato sugli aggiornamenti di settore