Your SlideShare is downloading. ×
0
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Smau Bari 2013 Giorgio Spedicato
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Smau Bari 2013 Giorgio Spedicato

1,703

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,703
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. LA LEGGE, LA TECNOLOGIA E LA LEGGE, LA TECNOLOGIA E LA SICUREZZA DEI DATI E DEI SISTEMI: LA SICUREZZA DEI DATI E DEI SISTEMI: DALLA NORMATIVA SULLA PRIVACY AI DALLA NORMATIVA SULLA PRIVACY AIMODELLI ORGANIZZATIVI E DI CONTROLLOMODELLI ORGANIZZATIVI E DI CONTROLLO Avv. Giorgio Spedicato Avv. Giorgio Spedicato
  • 2. Managing Partner dello studio legale Monducci Perri Spedicato Managing Partner dello studio legale Monducci Perri Spedicato & Partners. & Partners. CHI SONO CHI SONO Professore a contratto di Diritto della Proprietà intellettuale Professore a contratto di Diritto della Proprietà intellettuale presso la Facoltà di Giurisprudenza dell’Università di Bologna presso la Facoltà di Giurisprudenza dell’Università di Bologna (polo didattico di Ravenna). (polo didattico di Ravenna). Dottore di ricerca in Informatica giuridica e diritto Dottore di ricerca in Informatica giuridica e diritto dell’informatica. dell’informatica. Lo Studio legale associato Monducci Perri Spedicato & Partners è Lo Studio legale associato Monducci Perri Spedicato & Partners èCHI È MPS&P una law boutique specializzata in proprietà intellettuale, dirittoCHI È MPS&P una law boutique specializzata in proprietà intellettuale, diritto delle nuove tecnologie e diritto dell’innovazione con sede a delle nuove tecnologie e diritto dell’innovazione con sede a Milano, Bologna e Imola. Milano, Bologna e Imola. Affianca chi fa dell’innovazione il proprio lavoro e il proprio Affianca chi fa dell’innovazione il proprio lavoro e il proprio impegno quotidiani, supportandolo nell’attività day by day e impegno quotidiani, supportandolo nell’attività day by day e assistendolo nelle operazioni più complesse. assistendolo nelle operazioni più complesse.
  • 3. INDICE INDICEOverview del D.Lgs. 231/2001Overview del D.Lgs. 231/2001I modelli di organizzazione e controlloI modelli di organizzazione e controlloLa redazione dei modelli di organizzazione e controlloLa redazione dei modelli di organizzazione e controlloI modelli di organizzazione e controllo dopo l’abrogazione del DPSI modelli di organizzazione e controllo dopo l’abrogazione del DPSQuali misure di sicurezza ora?Quali misure di sicurezza ora?I side effects dell’adozione di un modello organizzativo 231/01 e il rapportoI side effects dell’adozione di un modello organizzativo 231/01 e il rapportocon gli adempimenti privacycon gli adempimenti privacy
  • 4. IL SENSO DELL’EVOLUZIONE NORMATIVA IL SENSO DELL’EVOLUZIONE NORMATIVAPrima del D.Lgs. 231/2001Prima del D.Lgs. 231/2001Principio generale: societas delinquere non potestPrincipio generale: societas delinquere non potestCon l’introduzione del D.Lgs. 231/2001Con l’introduzione del D.Lgs. 231/2001Cambio di prospettiva: viene istituita la responsabilità amministrativa dell’ente perCambio di prospettiva: viene istituita la responsabilità amministrativa dell’ente perreati posti in essere da amministratori, dirigenti e/o dipendenti nell’interesse o areati posti in essere da amministratori, dirigenti e/o dipendenti nell’interesse o avantaggio dell’ente stessovantaggio dell’ente stessoLa 231/2001 nasce per prevenire e contrastare la c.d. “criminalità d’impresa”: SiLa 231/2001 nasce per prevenire e contrastare la c.d. “criminalità d’impresa”: Siritiene che colpire il reale beneficiario del reato (l’ente) piuttosto che il singolo soggettoritiene che colpire il reale beneficiario del reato (l’ente) piuttosto che il singolo soggettoagente possa essere un efficace sistema preventivo e repressivo di alcune ipotesiagente possa essere un efficace sistema preventivo e repressivo di alcune ipotesidelittuosedelittuose
  • 5. IL SENSO DELL’EVOLUZIONE NORMATIVA IL SENSO DELL’EVOLUZIONE NORMATIVA Il fondamento della responsabilità in questione è basato sulla c.d. «colpa di Il fondamento della responsabilità in questione è basato sulla c.d. «colpa di organizzazione», giacché si puniscono, con sanzioni gravi, le società e gli enti organizzazione», giacché si puniscono, con sanzioni gravi, le società e gli enti che non hanno saputo scongiurare, nella propria organizzazione, significative che non hanno saputo scongiurare, nella propria organizzazione, significative ipotesi di reato ipotesi di reato La responsabilità sorge sia per mancata o insufficiente dotazione ed La responsabilità sorge sia per mancata o insufficiente dotazione ed attuazione di modelli organizzativi e gestionali efficienti, sia per difetto di attuazione di modelli organizzativi e gestionali efficienti, sia per difetto di controllo sul corretto operato di chi opera, a diverso titolo, a contatto con controllo sul corretto operato di chi opera, a diverso titolo, a contatto con l’ente l’ente
  • 6. AMBITO DI APPLICAZIONE SOGGETTIVO AMBITO DI APPLICAZIONE SOGGETTIVO Enti forniti di personalità giuridica Enti forniti di personalità giuridica Società e associazioni, anche prive di personalità giuridica… Società e associazioni, anche prive di personalità giuridica… …ivi incluse le imprese individuali (Cass. pen. n. 15657/2010) …ivi incluse le imprese individuali (Cass. pen. n. 15657/2010)
  • 7. EFFETTI EFFETTIResponsabilità dell’ente che si aggiungeResponsabilità dell’ente che si aggiunge a quella personale del soggetto agente a quella personale del soggetto agente Effetti diretti sul patrimonio dell’ente Effetti diretti sul patrimonio dell’ente e indiretti sugli interessi di tutti ii soci e indiretti sugli interessi di tutti soci
  • 8. MITIGAZIONE MITIGAZIONEL’effetto dirompente della disciplina è mitigato da tre elementi:L’effetto dirompente della disciplina è mitigato da tre elementi:ii reati devono essere posti in essere da soggetti in posizione apicale o da reati devono essere posti in essere da soggetti in posizione apicale o dasoggetti in posizione subordinata;soggetti in posizione subordinata;ii reati che possono far sorgere questo tipo di responsabilità sono reati che possono far sorgere questo tipo di responsabilità sonotassativamente individuati dal testo di legge (anche se sono molto numerosi etassativamente individuati dal testo di legge (anche se sono molto numerosi eil catalogo viene aggiornato spesso);il catalogo viene aggiornato spesso);ii reati devono essere commessi nell’interesse o a vantaggio della società o reati devono essere commessi nell’interesse o a vantaggio della società odell’ente.dell’ente.
  • 9. I SOGGETTI I SOGGETTII soggetti idonei a commettere reati rilevanti ex D.Lgs. 231/01 possono essereI soggetti idonei a commettere reati rilevanti ex D.Lgs. 231/01 possono esseredivisi in due categorie:divisi in due categorie:Soggetti in posizione apicaleSoggetti in posizione apicaleSoggetti in posizione subordinataSoggetti in posizione subordinata
  • 10. SOGGETTI IN POSIZIONE APICALE SOGGETTI IN POSIZIONE APICALE Per individuarli il Legislatore ha preferito utilizzare una formula basata su Per individuarli il Legislatore ha preferito utilizzare una formula basata su un criterio funzionale un criterio funzionale Rientrano in questa categoria tutti quei soggetti che esprimono la volontà Rientrano in questa categoria tutti quei soggetti che esprimono la volontà dell’ente nei rapporti esterni e nelle scelte di politica d’impresa attraverso dell’ente nei rapporti esterni e nelle scelte di politica d’impresa attraverso un potere di gestione, controllo e vigilanza, come ad esempio: un potere di gestione, controllo e vigilanza, come ad esempio:  il legale rappresentante dell’ente  il legale rappresentante dell’ente  gli amministratori  gli amministratori  ii direttori generali ex art. 2396 c.c.  direttori generali ex art. 2396 c.c.  ii membri di comitati esecutivi  membri di comitati esecutivi  e tutti ii soggetti dotati di rappresentanza…  e tutti soggetti dotati di rappresentanza…
  • 11. SOGGETTI IN POSIZIONE SUBORDINATA SOGGETTI IN POSIZIONE SUBORDINATA Non sono necessariamente solo ii dipendenti dell’ente Non sono necessariamente solo dipendenti dell’ente Anche in questo caso viene adottato un criterio funzionale (ma non Anche in questo caso viene adottato un criterio funzionale (ma non vengono considerati responsabili ii soggetti che esercitano le funzioni di vengono considerati responsabili soggetti che esercitano le funzioni di vigilanza e controllo bensì coloro che le subiscono) vigilanza e controllo bensì coloro che le subiscono) Perchè sorga responsabilità commessa dai soggetti in posizione Perchè sorga responsabilità commessa dai soggetti in posizione subordinata, è essenziale che questi operino sotto il diretto controllo del subordinata, è essenziale che questi operino sotto il diretto controllo del soggetto apicale (è sempre necessaria un’analisi concreta soggetto apicale (è sempre necessaria un’analisi concreta dell’organigramma aziendale e dei poteri conferiti ai singoli soggetti) dell’organigramma aziendale e dei poteri conferiti ai singoli soggetti)
  • 12. I REATI PRESUPPOSTO I REATI PRESUPPOSTO Lungo elenco di reati cc.dd. presupposto (in costante aggiornamento) Lungo elenco di reati cc.dd. presupposto (in costante aggiornamento) Quelli che riguardano più specificamente il tema della sicurezza informatica Quelli che riguardano più specificamente il tema della sicurezza informatica e della tutela della proprietà intellettuale sono: e della tutela della proprietà intellettuale sono:  frode informatica in danno dello Stato o di altro ente pubblico  frode informatica in danno dello Stato o di altro ente pubblico  delitti informatici e trattamento illecito di dati  delitti informatici e trattamento illecito di dati  fabbricazione e commercio di beni realizzati usurpando titoli di  fabbricazione e commercio di beni realizzati usurpando titoli di proprietà industriale proprietà industriale  delitti in materia di diritto d’autore  delitti in materia di diritto d’autore
  • 13. «NELL’INTERESSE O A VANTAGGIO» «NELL’INTERESSE O A VANTAGGIO»Perchè sorga questo tipo di responsabilità, è necessario che ii reati individuatiPerchè sorga questo tipo di responsabilità, è necessario che reati individuatidalla norma siano commessi nell’interesse o a vantaggio della società, a nulladalla norma siano commessi nell’interesse o a vantaggio della società, a nullarilevando, ad esempio, l’ipotesi che il reato venga commesso a favore propriorilevando, ad esempio, l’ipotesi che il reato venga commesso a favore proprioo di terzi. Nel caso in cui, invece, vi sia una commistione tra interesseo di terzi. Nel caso in cui, invece, vi sia una commistione tra interessepersonale e aziendale, la responsabilità dell’ente non è esclusa nè ridottapersonale e aziendale, la responsabilità dell’ente non è esclusa nè ridottaInteresse: è riferito alla condotta e sussiste quando l’autore del reato pone inInteresse: è riferito alla condotta e sussiste quando l’autore del reato pone inessere un comportamento finalizzato a far ottenere all’ente un lucro oessere un comportamento finalizzato a far ottenere all’ente un lucro ocomunque un obiettivo desiderabile, sebbene non immediatamente lucrosocomunque un obiettivo desiderabile, sebbene non immediatamente lucrosoVantaggio: è riferito all’evento del reato e non presuppone il lucro ma puòVantaggio: è riferito all’evento del reato e non presuppone il lucro ma puòtradursi nell’acquisizione di una qualche utilità che consenta all’ente ditradursi nell’acquisizione di una qualche utilità che consenta all’ente diconseguire una posizione di vantaggioconseguire una posizione di vantaggio
  • 14. GRUPPI DI IMPRESE GRUPPI DI IMPRESEQualora una società controllante tragga un interesse o un vantaggio, ancheQualora una società controllante tragga un interesse o un vantaggio, anchemediato, dalla commissione di un reato previsto dal decreto da parte di unamediato, dalla commissione di un reato previsto dal decreto da parte di unacontrollata, sarà sanzionabile per responsabilità amministrativa anche lacontrollata, sarà sanzionabile per responsabilità amministrativa anche lacontrollante.controllante.(cfr. Cass. pen. Sez. V, 18 gennaio 2011, n. 24583)(cfr. Cass. pen. Sez. V, 18 gennaio 2011, n. 24583)
  • 15. SANZIONI SANZIONILe sanzioni previste dal d.lgs. 231/01 sono di quattro tipi:Le sanzioni previste dal d.lgs. 231/01 sono di quattro tipi:sanzione pecuniariasanzione pecuniariasanzioni interdittivesanzioni interdittiveconfiscaconfiscapubblicazione della sentenzapubblicazione della sentenza
  • 16. SANZIONE PECUNIARIA SANZIONE PECUNIARIAÈ applicata per quote ed è compresa tra € 25.800 ed € 1.549.000È applicata per quote ed è compresa tra € 25.800 ed € 1.549.000Nel determinare l’ammontare effettivo della sanzione pecuniaria, il giudiceNel determinare l’ammontare effettivo della sanzione pecuniaria, il giudicedeve tenere conto dei seguenti criteri:deve tenere conto dei seguenti criteri:  gravità del fatto  gravità del fatto  grado di responsabilità dell’ente  grado di responsabilità dell’ente  attività svolta dall’ente per eliminare o attenuare le conseguenze del  attività svolta dall’ente per eliminare o attenuare le conseguenze del fatto e per prevenire la commissione di ulteriori illeciti fatto e per prevenire la commissione di ulteriori illeciti  condizioni economiche e patrimoniali dell’ente (allo scopo di assicurare  condizioni economiche e patrimoniali dell’ente (allo scopo di assicurare l’effettività della sanzione, che potrebbe essere resa vana dalle l’effettività della sanzione, che potrebbe essere resa vana dalle maggiori capacità patrimoniali ed economiche dell’ente medesimo) maggiori capacità patrimoniali ed economiche dell’ente medesimo)
  • 17. SANZIONI INTERDITTIVE SANZIONI INTERDITTIVELe sanzioni interdittive sono principalmente volte, per quanto possibile, adLe sanzioni interdittive sono principalmente volte, per quanto possibile, adeliminare le condizioni oggettive e soggettive che hanno agevolato ii fattorieliminare le condizioni oggettive e soggettive che hanno agevolato fattoricriminogeni:criminogeni:  interdizione dall’esercizio dell’attività  interdizione dall’esercizio dell’attività  sospensione o revoca delle autorizzazioni, delle licenze o delle  sospensione o revoca delle autorizzazioni, delle licenze o delle concessioni funzionali alla commissione dell’illecito concessioni funzionali alla commissione dell’illecito  divieto di contrattare con la Pubblica Amministrazione, salvo che per  divieto di contrattare con la Pubblica Amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio ottenere le prestazioni di un pubblico servizio  esclusione da agevolazioni, finanziamenti, contributi o sussidi ed  esclusione da agevolazioni, finanziamenti, contributi o sussidi ed eventuale revoca di quelli già concessi eventuale revoca di quelli già concessi  divieto di pubblicizzare beni o servizi  divieto di pubblicizzare beni o servizi
  • 18. CONFISCA CONFISCACon la sentenza di condanna si dispone sempre la confisca del prezzo o delCon la sentenza di condanna si dispone sempre la confisca del prezzo o delprofitto del reatoprofitto del reatoQuando non sia possibile eseguire la confisca, questa potrà avere ad oggettoQuando non sia possibile eseguire la confisca, questa potrà avere ad oggettoanche somme di denaro, beni o altre utilità di valore equivalente al profitto delanche somme di denaro, beni o altre utilità di valore equivalente al profitto delreatoreato
  • 19. ESONERO DELLA RESPONSABILITÀ ESONERO DELLA RESPONSABILITÀIl d.lgs. 231/2001 offre la possibilità agli enti di essere esonerati dallaIl d.lgs. 231/2001 offre la possibilità agli enti di essere esonerati dallaresponsabilità qualora ii medesimi:responsabilità qualora medesimi:si dotino ed abbiano efficacemente adottato specifici modelli organizzativi esi dotino ed abbiano efficacemente adottato specifici modelli organizzativi edi gestione, idonei alla prevenzione di reati della medesima specie di quellodi gestione, idonei alla prevenzione di reati della medesima specie di quellocommesso, di modo che il reato venga commesso aggirandocommesso, di modo che il reato venga commesso aggirandofraudolentemente ii predetti modelli di organizzazione e di gestione;fraudolentemente predetti modelli di organizzazione e di gestione;si dotino di un organismo di vigilanza ad hoc, dotato di autonomi poteri disi dotino di un organismo di vigilanza ad hoc, dotato di autonomi poteri diiniziativa e controllo, che abbia effettivamente esercitato le sue funzioni ed iiiniziativa e controllo, che abbia effettivamente esercitato le sue funzioni edsuoi compiti durante il momento di commissione del reato.suoi compiti durante il momento di commissione del reato.
  • 20. I MODELLI ORGANIZZATIVI I MODELLI ORGANIZZATIVII modelli organizzativi devono:I modelli organizzativi devono:individuare le attività nell’ambito delle quali possono essere commessi ii reatiindividuare le attività nell’ambito delle quali possono essere commessi reatiprevedere protocolli in base ai quali effettuare la programmazione eprevedere protocolli in base ai quali effettuare la programmazione el’attuazione delle decisioni relative ai reati da prevenirel’attuazione delle decisioni relative ai reati da prevenireindividuare le modalità di gestione delle risorse finanziarie idonee adindividuare le modalità di gestione delle risorse finanziarie idonee adimpedire la commissione dei reatiimpedire la commissione dei reatiprevedere obblighi di informazione verso l’organismo deputato a vigilare sulprevedere obblighi di informazione verso l’organismo deputato a vigilare sulfunzionamento e l’osservanza dei modelli stessifunzionamento e l’osservanza dei modelli stessiintrodurre un sistema disciplinare tramite il quale sanzionare il mancatointrodurre un sistema disciplinare tramite il quale sanzionare il mancatorispetto delle misure che sono indicate nel modellorispetto delle misure che sono indicate nel modello
  • 21. COME REDIGERE IL MODELLO ORGANIZZATIVO COME REDIGERE IL MODELLO ORGANIZZATIVOLe linee guida, in genere, suggeriscono di prevedere le seguenti fasi per laLe linee guida, in genere, suggeriscono di prevedere le seguenti fasi per ladefinizione del “modello 231”:definizione del “modello 231”:identificazione dei rischiidentificazione dei rischipredisposizione e/o implementazione di un sistema di controllo idoneo apredisposizione e/o implementazione di un sistema di controllo idoneo aprevenire ii rischi attraverso l’adozione di specifici protocolliprevenire rischi attraverso l’adozione di specifici protocolli…in una parola: analisi del rischio e policy, analogamente a quanto occorreva…in una parola: analisi del rischio e policy, analogamente a quanto occorrevafare per il DPSfare per il DPS
  • 22. RISK ASSESSMENT: UN ESEMPIO RISK ASSESSMENT: UN ESEMPIOIndividuazione delle aree di rischioIndividuazione delle aree di rischioElaborazione delle regole interne atte a disciplinare il controllo delle aree diElaborazione delle regole interne atte a disciplinare il controllo delle aree dirischio sopra identificate e a progettare misure volte a contrastare ii rischirischio sopra identificate e a progettare misure volte a contrastare rischieventualmente emersieventualmente emersiGestione delle risorse strutturata in modo da assicurare all’attività diGestione delle risorse strutturata in modo da assicurare all’attività diindividuazione e gestione del rischio gli stanziamenti necessariindividuazione e gestione del rischio gli stanziamenti necessariPredisposizione di un apposito sistema disciplinare che consenta diPredisposizione di un apposito sistema disciplinare che consenta diintervenire sanzionando chi trasgredisca alle prescrizioni elaborate in seguitointervenire sanzionando chi trasgredisca alle prescrizioni elaborate in seguitoal processo di controllo esaminato. Per rispondere a tale esigenza si adottanoal processo di controllo esaminato. Per rispondere a tale esigenza si adottanospesso dei protocolli interni che, oltre a un sistema di sanzioni coerente espesso dei protocolli interni che, oltre a un sistema di sanzioni coerente eadeguato, contengano la disciplina delle procedure da seguire nell’esecuzioneadeguato, contengano la disciplina delle procedure da seguire nell’esecuzionedi determinate attività aziendalidi determinate attività aziendali
  • 23. LE COMPONENTI PIÙ RILEVANTI LE COMPONENTI PIÙ RILEVANTI Redazione e sottoscrizione di un codice etico Redazione e sottoscrizione di un codice etico Formalizzazione del sistema organizzativo, soprattutto per quanto attiene Formalizzazione del sistema organizzativo, soprattutto per quanto attiene all’attribuzione di responsabilità, alle linee di dipendenza gerarchica e alla all’attribuzione di responsabilità, alle linee di dipendenza gerarchica e alla descrizione dei compiti, con specifica previsione di principi di controllo descrizione dei compiti, con specifica previsione di principi di controllo quali, ad esempio, la contrapposizione di funzioni quali, ad esempio, la contrapposizione di funzioni Procedure manuali e/o informatiche tali da regolamentare lo svolgimento Procedure manuali e/o informatiche tali da regolamentare lo svolgimento delle attività prevedendo gli opportuni punti di controllo delle attività prevedendo gli opportuni punti di controllo Poteri autorizzativi e di firma assegnati in coerenza con le responsabilità Poteri autorizzativi e di firma assegnati in coerenza con le responsabilità organizzative e gestionali definite, prevedendo, quando richiesto, una organizzative e gestionali definite, prevedendo, quando richiesto, una puntuale indicazione delle soglie di approvazione delle spese puntuale indicazione delle soglie di approvazione delle spese
  • 24. LE COMPONENTI PIÙ RILEVANTI LE COMPONENTI PIÙ RILEVANTI Sistemi di controllo e gestione in grado di fornire tempestiva segnalazione Sistemi di controllo e gestione in grado di fornire tempestiva segnalazione dell’esistenza e dell’insorgere di situazioni di criticità generale e/o dell’esistenza e dell’insorgere di situazioni di criticità generale e/o particolare particolare Comunicazione al personale e sua formazione Comunicazione al personale e sua formazione Previsione di un adeguato sistema sanzionatorio per la violazione delle Previsione di un adeguato sistema sanzionatorio per la violazione delle norme del codice etico e delle procedure previste dal Modello norme del codice etico e delle procedure previste dal Modello Autonomia, indipendenza, professionalità e continuità d’azione Autonomia, indipendenza, professionalità e continuità d’azione dell’Organismo di Vigilanza dell’Organismo di Vigilanza
  • 25. IL CODICE ETICO IL CODICE ETICO È il documento nel quale si racchiudono gli impegni e le responsabilità È il documento nel quale si racchiudono gli impegni e le responsabilità etiche nella conduzione degli affari e delle attività imprenditoriali etiche nella conduzione degli affari e delle attività imprenditoriali La funzione principale consiste nell’uniformare ii singoli comportamenti, La funzione principale consiste nell’uniformare singoli comportamenti, così che il perseguimento degli interessi aziendali sia svolto in piena legalità così che il perseguimento degli interessi aziendali sia svolto in piena legalità
  • 26. ESEMPI DI REGOLE DEL CODICE ETICO ESEMPI DI REGOLE DEL CODICE ETICO Non è consentito offrire denaro o doni a dirigenti, funzionari o dipendenti Non è consentito offrire denaro o doni a dirigenti, funzionari o dipendenti della P.A. o a loro parenti, salvo che si tratti di doni di modico valore della P.A. o a loro parenti, salvo che si tratti di doni di modico valore Non è consentito accettare o offrire beni, servizi, prestazioni o favori per Non è consentito accettare o offrire beni, servizi, prestazioni o favori per ottenere un miglior trattamento in relazione ai rapporti con la P.A. ottenere un miglior trattamento in relazione ai rapporti con la P.A. Non è consentito assumere alle dipendenze della società ex impiegati della Non è consentito assumere alle dipendenze della società ex impiegati della P.A. che abbiano partecipato personalmente ad operazioni poste in essere P.A. che abbiano partecipato personalmente ad operazioni poste in essere tra l’ente e la P.A. tra l’ente e la P.A. Nel corso di una transazione con la P.A. non è consentito proporre offerte Nel corso di una transazione con la P.A. non è consentito proporre offerte d’impiego e/o commerciali che possano avvantaggiare dipendenti della P.A. d’impiego e/o commerciali che possano avvantaggiare dipendenti della P.A. a titolo personale a titolo personale
  • 27. L’ORGANISMO DI VIGILANZA L’ORGANISMO DI VIGILANZA Le migliori applicazioni dei modelli 231 hanno evidenziato come, per Le migliori applicazioni dei modelli 231 hanno evidenziato come, per garantire l’effettività dei controlli inseriti nei modelli organizzativi, sia garantire l’effettività dei controlli inseriti nei modelli organizzativi, sia necessaria la costituzione di un OdV necessaria la costituzione di un OdV Tale entità può essere sia monosoggettiva che plurisoggettiva Tale entità può essere sia monosoggettiva che plurisoggettiva I parametri di cui tener conto sono le dimensioni e la complessità I parametri di cui tener conto sono le dimensioni e la complessità dell’azienda dell’azienda Nelle piccole imprese, è consentito che l’OdV coincida con l’organo Nelle piccole imprese, è consentito che l’OdV coincida con l’organo dirigente, anche se la best practice in materia di audit prescrive sempre di dirigente, anche se la best practice in materia di audit prescrive sempre di servirsi di consulenti esterni servirsi di consulenti esterni
  • 28. REQUISITI DELL’ODV REQUISITI DELL’ODV Indipendenza (viene nominato dal CdA ma risponde al Collegio sindacale) Indipendenza (viene nominato dal CdA ma risponde al Collegio sindacale) Autonomia (è svincolato dal potere gerarchico del management e dispone Autonomia (è svincolato dal potere gerarchico del management e dispone autonomamente le proprie attività) autonomamente le proprie attività) Professionalità (all’interno dell’OdV devono confluire diverse Professionalità (all’interno dell’OdV devono confluire diverse professionalità) professionalità) Continuità nell’azione (l’OdV non deve essere soggetto a continui o Continuità nell’azione (l’OdV non deve essere soggetto a continui o repentini cambiamenti dei suoi componenti) repentini cambiamenti dei suoi componenti)
  • 29. POSSONO SVOLGERE LE FUNZIONI DELL’ODV POSSONO SVOLGERE LE FUNZIONI DELL’ODV Il Comitato per il controllo di gestione Il Comitato per il controllo di gestione Il Collegio sindacale Il Collegio sindacale Il Consiglio di sorveglianza Il Consiglio di sorveglianza L’organismo di internal auditing L’organismo di internal auditing Eventuali organismi creati ad hoc Eventuali organismi creati ad hoc
  • 30. COSA FA L’ODV COSA FA L’ODV Vigila sulla corretta osservanza del modello da parte di tutti ii soggetti Vigila sulla corretta osservanza del modello da parte di tutti soggetti tenuti a rispettarlo tenuti a rispettarlo Valuta la concreta idoneità del modello a prevenire comportamenti illeciti Valuta la concreta idoneità del modello a prevenire comportamenti illeciti Valuta la necessità di ricorrere ad un aggiornamento del modello Valuta la necessità di ricorrere ad un aggiornamento del modello Aggiorna, se necessario, il modello Aggiorna, se necessario, il modello
  • 31. ABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPSABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPSL’art. 45 del d.lgs. 9 febbraio 2012 n. 5 convertito nella l. 4 aprile 2012 n. 35,L’art. 45 del d.lgs. 9 febbraio 2012 n. 5 convertito nella l. 4 aprile 2012 n. 35,ha abrogato le norme del d.lgs. 30 giugno 2003 n. 196 (c.d. Codice Privacy)ha abrogato le norme del d.lgs. 30 giugno 2003 n. 196 (c.d. Codice Privacy)nella parte in cui imponevano l’adozione del Documento Programmaticonella parte in cui imponevano l’adozione del Documento Programmaticosulla Sicurezza (e, quindi, l’art. 34, comma 1, lett. g) e ha abrogato anche ilsulla Sicurezza (e, quindi, l’art. 34, comma 1, lett. g) e ha abrogato anche ilcomma 1-bis dello stesso articolo, che comprendeva ii casi di semplificazione.comma 1-bis dello stesso articolo, che comprendeva casi di semplificazione.Pertanto, a partire dallo scorso anno, ii Titolari del trattamento che primaPertanto, a partire dallo scorso anno, Titolari del trattamento che primaerano obbligati non sono più tenuti ad aggiornare il Documentoerano obbligati non sono più tenuti ad aggiornare il DocumentoProgrammatico sulla Sicurezza.Programmatico sulla Sicurezza.
  • 32. ABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPSABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPS Da più parti, peraltro, si caldeggia la conservazione dei DPS redatti in Da più parti, peraltro, si caldeggia la conservazione dei DPS redatti in vigenza dell’obbligo, in quanto potrebbero ancora essere richiesti in fase di vigenza dell’obbligo, in quanto potrebbero ancora essere richiesti in fase di ispezione ispezione In ogni caso, la semplificazione non è intervenuta sulle altre misure di In ogni caso, la semplificazione non è intervenuta sulle altre misure di sicurezza che, pertanto, continuano ad essere obbligatorie (e la cui sicurezza che, pertanto, continuano ad essere obbligatorie (e la cui omissione, pertanto, continua ad essere sanzionata penalmente ed omissione, pertanto, continua ad essere sanzionata penalmente ed amministrativamente) amministrativamente)
  • 33. GLI OBBLIGHI RELATIVI ALLE MISURE MINIME GLI OBBLIGHI RELATIVI ALLE MISURE MINIMEResta pertanto obbligo del Titolare e del Responsabile del trattamento,Resta pertanto obbligo del Titolare e del Responsabile del trattamento, secondo le specifiche di cui all’Allegato B al Codice Privacy: secondo le specifiche di cui all’Allegato B al Codice Privacy: impostare un sistema di autenticazione informatica impostare un sistema di autenticazione informatica adottare procedure di gestione delle credenziali di autenticazione adottare procedure di gestione delle credenziali di autenticazione utilizzare un sistema di autorizzazione utilizzare un sistema di autorizzazione aggiornare periodicamente l’individuazione dell’ambito del trattamento aggiornare periodicamente l’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici degli strumenti elettronici proteggere gli strumenti elettronici rispetto a trattamenti illeciti di dati, ad proteggere gli strumenti elettronici rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici accessi non consentiti e a determinati programmi informatici adottare procedure per la custodia di copie di sicurezza, il ripristino della adottare procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi disponibilità dei dati e dei sistemi
  • 34. MODELLI ORGANIZZATIVI E D.P.S. MODELLI ORGANIZZATIVI E D.P.S. Alla luce dell’intervenuta abrogazione del DPS è altamente probabile che, Alla luce dell’intervenuta abrogazione del DPS è altamente probabile che, in futuro, ii controlli disposti dal Garante per la protezione dei dati in futuro, controlli disposti dal Garante per la protezione dei dati personali saranno svolti in modo più capillare, anche accedendo, come personali saranno svolti in modo più capillare, anche accedendo, come consentito dal Codice Privacy, al sistema informatico del titolare del consentito dal Codice Privacy, al sistema informatico del titolare del trattamento. trattamento. Venendo a mancare il DPS, pertanto, l’unica modalità attraverso la quale il Venendo a mancare il DPS, pertanto, l’unica modalità attraverso la quale il Garante potrà verificare l’effettiva adozione delle misure minime, sarà Garante potrà verificare l’effettiva adozione delle misure minime, sarà quella di disporre controlli diretti, anche mediante specifico accesso ai quella di disporre controlli diretti, anche mediante specifico accesso ai sistemi, ai sensi dell’art. 159 del Codice Privacy. sistemi, ai sensi dell’art. 159 del Codice Privacy.
  • 35. MODELLI ORGANIZZATIVI E D.P.S. MODELLI ORGANIZZATIVI E D.P.S. Gli unici “pezzi di carta” contenenti (anche) prescrizioni in merito alla Gli unici “pezzi di carta” contenenti (anche) prescrizioni in merito alla sicurezza informatica e alle policy presenti in azienda che rimangono tra gli sicurezza informatica e alle policy presenti in azienda che rimangono tra gli ispettori e il sistema informatico, quindi, restano ii modelli organizzativi ex ispettori e il sistema informatico, quindi, restano modelli organizzativi ex D.Lgs. 231/01. D.Lgs. 231/01. Uno sguardo al futuro: le proposte di riforma della normativa comunitaria Uno sguardo al futuro: le proposte di riforma della normativa comunitaria in materia di privacy, richiamando ii concetti di «privacy impact in materia di privacy, richiamando concetti di «privacy impact assessment», «privacy by design», «privacy by default», sembrano assessment», «privacy by design», «privacy by default», sembrano muoversi con le stesse logiche di fondo del D.Lgs. 231/01. muoversi con le stesse logiche di fondo del D.Lgs. 231/01.
  • 36. I MODELLI ORGANIZZATIVI, QUINDI… I MODELLI ORGANIZZATIVI, QUINDI… Contribuiscono a costituire, ormai, il solo “ambiente” di sicurezza Contribuiscono a costituire, ormai, il solo “ambiente” di sicurezza informatica e policy di utilizzo delle risorse informatiche presente in informatica e policy di utilizzo delle risorse informatiche presente in azienda azienda Agevolano il raggiungimento di una visione olistica della sicurezza Agevolano il raggiungimento di una visione olistica della sicurezza informatica informatica Sono coadiuvanti nel caso in cui l’azienda voglia intraprendere un percorso Sono coadiuvanti nel caso in cui l’azienda voglia intraprendere un percorso di certificazione di certificazione
  • 37. I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231 I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231L’attuazione di quanto previsto dal d.lgs. 231/01 porta, oltre alla conformità normativa, iiL’attuazione di quanto previsto dal d.lgs. 231/01 porta, oltre alla conformità normativa,seguenti vantaggi:seguenti vantaggi: accesso a commesse di significativo rilievo, per le quali viene richiesto, da parte di accesso a commesse di significativo rilievo, per le quali viene richiesto, da parte disoggetti pubblici o da grandi committenti privati, l’attuazione dei modelli previsti dal d.lgs.soggetti pubblici o da grandi committenti privati, l’attuazione dei modelli previsti dal d.lgs.231/01231/01 incremento della fiducia dei soggetti terzi in tutte le operazioni societarie (es.: fusione; incremento della fiducia dei soggetti terzi in tutte le operazioni societarie (es.: fusione;acquisizione o cessione di quote o di azioni; acquisizione o cessione di pacchetti di controllo;acquisizione o cessione di quote o di azioni; acquisizione o cessione di pacchetti di controllo;vendita di rami di azienda; ingresso di nuovi soci; strutturazione o modifica dei gruppivendita di rami di azienda; ingresso di nuovi soci; strutturazione o modifica dei gruppisocietari; operazioni con partners esteri; operazioni di co-branding; etc.), con possibilità disocietari; operazioni con partners esteri; operazioni di co-branding; etc.), con possibilità diottenere una migliore valutazione economicaottenere una migliore valutazione economica incremento della fiducia da parte dei clienti nel caso in cui si abbia un’efficace sistema di incremento della fiducia da parte dei clienti nel caso in cui si abbia un’efficace sistema ditutela del trattamento dei dati personalitutela del trattamento dei dati personali prevenzione dei rischi economici connessi alla condanna penale del soggetto e/o al prevenzione dei rischi economici connessi alla condanna penale del soggetto e/o alpagamento di rilevanti sanzioni pecuniarie in conseguenza di una mancata ottemperanzapagamento di rilevanti sanzioni pecuniarie in conseguenza di una mancata ottemperanzaalle misure minime di sicurezzaalle misure minime di sicurezza
  • 38. I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231 I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231 prevenzione dei rischi economici connessi alla condanna dell’ente a sanzioni pecuniarie, prevenzione dei rischi economici connessi alla condanna dell’ente a sanzioni pecuniarie, interdittive ed alle altre sanzioni previste dal d.lgs. 231/01 (in conseguenza di eventuali interdittive ed alle altre sanzioni previste dal d.lgs. 231/01 (in conseguenza di eventuali azioni criminose dei soggetti collocati in posizione apicale o dei loro sottoposti) e miglior azioni criminose dei soggetti collocati in posizione apicale o dei loro sottoposti) e miglior capacità di risposta in caso di ispezioni a norma del Codice Privacy capacità di risposta in caso di ispezioni a norma del Codice Privacy miglioramento dell’efficienza interna dell’azienda miglioramento dell’efficienza interna dell’azienda miglioramento delle capacità di gestione dei rischi e di reazione di fronte agli eventi miglioramento delle capacità di gestione dei rischi e di reazione di fronte agli eventi critici critici incremento del livello di percezione di “eticità” dell’ente incremento del livello di percezione di “eticità” dell’ente veicolazione di immagine più solida, onesta, “pulita ”, dell’ente presso tutti gli veicolazione di immagine più solida, onesta, “pulita ”, dell’ente presso tutti gli stakeholders (compreso clienti, fornitori, istituzioni), con riflessi sul posizionamento stakeholders (compreso clienti, fornitori, istituzioni), con riflessi sul posizionamento dell’ente nel mercato dell’ente nel mercato possibilità di gestire al meglio le eventuali controversie che dovessero instaurarsi coi possibilità di gestire al meglio le eventuali controversie che dovessero instaurarsi coi propri prestatori di lavoro propri prestatori di lavoro
  • 39. SUGGERIMENTI FINALI SUGGERIMENTI FINALI Dotarsi di un adeguato modello organizzativo anche qualora non si rientri Dotarsi di un adeguato modello organizzativo anche qualora non si rientri tra ii soggetti espressamente indicati dalla normativa, in quanto è sempre tra soggetti espressamente indicati dalla normativa, in quanto è sempre possibile un’estensione giurisprudenziale possibile un’estensione giurisprudenziale Prevedere procedure efficaci di verifica della corretta applicazione della Prevedere procedure efficaci di verifica della corretta applicazione della normativa, soprattutto in merito all’attività di controllo che dovrà essere normativa, soprattutto in merito all’attività di controllo che dovrà essere condotta dall’Organismo di Vigilanza condotta dall’Organismo di Vigilanza Convogliare, all’interno dei modelli organizzativi, le prescrizioni aziendali in Convogliare, all’interno dei modelli organizzativi, le prescrizioni aziendali in tema di sicurezza e trattamento dei dati tema di sicurezza e trattamento dei dati
  • 40. STUDIO LEGALE ASSOCIATOSTUDIO LEGALE ASSOCIATOMILANOMILANOVia Larga, 6Via Larga, 620122 Milano20122 Milano GRAZIE DELL’ATTENZIONE! GRAZIE DELL’ATTENZIONE!Tel. 02.89926248Tel. 02.89926248Email: milano.desk@mpslaw.itEmail: milano.desk@mpslaw.itBOLOGNABOLOGNA Avv. Giorgio Spedicato Avv. Giorgio SpedicatoVia dell’Indipendenza, 36Via dell’Indipendenza, 3640121 Bologna40121 BolognaTel. 051.7878043Tel. 051.7878043Email: bologna.desk@mpslaw.it email: giorgio.spedicato@mpslaw.it email: giorgio.spedicato@mpslaw.itEmail: bologna.desk@mpslaw.itIMOLAIMOLAVia Garibaldi, 40Via Garibaldi, 4040026 Imola (Bo)40026 Imola (Bo)Tel. 0542.30702Tel. 0542.30702Email: imola.desk@mpslaw.itEmail: imola.desk@mpslaw.it
  • 41. MONDUCCI PERRI SPEDICATO & PARTNERS www.mpslaw.it

×