Smau Bologna 2013 Giorgio Spedicato

364 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
364
On SlideShare
0
From Embeds
0
Number of Embeds
153
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Smau Bologna 2013 Giorgio Spedicato

  1. 1. LA LEGGE, LA TECNOLOGIA ELA SICUREZZA DEI DATI E DEI SISTEMI:DALLA NORMATIVA SULLA PRIVACY AIMODELLI ORGANIZZATIVI E DI CONTROLLOAvv. Giorgio Spedicato
  2. 2. CHI SONOCHI È MPS&PManaging Partner dello studio legale Monducci Perri Spedicato& Partners.Professore a contratto di Diritto della Proprietà intellettualepresso la Facoltà di Giurisprudenza dell’Università di Bologna(polo didattico di Ravenna).Dottore di ricerca in Informatica giuridica e dirittodell’informatica.Lo Studio legale associato Monducci Perri Spedicato & Partners èuna law boutique specializzata in proprietà intellettuale, dirittodelle nuove tecnologie e diritto dell’innovazione con sede a Milano,Bologna e Imola.Affianca chi fa dell’innovazione il proprio lavoro e il proprioimpegno quotidiani, supportandolo nell’attività day by day eassistendolo nelle operazioni più complesse.
  3. 3. INDICEOverview del D.Lgs. 231/2001I modelli di organizzazione e controlloLa redazione dei modelli di organizzazione e controlloI modelli di organizzazione e controllo dopo l’abrogazione del DPSQuali misure di sicurezza ora?I side effects dell’adozione di un modello organizzativo 231/01 e il rapportocon gli adempimenti privacy
  4. 4. IL SENSO DELL’EVOLUZIONE NORMATIVAPrima del D.Lgs. 231/2001Principio generale: societas delinquere non potestCon l’introduzione del D.Lgs. 231/2001Cambio di prospettiva: viene istituita la responsabilità amministrativa dell’ente perreati posti in essere da amministratori, dirigenti e/o dipendenti nell’interesse o avantaggio dell’ente stessoLa 231/2001 nasce per prevenire e contrastare la c.d. “criminalità d’impresa”: Siritiene che colpire il reale beneficiario del reato (l’ente) piuttosto che il singolosoggetto agente possa essere un efficace sistema preventivo e repressivo di alcuneipotesi delittuose
  5. 5. IL SENSO DELL’EVOLUZIONE NORMATIVAIl fondamento della responsabilità in questione è basato sulla c.d. «colpa diorganizzazione», giacché si puniscono, con sanzioni gravi, le società e gli entiche non hanno saputo scongiurare, nella propria organizzazione, significativeipotesi di reatoLa responsabilità sorge sia per mancata o insufficiente dotazione ed attuazionedi modelli organizzativi e gestionali efficienti, sia per difetto di controllo sulcorretto operato di chi opera, a diverso titolo, a contatto con l’ente
  6. 6. AMBITO DI APPLICAZIONE SOGGETTIVOEnti forniti di personalità giuridicaSocietà e associazioni, anche prive di personalità giuridica……ivi incluse le imprese individuali (Cass. pen. n. 15657/2010)
  7. 7. EFFETTIResponsabilità dell’ente che si aggiungea quella personale del soggetto agenteEffetti diretti sul patrimonio dell’entee indiretti sugli interessi di tutti i soci
  8. 8. MITIGAZIONEL’effetto dirompente della disciplina è mitigato da tre elementi:i reati devono essere posti in essere da soggetti in posizione apicale o dasoggetti in posizione subordinata;i reati che possono far sorgere questo tipo di responsabilità sonotassativamente individuati dal testo di legge (anche se sono moltonumerosi e il catalogo viene aggiornato spesso);i reati devono essere commessi nell’interesse o a vantaggio della società odell’ente.
  9. 9. I SOGGETTII soggetti idonei a commettere reati rilevanti ex D.Lgs. 231/01 possono esseredivisi in due categorie:Soggetti in posizione apicaleSoggetti in posizione subordinata
  10. 10. SOGGETTI IN POSIZIONE APICALEPer individuarli il Legislatore ha preferito utilizzare una formula basata suun criterio funzionaleRientrano in questa categoria tutti quei soggetti che esprimono la volontàdell’ente nei rapporti esterni e nelle scelte di politica d’impresa attraversoun potere di gestione, controllo e vigilanza, come ad esempio:il legale rappresentante dell’entegli amministratorii direttori generali ex art. 2396 c.c.i membri di comitati esecutivie tutti i soggetti dotati di rappresentanza…
  11. 11. SOGGETTI IN POSIZIONE SUBORDINATANon sono necessariamente solo i dipendenti dell’enteAnche in questo caso viene adottato un criterio funzionale (ma nonvengono considerati responsabili i soggetti che esercitano le funzioni divigilanza e controllo bensì coloro che le subiscono)Perchè sorga responsabilità commessa dai soggetti in posizionesubordinata, è essenziale che questi operino sotto il diretto controllo delsoggetto apicale (è sempre necessaria un’analisi concretadell’organigramma aziendale e dei poteri conferiti ai singoli soggetti)
  12. 12. I REATI PRESUPPOSTOLungo elenco di reati cc.dd. presupposto (in costante aggiornamento)Quelli che riguardano più specificamente il tema della sicurezza informaticae della tutela della proprietà intellettuale sono:frode informatica in danno dello Stato o di altro ente pubblicodelitti informatici e trattamento illecito di datifabbricazione e commercio di beni realizzati usurpando titoli diproprietà industrialedelitti in materia di diritto d’autore
  13. 13. «NELL’INTERESSE O A VANTAGGIO»Perchè sorga questo tipo di responsabilità, è necessario che i reati individuatidalla norma siano commessi nell’interesse o a vantaggio della società, a nullarilevando, ad esempio, l’ipotesi che il reato venga commesso a favore proprio odi terzi. Nel caso in cui, invece, vi sia una commistione tra interesse personalee aziendale, la responsabilità dell’ente non è esclusa nè ridottaInteresse: è riferito alla condotta e sussiste quando l’autore del reato ponein essere un comportamento finalizzato a far ottenere all’ente un lucro ocomunque un obiettivo desiderabile, sebbene non immediatamentelucrosoVantaggio: è riferito all’evento del reato e non presuppone il lucro ma puòtradursi nell’acquisizione di una qualche utilità che consenta all’ente diconseguire una posizione di vantaggio
  14. 14. GRUPPI DI IMPRESEQualora una società controllante tragga un interesse o un vantaggio, anchemediato, dalla commissione di un reato previsto dal decreto da parte di unacontrollata, sarà sanzionabile per responsabilità amministrativa anche lacontrollante.(cfr. Cass. pen. Sez. V, 18 gennaio 2011, n. 24583)
  15. 15. SANZIONILe sanzioni previste dal d.lgs. 231/01 sono di quattro tipi:sanzione pecuniariasanzioni interdittiveconfiscapubblicazione della sentenza
  16. 16. SANZIONE PECUNIARIAÈ applicata per quote ed è compresa tra € 25.800 ed € 1.549.000Nel determinare l’ammontare effettivo della sanzione pecuniaria, il giudicedeve tenere conto dei seguenti criteri:gravità del fattogrado di responsabilità dell’enteattività svolta dall’ente per eliminare o attenuare le conseguenze delfatto e per prevenire la commissione di ulteriori illeciticondizioni economiche e patrimoniali dell’ente (allo scopo di assicurarel’effettività della sanzione, che potrebbe essere resa vana dalle maggioricapacità patrimoniali ed economiche dell’ente medesimo)
  17. 17. SANZIONI INTERDITTIVELe sanzioni interdittive sono principalmente volte, per quanto possibile, adeliminare le condizioni oggettive e soggettive che hanno agevolato i fattoricriminogeni:interdizione dall’esercizio dell’attivitàsospensione o revoca delle autorizzazioni, delle licenze o delleconcessioni funzionali alla commissione dell’illecitodivieto di contrattare con la Pubblica Amministrazione, salvo che perottenere le prestazioni di un pubblico servizioesclusione da agevolazioni, finanziamenti, contributi o sussidi edeventuale revoca di quelli già concessidivieto di pubblicizzare beni o servizi
  18. 18. CONFISCACon la sentenza di condanna si dispone sempre la confisca del prezzo o delprofitto del reatoQuando non sia possibile eseguire la confisca, questa potrà avere adoggetto anche somme di denaro, beni o altre utilità di valore equivalente alprofitto del reato
  19. 19. ESONERO DELLA RESPONSABILITÀIl d.lgs. 231/2001 offre la possibilità agli enti di essere esonerati dallaresponsabilità qualora i medesimi:si dotino ed abbiano efficacemente adottato specifici modelli organizzativie di gestione, idonei alla prevenzione di reati della medesima specie diquello commesso, di modo che il reato venga commesso aggirandofraudolentemente i predetti modelli di organizzazione e di gestione;si dotino di un organismo di vigilanza ad hoc, dotato di autonomi poteri diiniziativa e controllo, che abbia effettivamente esercitato le sue funzioni edi suoi compiti durante il momento di commissione del reato.
  20. 20. I MODELLI ORGANIZZATIVII modelli organizzativi devono:individuare le attività nell’ambito delle quali possono essere commessi ireatiprevedere protocolli in base ai quali effettuare la programmazione el’attuazione delle decisioni relative ai reati da prevenireindividuare le modalità di gestione delle risorse finanziarie idonee adimpedire la commissione dei reatiprevedere obblighi di informazione verso l’organismo deputato a vigilare sulfunzionamento e l’osservanza dei modelli stessiintrodurre un sistema disciplinare tramite il quale sanzionare il mancatorispetto delle misure che sono indicate nel modello
  21. 21. COME REDIGERE IL MODELLO ORGANIZZATIVOLe linee guida, in genere, suggeriscono di prevedere le seguenti fasi per ladefinizione del “modello 231”:identificazione dei rischipredisposizione e/o implementazione di un sistema di controllo idoneo aprevenire i rischi attraverso l’adozione di specifici protocolli…in una parola: analisi del rischio e policy, analogamente a quanto occorrevafare per il DPS
  22. 22. RISK ASSESSMENT: UN ESEMPIOIndividuazione delle aree di rischioElaborazione delle regole interne atte a disciplinare il controllo delle aree dirischio sopra identificate e a progettare misure volte a contrastare i rischieventualmente emersiGestione delle risorse strutturata in modo da assicurare all’attività diindividuazione e gestione del rischio gli stanziamenti necessariPredisposizione di un apposito sistema disciplinare che consenta diintervenire sanzionando chi trasgredisca alle prescrizioni elaborate inseguito al processo di controllo esaminato. Per rispondere a tale esigenza siadottano spesso dei protocolli interni che, oltre a un sistema di sanzionicoerente e adeguato, contengano la disciplina delle procedure da seguirenell’esecuzione di determinate attività aziendali
  23. 23. LE COMPONENTI PIÙ RILEVANTIRedazione e sottoscrizione di un codice eticoFormalizzazione del sistema organizzativo, soprattutto per quanto attieneall’attribuzione di responsabilità, alle linee di dipendenza gerarchica e alladescrizione dei compiti, con specifica previsione di principi di controlloquali, ad esempio, la contrapposizione di funzioniProcedure manuali e/o informatiche tali da regolamentare lo svolgimentodelle attività prevedendo gli opportuni punti di controlloPoteri autorizzativi e di firma assegnati in coerenza con le responsabilitàorganizzative e gestionali definite, prevedendo, quando richiesto, unapuntuale indicazione delle soglie di approvazione delle spese
  24. 24. LE COMPONENTI PIÙ RILEVANTISistemi di controllo e gestione in grado di fornire tempestiva segnalazionedell’esistenza e dell’insorgere di situazioni di criticità generale e/oparticolareComunicazione al personale e sua formazionePrevisione di un adeguato sistema sanzionatorio per la violazione dellenorme del codice etico e delle procedure previste dal ModelloAutonomia, indipendenza, professionalità e continuità d’azionedell’Organismo di Vigilanza
  25. 25. IL CODICE ETICOÈ il documento nel quale si racchiudono gli impegni e le responsabilitàetiche nella conduzione degli affari e delle attività imprenditorialiLa funzione principale consiste nell’uniformare i singoli comportamenti,così che il perseguimento degli interessi aziendali sia svolto in piena legalità
  26. 26. ESEMPI DI REGOLE DEL CODICE ETICONon è consentito offrire denaro o doni a dirigenti, funzionari o dipendentidella P.A. o a loro parenti, salvo che si tratti di doni di modico valoreNon è consentito accettare o offrire beni, servizi, prestazioni o favori perottenere un miglior trattamento in relazione ai rapporti con la P.A.Non è consentito assumere alle dipendenze della società ex impiegati dellaP.A. che abbiano partecipato personalmente ad operazioni poste in esseretra l’ente e la P.A.Nel corso di una transazione con la P.A. non è consentito proporre offerted’impiego e/o commerciali che possano avvantaggiare dipendenti della P.A.a titolo personale
  27. 27. L’ORGANISMO DI VIGILANZALe migliori applicazioni dei modelli 231 hanno evidenziato come, pergarantire l’effettività dei controlli inseriti nei modelli organizzativi, sianecessaria la costituzione di un OdVTale entità può essere sia monosoggettiva che plurisoggettivaI parametri di cui tener conto sono le dimensioni e la complessitàdell’aziendaNelle piccole imprese, è consentito che l’OdV coincida con l’organodirigente, anche se la best practice in materia di audit prescrive sempre diservirsi di consulenti esterni
  28. 28. REQUISITI DELL’ODVIndipendenza (viene nominato dal CdA ma risponde al Collegio sindacale)Autonomia (è svincolato dal potere gerarchico del management e disponeautonomamente le proprie attività)Professionalità (all’interno dell’OdV devono confluire diverseprofessionalità)Continuità nell’azione (l’OdV non deve essere soggetto a continui orepentini cambiamenti dei suoi componenti)
  29. 29. POSSONO SVOLGERE LE FUNZIONI DELL’ODVIl Comitato per il controllo di gestioneIl Collegio sindacaleIl Consiglio di sorveglianzaL’organismo di internal auditingEventuali organismi creati ad hoc
  30. 30. COSA FA L’ODVVigila sulla corretta osservanza del modello da parte di tutti i soggetti tenutia rispettarloValuta la concreta idoneità del modello a prevenire comportamenti illecitiValuta la necessità di ricorrere ad un aggiornamento del modelloAggiorna, se necessario, il modello
  31. 31. ABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPSL’art. 45 del d.lgs. 9 febbraio 2012 n. 5 convertito nella l. 4 aprile 2012 n.35, ha abrogato le norme del d.lgs. 30 giugno 2003 n. 196 (c.d. CodicePrivacy) nella parte in cui imponevano l’adozione del DocumentoProgrammatico sulla Sicurezza (e, quindi, l’art. 34, comma 1, lett. g) e haabrogato anche il comma 1-bis dello stesso articolo, che comprendeva i casidi semplificazione.Pertanto, a partire dallo scorso anno, i Titolari del trattamento che primaerano obbligati non sono più tenuti ad aggiornare il DocumentoProgrammatico sulla Sicurezza.
  32. 32. ABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPSDa più parti, peraltro, si caldeggia la conservazione dei DPS redatti invigenza dell’obbligo, in quanto potrebbero ancora essere richiesti in fase diispezioneIn ogni caso, la semplificazione non è intervenuta sulle altre misure disicurezza che, pertanto, continuano ad essere obbligatorie (e la cuiomissione, pertanto, continua ad essere sanzionata penalmente edamministrativamente)
  33. 33. GLI OBBLIGHI RELATIVI ALLE MISURE MINIMEResta pertanto obbligo del Titolare e del Responsabile del trattamento,secondo le specifiche di cui all’Allegato B al Codice Privacy:impostare un sistema di autenticazione informaticaadottare procedure di gestione delle credenziali di autenticazioneutilizzare un sistema di autorizzazioneaggiornare periodicamente l’individuazione dell’ambito del trattamentoconsentito ai singoli incaricati e addetti alla gestione o alla manutenzionedegli strumenti elettroniciproteggere gli strumenti elettronici rispetto a trattamenti illeciti di dati, adaccessi non consentiti e a determinati programmi informaticiadottare procedure per la custodia di copie di sicurezza, il ripristino delladisponibilità dei dati e dei sistemi
  34. 34. MODELLI ORGANIZZATIVI E D.P.S.Alla luce dell’intervenuta abrogazione del DPS è altamente probabile che, infuturo, i controlli disposti dal Garante per la protezione dei dati personalisaranno svolti in modo più capillare, anche accedendo, come consentitodal Codice Privacy, al sistema informatico del titolare del trattamento.Venendo a mancare il DPS, pertanto, l’unica modalità attraverso la quale ilGarante potrà verificare l’effettiva adozione delle misure minime, saràquella di disporre controlli diretti, anche mediante specifico accesso aisistemi, ai sensi dell’art. 159 del Codice Privacy.
  35. 35. MODELLI ORGANIZZATIVI E D.P.S.Gli unici “pezzi di carta” contenenti (anche) prescrizioni in merito allasicurezza informatica e alle policy presenti in azienda che rimangono tra gliispettori e il sistema informatico, quindi, restano i modelli organizzativi exD.Lgs. 231/01.Uno sguardo al futuro: le proposte di riforma della normativa comunitariain materia di privacy, richiamando i concetti di «privacy impactassessment», «privacy by design», «privacy by default», sembranomuoversi con le stesse logiche di fondo del D.Lgs. 231/01.
  36. 36. I MODELLI ORGANIZZATIVI, QUINDI…Contribuiscono a costituire, ormai, il solo “ambiente” di sicurezzainformatica e policy di utilizzo delle risorse informatiche presente inaziendaAgevolano il raggiungimento di una visione olistica della sicurezzainformaticaSono coadiuvanti nel caso in cui l’azienda voglia intraprendere un percorsodi certificazione
  37. 37. I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231L’attuazione di quanto previsto dal d.lgs. 231/01 porta, oltre alla conformità normativa, iseguenti vantaggi:accesso a commesse di significativo rilievo, per le quali viene richiesto, da parte di soggettipubblici o da grandi committenti privati, l’attuazione dei modelli previsti dal d.lgs. 231/01incremento della fiducia dei soggetti terzi in tutte le operazioni societarie (es.: fusione;acquisizione o cessione di quote o di azioni; acquisizione o cessione di pacchetti di controllo;vendita di rami di azienda; ingresso di nuovi soci; strutturazione o modifica dei gruppisocietari; operazioni con partners esteri; operazioni di co-branding; etc.), con possibilità diottenere una migliore valutazione economicaincremento della fiducia da parte dei clienti nel caso in cui si abbia un’efficace sistema ditutela del trattamento dei dati personaliprevenzione dei rischi economici connessi alla condanna penale del soggetto e/o alpagamento di rilevanti sanzioni pecuniarie in conseguenza di una mancata ottemperanza allemisure minime di sicurezza
  38. 38. I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231prevenzione dei rischi economici connessi alla condanna dell’ente a sanzioni pecuniarie,interdittive ed alle altre sanzioni previste dal d.lgs. 231/01 (in conseguenza di eventualiazioni criminose dei soggetti collocati in posizione apicale o dei loro sottoposti) e migliorcapacità di risposta in caso di ispezioni a norma del Codice Privacymiglioramento dell’efficienza interna dell’aziendamiglioramento delle capacità di gestione dei rischi e di reazione di fronte agli eventicriticiincremento del livello di percezione di “eticità” dell’enteveicolazione di immagine più solida, onesta, “pulita ”, dell’ente presso tutti glistakeholders (compreso clienti, fornitori, istituzioni), con riflessi sul posizionamentodell’ente nel mercatopossibilità di gestire al meglio le eventuali controversie che dovessero instaurarsi coipropri prestatori di lavoro
  39. 39. SUGGERIMENTI FINALIDotarsi di un adeguato modello organizzativo anche qualora non si rientritra i soggetti espressamente indicati dalla normativa, in quanto è semprepossibile un’estensione giurisprudenzialePrevedere procedure efficaci di verifica della corretta applicazione dellanormativa, soprattutto in merito all’attività di controllo che dovrà esserecondotta dall’Organismo di VigilanzaConvogliare, all’interno dei modelli organizzativi, le prescrizioni aziendali intema di sicurezza e trattamento dei dati
  40. 40. STUDIO LEGALE ASSOCIATOMILANOVia Larga, 620122 MilanoTel. 02.89926248Email: milano.desk@mpslaw.itBOLOGNAVia dell’Indipendenza, 3640121 BolognaTel. 051.7878043Email: bologna.desk@mpslaw.itIMOLAVia Garibaldi, 4040026 Imola (Bo)Tel. 0542.30702Email: imola.desk@mpslaw.itGRAZIE DELL’ATTENZIONE!Avv. Giorgio Spedicatoemail: giorgio.spedicato@mpslaw.it
  41. 41. MONDUCCI PERRI SPEDICATO & PARTNERSwww.mpslaw.it

×