LA LEGGE, LA TECNOLOGIA E LA SICUREZZA DEI DATI E DEI SISTEMI: DALLA NORMATIVA SULLA PRIVACY AIMODELLI ORGANIZZATIVI E DI ...
Managing Partner dello studio legale Monducci Perri Spedicato              & Partners. CHI SONO     Professore a contratto...
INDICEOverview del D.Lgs. 231/2001I modelli di organizzazione e controlloLa redazione dei modelli di organizzazione e cont...
IL SENSO DELL’EVOLUZIONE NORMATIVAPrima del D.Lgs. 231/2001   Principio generale: societas delinquere non potestCon l’intr...
IL SENSO DELL’EVOLUZIONE NORMATIVAIl fondamento della responsabilità in questione è basato sulla c.d. «colpa diorganizzazi...
AMBITO DI APPLICAZIONE SOGGETTIVOEnti forniti di personalità giuridicaSocietà e associazioni, anche prive di personalità g...
EFFETTIResponsabilità dell’ente che si aggiungea quella personale del soggetto agente Effetti diretti sul patrimonio dell’...
MITIGAZIONEL’effetto dirompente della disciplina è mitigato da tre elementi:   i reati devono essere posti in essere da so...
I SOGGETTII soggetti idonei a commettere reati rilevanti ex D.Lgs. 231/01 possono esseredivisi in due categorie:   Soggett...
SOGGETTI IN POSIZIONE APICALEPer individuarli il Legislatore ha preferito utilizzare una formula basata suun criterio funz...
SOGGETTI IN POSIZIONE SUBORDINATANon sono necessariamente solo i dipendenti dell’enteAnche in questo caso viene adottato u...
I REATI PRESUPPOSTOLungo elenco di reati cc.dd. presupposto (in costante aggiornamento)Quelli che riguardano più specifica...
«NELL’INTERESSE O A VANTAGGIO»Perchè sorga questo tipo di responsabilità, è necessario che i reati individuatidalla norma ...
GRUPPI DI IMPRESEQualora una società controllante tragga un interesse o un vantaggio, anchemediato, dalla commissione di u...
SANZIONILe sanzioni previste dal d.lgs. 231/01 sono di quattro tipi:   sanzione pecuniaria   sanzioni interdittive   confi...
SANZIONE PECUNIARIAÈ applicata per quote ed è compresa tra € 25.800 ed € 1.549.000Nel determinare l’ammontare effettivo de...
SANZIONI INTERDITTIVELe sanzioni interdittive sono principalmente volte, per quanto possibile, adeliminare le condizioni o...
CONFISCACon la sentenza di condanna si dispone sempre la confisca del prezzo o delprofitto del reatoQuando non sia possibi...
ESONERO DELLA RESPONSABILITÀIl d.lgs. 231/2001 offre la possibilità agli enti di essere esonerati dallaresponsabilità qual...
I MODELLI ORGANIZZATIVII modelli organizzativi devono:   individuare le attività nell’ambito delle quali possono essere co...
COME REDIGERE IL MODELLO ORGANIZZATIVOLe linee guida, in genere, suggeriscono di prevedere le seguenti fasi per ladefinizi...
RISK ASSESSMENT: UN ESEMPIOIndividuazione delle aree di rischioElaborazione delle regole interne atte a disciplinare il co...
LE COMPONENTI PIÙ RILEVANTIRedazione e sottoscrizione di un codice eticoFormalizzazione del sistema organizzativo, sopratt...
LE COMPONENTI PIÙ RILEVANTISistemi di controllo e gestione in grado di fornire tempestiva segnalazionedell’esistenza e del...
IL CODICE ETICOÈ il documento nel quale si racchiudono gli impegni e le responsabilitàetiche nella conduzione degli affari...
ESEMPI DI REGOLE DEL CODICE ETICONon è consentito offrire denaro o doni a dirigenti, funzionari o dipendentidella P.A. o a...
L’ORGANISMO DI VIGILANZALe migliori applicazioni dei modelli 231 hanno evidenziato come, pergarantire l’effettività dei co...
REQUISITI DELL’ODVIndipendenza (viene nominato dal CdA ma risponde al Collegio sindacale)Autonomia (è svincolato dal poter...
POSSONO SVOLGERE LE FUNZIONI DELL’ODVIl Comitato per il controllo di gestioneIl Collegio sindacaleIl Consiglio di sorvegli...
COSA FA L’ODVVigila sulla corretta osservanza del modello da parte di tutti i soggetti tenutia rispettarloValuta la concre...
ABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPS L’art. 45 del d.lgs. 9 febbraio 2012 n. 5 convertito nella l. 4 aprile 2...
ABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPS Da più parti, peraltro, si caldeggia la conservazione dei DPS redatti in...
GLI OBBLIGHI RELATIVI ALLE MISURE MINIMEResta pertanto obbligo del Titolare e del Responsabile del trattamento,secondo le ...
MODELLI ORGANIZZATIVI E D.P.S.Alla luce dell’intervenuta abrogazione del DPS è altamente probabile che, infuturo, i contro...
MODELLI ORGANIZZATIVI E D.P.S.Gli unici “pezzi di carta” contenenti (anche) prescrizioni in merito allasicurezza informati...
I MODELLI ORGANIZZATIVI, QUINDI…Contribuiscono a costituire, ormai, il solo “ambiente” di sicurezzainformatica e policy di...
I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231L’attuazione di quanto previsto dal d.lgs. 231/01 porta, oltre alla conformità...
I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231prevenzione dei rischi economici connessi alla condanna dell’ente a sanzioni p...
SUGGERIMENTI FINALIDotarsi di un adeguato modello organizzativo anche qualora non si rientritra i soggetti espressamente i...
STUDIO LEGALE ASSOCIATOMILANOVia Larga, 620122 Milano                                GRAZIE DELL’ATTENZIONE!Tel. 02.899262...
MONDUCCI PERRI SPEDICATO & PARTNERS            www.mpslaw.it
Upcoming SlideShare
Loading in …5
×

La legge, la tecnologia e la sicurezza dei dati e dei sistemi (Giorgio Spedicato, SMAU 2013)

524 views
443 views

Published on

La sicurezza e la riservatezza nel trattamento dei dati trovano sempre uno spazio sempre maggiore nella disciplina comunitaria e nazionale.
Allo stato, le normative più interessanti sono certamente il D.Lgs. 196/03 sul trattamento dei dati personali e il D.Lgs. 231/01 sulla responsabilità delle persone giuridiche, delle società e delle associazioni. Con l'abrogazione dell'obbligo di aggiornamento del Documento Programmatico sulla Sicurezza, tuttavia, i modelli organizzativi ex D.Lgs. 231/01 rappresentano l'ultima misura di sicurezza documentale ancora obbligatoria, sia pure limitatamente ai reati presupposto della legge. L'intervento illustra gli obblighi di sicurezza ancora esistenti per legge e il loro impatto sulle aziende.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
524
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
20
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

La legge, la tecnologia e la sicurezza dei dati e dei sistemi (Giorgio Spedicato, SMAU 2013)

  1. 1. LA LEGGE, LA TECNOLOGIA E LA SICUREZZA DEI DATI E DEI SISTEMI: DALLA NORMATIVA SULLA PRIVACY AIMODELLI ORGANIZZATIVI E DI CONTROLLO Avv. Giorgio Spedicato
  2. 2. Managing Partner dello studio legale Monducci Perri Spedicato & Partners. CHI SONO Professore a contratto di Diritto della Proprietà intellettuale presso la Facoltà di Giurisprudenza dell’Università di Bologna (polo didattico di Ravenna). Dottore di ricerca in Informatica giuridica e diritto dell’informatica. Lo Studio legale associato Monducci Perri Spedicato & Partners è una law boutique specializzata in proprietà intellettuale, dirittoCHI È MPS&P delle nuove tecnologie e diritto dell’innovazione con sede a Milano, Bologna e Imola. Affianca chi fa dell’innovazione il proprio lavoro e il proprio impegno quotidiani, supportandolo nell’attività day by day e assistendolo nelle operazioni più complesse.
  3. 3. INDICEOverview del D.Lgs. 231/2001I modelli di organizzazione e controlloLa redazione dei modelli di organizzazione e controlloI modelli di organizzazione e controllo dopo l’abrogazione del DPSQuali misure di sicurezza ora?I side effects dell’adozione di un modello organizzativo 231/01 e il rapportocon gli adempimenti privacy
  4. 4. IL SENSO DELL’EVOLUZIONE NORMATIVAPrima del D.Lgs. 231/2001 Principio generale: societas delinquere non potestCon l’introduzione del D.Lgs. 231/2001 Cambio di prospettiva: viene istituita la responsabilità amministrativa dell’ente per reati posti in essere da amministratori, dirigenti e/o dipendenti nell’interesse o a vantaggio dell’ente stesso La 231/2001 nasce per prevenire e contrastare la c.d. “criminalità d’impresa”: Si ritiene che colpire il reale beneficiario del reato (l’ente) piuttosto che il singolo soggetto agente possa essere un efficace sistema preventivo e repressivo di alcune ipotesi delittuose
  5. 5. IL SENSO DELL’EVOLUZIONE NORMATIVAIl fondamento della responsabilità in questione è basato sulla c.d. «colpa diorganizzazione», giacché si puniscono, con sanzioni gravi, le società e gli entiche non hanno saputo scongiurare, nella propria organizzazione, significativeipotesi di reatoLa responsabilità sorge sia per mancata o insufficiente dotazione ed attuazionedi modelli organizzativi e gestionali efficienti, sia per difetto di controllo sulcorretto operato di chi opera, a diverso titolo, a contatto con l’ente
  6. 6. AMBITO DI APPLICAZIONE SOGGETTIVOEnti forniti di personalità giuridicaSocietà e associazioni, anche prive di personalità giuridica……ivi incluse le imprese individuali (Cass. pen. n. 15657/2010)
  7. 7. EFFETTIResponsabilità dell’ente che si aggiungea quella personale del soggetto agente Effetti diretti sul patrimonio dell’ente e indiretti sugli interessi di tutti i soci
  8. 8. MITIGAZIONEL’effetto dirompente della disciplina è mitigato da tre elementi: i reati devono essere posti in essere da soggetti in posizione apicale o da soggetti in posizione subordinata; i reati che possono far sorgere questo tipo di responsabilità sono tassativamente individuati dal testo di legge (anche se sono molto numerosi e il catalogo viene aggiornato spesso); i reati devono essere commessi nell’interesse o a vantaggio della società o dell’ente.
  9. 9. I SOGGETTII soggetti idonei a commettere reati rilevanti ex D.Lgs. 231/01 possono esseredivisi in due categorie: Soggetti in posizione apicale Soggetti in posizione subordinata
  10. 10. SOGGETTI IN POSIZIONE APICALEPer individuarli il Legislatore ha preferito utilizzare una formula basata suun criterio funzionaleRientrano in questa categoria tutti quei soggetti che esprimono la volontàdell’ente nei rapporti esterni e nelle scelte di politica d’impresa attraversoun potere di gestione, controllo e vigilanza, come ad esempio: il legale rappresentante dell’ente gli amministratori i direttori generali ex art. 2396 c.c. i membri di comitati esecutivi e tutti i soggetti dotati di rappresentanza…
  11. 11. SOGGETTI IN POSIZIONE SUBORDINATANon sono necessariamente solo i dipendenti dell’enteAnche in questo caso viene adottato un criterio funzionale (ma nonvengono considerati responsabili i soggetti che esercitano le funzioni divigilanza e controllo bensì coloro che le subiscono)Perchè sorga responsabilità commessa dai soggetti in posizionesubordinata, è essenziale che questi operino sotto il diretto controllo delsoggetto apicale (è sempre necessaria un’analisi concretadell’organigramma aziendale e dei poteri conferiti ai singoli soggetti)
  12. 12. I REATI PRESUPPOSTOLungo elenco di reati cc.dd. presupposto (in costante aggiornamento)Quelli che riguardano più specificamente il tema della sicurezza informaticae della tutela della proprietà intellettuale sono: frode informatica in danno dello Stato o di altro ente pubblico delitti informatici e trattamento illecito di dati fabbricazione e commercio di beni realizzati usurpando titoli di proprietà industriale delitti in materia di diritto d’autore
  13. 13. «NELL’INTERESSE O A VANTAGGIO»Perchè sorga questo tipo di responsabilità, è necessario che i reati individuatidalla norma siano commessi nell’interesse o a vantaggio della società, a nullarilevando, ad esempio, l’ipotesi che il reato venga commesso a favore proprio odi terzi. Nel caso in cui, invece, vi sia una commistione tra interesse personalee aziendale, la responsabilità dell’ente non è esclusa nè ridotta Interesse: è riferito alla condotta e sussiste quando l’autore del reato pone in essere un comportamento finalizzato a far ottenere all’ente un lucro o comunque un obiettivo desiderabile, sebbene non immediatamente lucroso Vantaggio: è riferito all’evento del reato e non presuppone il lucro ma può tradursi nell’acquisizione di una qualche utilità che consenta all’ente di conseguire una posizione di vantaggio
  14. 14. GRUPPI DI IMPRESEQualora una società controllante tragga un interesse o un vantaggio, anchemediato, dalla commissione di un reato previsto dal decreto da parte di unacontrollata, sarà sanzionabile per responsabilità amministrativa anche lacontrollante.(cfr. Cass. pen. Sez. V, 18 gennaio 2011, n. 24583)
  15. 15. SANZIONILe sanzioni previste dal d.lgs. 231/01 sono di quattro tipi: sanzione pecuniaria sanzioni interdittive confisca pubblicazione della sentenza
  16. 16. SANZIONE PECUNIARIAÈ applicata per quote ed è compresa tra € 25.800 ed € 1.549.000Nel determinare l’ammontare effettivo della sanzione pecuniaria, il giudicedeve tenere conto dei seguenti criteri: gravità del fatto grado di responsabilità dell’ente attività svolta dall’ente per eliminare o attenuare le conseguenze del fatto e per prevenire la commissione di ulteriori illeciti condizioni economiche e patrimoniali dell’ente (allo scopo di assicurare l’effettività della sanzione, che potrebbe essere resa vana dalle maggiori capacità patrimoniali ed economiche dell’ente medesimo)
  17. 17. SANZIONI INTERDITTIVELe sanzioni interdittive sono principalmente volte, per quanto possibile, adeliminare le condizioni oggettive e soggettive che hanno agevolato i fattoricriminogeni: interdizione dall’esercizio dell’attività sospensione o revoca delle autorizzazioni, delle licenze o delle concessioni funzionali alla commissione dell’illecito divieto di contrattare con la Pubblica Amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio esclusione da agevolazioni, finanziamenti, contributi o sussidi ed eventuale revoca di quelli già concessi divieto di pubblicizzare beni o servizi
  18. 18. CONFISCACon la sentenza di condanna si dispone sempre la confisca del prezzo o delprofitto del reatoQuando non sia possibile eseguire la confisca, questa potrà avere adoggetto anche somme di denaro, beni o altre utilità di valore equivalente alprofitto del reato
  19. 19. ESONERO DELLA RESPONSABILITÀIl d.lgs. 231/2001 offre la possibilità agli enti di essere esonerati dallaresponsabilità qualora i medesimi: si dotino ed abbiano efficacemente adottato specifici modelli organizzativi e di gestione, idonei alla prevenzione di reati della medesima specie di quello commesso, di modo che il reato venga commesso aggirando fraudolentemente i predetti modelli di organizzazione e di gestione; si dotino di un organismo di vigilanza ad hoc, dotato di autonomi poteri di iniziativa e controllo, che abbia effettivamente esercitato le sue funzioni ed i suoi compiti durante il momento di commissione del reato.
  20. 20. I MODELLI ORGANIZZATIVII modelli organizzativi devono: individuare le attività nell’ambito delle quali possono essere commessi i reati prevedere protocolli in base ai quali effettuare la programmazione e l’attuazione delle decisioni relative ai reati da prevenire individuare le modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati prevedere obblighi di informazione verso l’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli stessi introdurre un sistema disciplinare tramite il quale sanzionare il mancato rispetto delle misure che sono indicate nel modello
  21. 21. COME REDIGERE IL MODELLO ORGANIZZATIVOLe linee guida, in genere, suggeriscono di prevedere le seguenti fasi per ladefinizione del “modello 231”: identificazione dei rischi predisposizione e/o implementazione di un sistema di controllo idoneo a prevenire i rischi attraverso l’adozione di specifici protocolli…in una parola: analisi del rischio e policy, analogamente a quanto occorrevafare per il DPS
  22. 22. RISK ASSESSMENT: UN ESEMPIOIndividuazione delle aree di rischioElaborazione delle regole interne atte a disciplinare il controllo delle aree dirischio sopra identificate e a progettare misure volte a contrastare i rischieventualmente emersiGestione delle risorse strutturata in modo da assicurare all’attività diindividuazione e gestione del rischio gli stanziamenti necessariPredisposizione di un apposito sistema disciplinare che consenta diintervenire sanzionando chi trasgredisca alle prescrizioni elaborate inseguito al processo di controllo esaminato. Per rispondere a tale esigenza siadottano spesso dei protocolli interni che, oltre a un sistema di sanzionicoerente e adeguato, contengano la disciplina delle procedure da seguirenell’esecuzione di determinate attività aziendali
  23. 23. LE COMPONENTI PIÙ RILEVANTIRedazione e sottoscrizione di un codice eticoFormalizzazione del sistema organizzativo, soprattutto per quanto attieneall’attribuzione di responsabilità, alle linee di dipendenza gerarchica e alladescrizione dei compiti, con specifica previsione di principi di controlloquali, ad esempio, la contrapposizione di funzioniProcedure manuali e/o informatiche tali da regolamentare lo svolgimentodelle attività prevedendo gli opportuni punti di controlloPoteri autorizzativi e di firma assegnati in coerenza con le responsabilitàorganizzative e gestionali definite, prevedendo, quando richiesto, unapuntuale indicazione delle soglie di approvazione delle spese
  24. 24. LE COMPONENTI PIÙ RILEVANTISistemi di controllo e gestione in grado di fornire tempestiva segnalazionedell’esistenza e dell’insorgere di situazioni di criticità generale e/oparticolareComunicazione al personale e sua formazionePrevisione di un adeguato sistema sanzionatorio per la violazione dellenorme del codice etico e delle procedure previste dal ModelloAutonomia, indipendenza, professionalità e continuità d’azionedell’Organismo di Vigilanza
  25. 25. IL CODICE ETICOÈ il documento nel quale si racchiudono gli impegni e le responsabilitàetiche nella conduzione degli affari e delle attività imprenditorialiLa funzione principale consiste nell’uniformare i singoli comportamenti,così che il perseguimento degli interessi aziendali sia svolto in piena legalità
  26. 26. ESEMPI DI REGOLE DEL CODICE ETICONon è consentito offrire denaro o doni a dirigenti, funzionari o dipendentidella P.A. o a loro parenti, salvo che si tratti di doni di modico valoreNon è consentito accettare o offrire beni, servizi, prestazioni o favori perottenere un miglior trattamento in relazione ai rapporti con la P.A.Non è consentito assumere alle dipendenze della società ex impiegati dellaP.A. che abbiano partecipato personalmente ad operazioni poste in esseretra l’ente e la P.A.Nel corso di una transazione con la P.A. non è consentito proporre offerted’impiego e/o commerciali che possano avvantaggiare dipendenti della P.A.a titolo personale
  27. 27. L’ORGANISMO DI VIGILANZALe migliori applicazioni dei modelli 231 hanno evidenziato come, pergarantire l’effettività dei controlli inseriti nei modelli organizzativi, sianecessaria la costituzione di un OdVTale entità può essere sia monosoggettiva che plurisoggettivaI parametri di cui tener conto sono le dimensioni e la complessitàdell’aziendaNelle piccole imprese, è consentito che l’OdV coincida con l’organodirigente, anche se la best practice in materia di audit prescrive sempre diservirsi di consulenti esterni
  28. 28. REQUISITI DELL’ODVIndipendenza (viene nominato dal CdA ma risponde al Collegio sindacale)Autonomia (è svincolato dal potere gerarchico del management e disponeautonomamente le proprie attività)Professionalità (all’interno dell’OdV devono confluire diverseprofessionalità)Continuità nell’azione (l’OdV non deve essere soggetto a continui orepentini cambiamenti dei suoi componenti)
  29. 29. POSSONO SVOLGERE LE FUNZIONI DELL’ODVIl Comitato per il controllo di gestioneIl Collegio sindacaleIl Consiglio di sorveglianzaL’organismo di internal auditingEventuali organismi creati ad hoc
  30. 30. COSA FA L’ODVVigila sulla corretta osservanza del modello da parte di tutti i soggetti tenutia rispettarloValuta la concreta idoneità del modello a prevenire comportamenti illecitiValuta la necessità di ricorrere ad un aggiornamento del modelloAggiorna, se necessario, il modello
  31. 31. ABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPS L’art. 45 del d.lgs. 9 febbraio 2012 n. 5 convertito nella l. 4 aprile 2012 n. 35, ha abrogato le norme del d.lgs. 30 giugno 2003 n. 196 (c.d. Codice Privacy) nella parte in cui imponevano l’adozione del Documento Programmatico sulla Sicurezza (e, quindi, l’art. 34, comma 1, lett. g) e ha abrogato anche il comma 1-bis dello stesso articolo, che comprendeva i casi di semplificazione. Pertanto, a partire dallo scorso anno, i Titolari del trattamento che prima erano obbligati non sono più tenuti ad aggiornare il Documento Programmatico sulla Sicurezza.
  32. 32. ABROGAZIONE DELL’OBBLIGO DI AGGIORNAMENTO DEL DPS Da più parti, peraltro, si caldeggia la conservazione dei DPS redatti in vigenza dell’obbligo, in quanto potrebbero ancora essere richiesti in fase di ispezione In ogni caso, la semplificazione non è intervenuta sulle altre misure di sicurezza che, pertanto, continuano ad essere obbligatorie (e la cui omissione, pertanto, continua ad essere sanzionata penalmente ed amministrativamente)
  33. 33. GLI OBBLIGHI RELATIVI ALLE MISURE MINIMEResta pertanto obbligo del Titolare e del Responsabile del trattamento,secondo le specifiche di cui all’Allegato B al Codice Privacy: impostare un sistema di autenticazione informatica adottare procedure di gestione delle credenziali di autenticazione utilizzare un sistema di autorizzazione aggiornare periodicamente l’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici proteggere gli strumenti elettronici rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici adottare procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
  34. 34. MODELLI ORGANIZZATIVI E D.P.S.Alla luce dell’intervenuta abrogazione del DPS è altamente probabile che, infuturo, i controlli disposti dal Garante per la protezione dei dati personalisaranno svolti in modo più capillare, anche accedendo, come consentitodal Codice Privacy, al sistema informatico del titolare del trattamento.Venendo a mancare il DPS, pertanto, l’unica modalità attraverso la quale ilGarante potrà verificare l’effettiva adozione delle misure minime, saràquella di disporre controlli diretti, anche mediante specifico accesso aisistemi, ai sensi dell’art. 159 del Codice Privacy.
  35. 35. MODELLI ORGANIZZATIVI E D.P.S.Gli unici “pezzi di carta” contenenti (anche) prescrizioni in merito allasicurezza informatica e alle policy presenti in azienda che rimangono tra gliispettori e il sistema informatico, quindi, restano i modelli organizzativi exD.Lgs. 231/01.Uno sguardo al futuro: le proposte di riforma della normativa comunitariain materia di privacy, richiamando i concetti di «privacy impactassessment», «privacy by design», «privacy by default», sembranomuoversi con le stesse logiche di fondo del D.Lgs. 231/01.
  36. 36. I MODELLI ORGANIZZATIVI, QUINDI…Contribuiscono a costituire, ormai, il solo “ambiente” di sicurezzainformatica e policy di utilizzo delle risorse informatiche presente inaziendaAgevolano il raggiungimento di una visione olistica della sicurezzainformaticaSono coadiuvanti nel caso in cui l’azienda voglia intraprendere un percorsodi certificazione
  37. 37. I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231L’attuazione di quanto previsto dal d.lgs. 231/01 porta, oltre alla conformità normativa, iseguenti vantaggi: accesso a commesse di significativo rilievo, per le quali viene richiesto, da parte di soggettipubblici o da grandi committenti privati, l’attuazione dei modelli previsti dal d.lgs. 231/01 incremento della fiducia dei soggetti terzi in tutte le operazioni societarie (es.: fusione;acquisizione o cessione di quote o di azioni; acquisizione o cessione di pacchetti di controllo;vendita di rami di azienda; ingresso di nuovi soci; strutturazione o modifica dei gruppisocietari; operazioni con partners esteri; operazioni di co-branding; etc.), con possibilità diottenere una migliore valutazione economica incremento della fiducia da parte dei clienti nel caso in cui si abbia un’efficace sistema ditutela del trattamento dei dati personali prevenzione dei rischi economici connessi alla condanna penale del soggetto e/o alpagamento di rilevanti sanzioni pecuniarie in conseguenza di una mancata ottemperanza allemisure minime di sicurezza
  38. 38. I SIDE EFFECTS DELL’ADOZIONE DEI MODELLI 231prevenzione dei rischi economici connessi alla condanna dell’ente a sanzioni pecuniarie,interdittive ed alle altre sanzioni previste dal d.lgs. 231/01 (in conseguenza di eventualiazioni criminose dei soggetti collocati in posizione apicale o dei loro sottoposti) e migliorcapacità di risposta in caso di ispezioni a norma del Codice Privacymiglioramento dell’efficienza interna dell’aziendamiglioramento delle capacità di gestione dei rischi e di reazione di fronte agli eventicriticiincremento del livello di percezione di “eticità” dell’enteveicolazione di immagine più solida, onesta, “pulita ”, dell’ente presso tutti glistakeholders (compreso clienti, fornitori, istituzioni), con riflessi sul posizionamentodell’ente nel mercatopossibilità di gestire al meglio le eventuali controversie che dovessero instaurarsi coipropri prestatori di lavoro
  39. 39. SUGGERIMENTI FINALIDotarsi di un adeguato modello organizzativo anche qualora non si rientritra i soggetti espressamente indicati dalla normativa, in quanto è semprepossibile un’estensione giurisprudenzialePrevedere procedure efficaci di verifica della corretta applicazione dellanormativa, soprattutto in merito all’attività di controllo che dovrà esserecondotta dall’Organismo di VigilanzaConvogliare, all’interno dei modelli organizzativi, le prescrizioni aziendali intema di sicurezza e trattamento dei dati
  40. 40. STUDIO LEGALE ASSOCIATOMILANOVia Larga, 620122 Milano GRAZIE DELL’ATTENZIONE!Tel. 02.89926248Email: milano.desk@mpslaw.itBOLOGNA Avv. Giorgio SpedicatoVia dell’Indipendenza, 3640121 BolognaTel. 051.7878043Email: bologna.desk@mpslaw.it email: giorgio.spedicato@mpslaw.itIMOLAVia Garibaldi, 4040026 Imola (Bo)Tel. 0542.30702Email: imola.desk@mpslaw.it
  41. 41. MONDUCCI PERRI SPEDICATO & PARTNERS www.mpslaw.it

×