FAQ: Organismo di vigilanza 231 e DPO sono ruoli compatibili?
FAQ: Organismo di vigilanza 231 e DPO sono ruoli compatibili?
L’associare la figura dell’ Organismo di vigilanza 231 a quella del Data Protection Officer (DPO) è un dibattito che spesso si ritrova in molte aziende.
Vediamo di fare chiarezza una volta per tutte!
L’ODV, ha il ruolo di controllare e vigilare sul funzionamento e sull’applicazione corretta del Modello di Organizzazione, Gestione e Controllo adottato dall’azienda (art. 6 del Decreto Legislativo 231/2001)Il D.Lgs 231/2001 non fornisce indicazioni riguardo la composizione dell’ODV (monocratico o collegiale) e su eventuali incompatibilità dei suoi componenti.
Su tale argomento si limita a specificare, sempre all’art. 6 ma comma 1 lett. b) che deve avere “autonomi poteri di iniziativa e di controllo” i quali garantiscano una vigilanza effettiva.
Gli strumenti per gestire l’attività dell’organismo di vigilanza 231
La figura di Data Protection Officer, è stata introdotta dal GDPR (Regolamento UE 2016/679), e ha il compito di informare e fornire consulenza al titolare del trattamento sugli obblighi derivanti dalla normativa in materia di protezione dei dati personali e di sorvegliare l’osservanza della normativa applicabile e delle politiche del titolare in materia di protezione dei dati.
L’art. 39 del Reg Ue 2016/679 sottolinea come il DPO si deve occupare di responsabilizzare, sensibilizzare e formare il personale che partecipa ai trattamenti; di fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati; di cooperare con l’autorità di controllo e di fungere da punto di contatto per essa (art. 39 GDPR).Il tutto in piena indipendenza e autonomia (considerando 97 del Reg. Ue 2016/679), riferendo soltanto all’alta direzione.
Quindi gli elementi comuni del DPO e dell’Organismo di vigilanza sono:
_ autonomia
_ indipendenza
_ attività di supervisione e controllo nei loro ambiti
La domanda è quindi: può la medesima figura occupare contemporaneamente il ruolo di DPO e di Membro Organismo di vigilanza?
CORSO ON LINE AGGIORNAMENTO DPO
Dal punto di vista normativa non vi è alcun divieto! Vi sono però due elementi da considerare.
1) Competenze specifiche
Al DPO sono richieste specifiche competenze in ambito privacy e data protection. Il membro dell’organismo di vigilanza deve possedere competenze diverse, più gestionali e pluri-settoriali (es. tecniche e giuridiche).
2) Conflitto d’interessi del DPO
Come emerge dalle linee guida del WP29 (WP 243 rev.01), il DPO può ricoprire altre funzioni all’interno dell’organizzazione purchè queste non diano luogo a conflitti di interesse. Ovvero il DPO non può ricoprire posizioni che comportino la determinazione di finalità e modalità di trattamento di dati personali.
Il Garante ha poi indicato nelle FAQ disponibili sul sito del Garante stesso, che il DPO non può ricoprire ruoli manageriali e direzionali, ruoli assimilabili per chi scrive anche all’Organismo di vigilanza 231.
Pertanto non è consigliabili fare ricoprire il ruolo di DPO e di membro organismo di vigilanza al medesimo soggetto.
Autore: Dr. Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu
FAQ Risolta – Organismo di vigilanza – D.lgs 231/01 E’ configurabile una responsabilità penale da condotta omissiva a carico dell’organismo di vigilanza 231?
FAQ Risolta – Organismo di vigilanza – D.lgs 231/01 E’ configurabile una responsabilità penale da condotta omissiva a carico dell’organismo di vigilanza 231?
In considerazione che in presenza di violazioni del modello organizzativo, l’Organismo di vigilanza non è dotato di mezzi paragonabili a quelli previsti dal Codice Civile dal collegio sindacale, non è configurabile alcuna responsabilità penale per i componenti dell’Odv dovuta a condotta omissiva.
E’ configurabile al componente dell’organo di vigilanza una responsabilità a titolo di concorso del reato nel caso in cui ometta volontariamente di vigilare sul funzionamento del modello 231, per agevolare la commissione di un reato da parte dell’ente.
FAQ risolta – D.lgs 231/01 – Qual’è la durata ottimale dell’incarico dell’ Organismo di vigilanza 231?
FAQ risolta – D.lgs 231/01 – Qual’è la durata ottimale dell’incarico dell’ Organismo di vigilanza 231?
Per quanto riguarda la durata ottimale in carica dell’organismo di vigilanza, è preferibile definire un periodo di tre anni, in modo tale da consentire lo svolgimento ottimale dell’incarico.
L’Organismo di vigilanza 231 e la funzione di Internal Audit (audit interno)
L’audit interno del modello 231 è uno dei principali compiti dell’Organismo di Vigilanza. Tale attività deve essere svolta periodicamente, almeno una volta all’anno.
Nelle aziende dove è presente la funzione di internal audit è importante che vi sia collaborazione con l’Organismo di Vigilanza.
Le modalità attraverso le quali la funzione Internal Audit supporta gli OdV può avvenire a diversi livelli.
Nella fase di implementazione del modello e di aggiornamento.
Ai fini di un migliore e più efficace espletamento dei compiti e delle funzioni attribuiti all’Organismo, quest’ultimo si avvarrà della funzione Internal Audit in quanto dotata di competenze tecniche e risorse idonee a garantire lo svolgimento su base continuativa delle verifiche, delle analisi e degli altri adempimenti di competenza dell’Organismo.
L’Organismo potrà avvalersi dell’Internal Auditing per lo svolgimento dei seguenti compiti:
– assistere l’Organismo nell’attività di predisposizione della mappa delle attività sensibili;
– effettuare la raccolta delle segnalazioni che perverranno dalle strutture della Società e da soggetti terzi. In questo caso, l’Internal Auditing dovrà informare tempestivamente l’OdV del ricevimento di tali segnalazioni;
– ricevere i flussi informativi definiti dall’OdV predisponendo una relazione trimestrale riportante le anomalie eventualmente riscontrate;
– assistere l’OdV nell’analisi del Modello al fine di valutare l’effettiva capacità dello stesso a prevenire la commissione dei reati previsti dal Decreto (adeguatezza del disegno del Modello);
– seguire il follow-up delle proposte di adeguamento del Modello formulato dall’OdV, al fine di verificare l’implementazione e l’effettiva funzionalità delle soluzioni proposte.
Supporto nella partecipazione alle riunioni degli OdV come segretario organizzativo o come membro degli stessi
La funzione Internal Audit e più precisamente il suo responsabile possono svolgere il ruolo di segreteria tecnica dell’Organismo di Vigilanza. Il Responsabile Internal Audit è anche componente dell’OdV.
La funzione di internal audit fornisce un supporto operativo all’Organismo di vigilanza tramite la conduzione di audit di compliance 231, intesi come:
- analisi del mantenimento nel tempo dell’effettività e adeguatezza dei contenuti del Modello;
- verifica dell’effettiva osservanza dei protocolli di controllo previsti dal modello e monitoraggio sull’attuazione delle misure previste;
- verifica che le disposizioni aziendali recepiscano i protocolli di controllo.
Supporto nel coordinamento dei flussi informativi verso gli ODV da parte delle funzioni operative dell’organizzazione
L’Odv nell’espletamento delle proprie funzioni necessita di efficaci flussi informativi da parte delle funzioni operative dell’organizzazione. La funzione internal auditing supporta operativamente l’OdV:
- coordinando la raccolta di dati (ad esempio tramite una casella di posta elettronica dedicata) e dei flussi informativi provenienti dalle direzioni o business unit;
- producendo specifici report di sintesi sui flussi informativi raccolti • riportandoli periodicamente all’organismo
Supporto nelle attività di training/formazione.
Fonte: Alessia Scamaccio – Tesi di laurea – IL MONITORAGGIO DEL MODELLO ORGANIZZATIVO Ex. D.Lgs. 231/2001 NELLE AZIENDE MULTINAZIONALI
Opportunità professionale – azienda ricerca consulente 231
Opportunità professionale – Azienda settore formazione richiede preventivo per realizzare modello 231
Iscriviti al servizio Segnalazione Preventivi
Come realizzare il modello 231
Come realizzare il modello 231
Il decreto legislativo 231/01 prevede che le società e gli enti possono essere ritenuti responsabili in
relazione a taluni reati commessi o tentati nell’interesse o a vantaggio della Società d’ amministratori e/o dipendenti in assenza del cosiddetto modello 231. Il Decreto prevede un meccanismo di salvaguardia per le Società e per gli Enti che abbiano adottato o stiano adottando Modelli di Organizzazione, Gestione e Controllo idonei a prevenire i reati stessi. Oltre alle Linee Guida di Confindustria,che rappresentano un riferimento per tutte le aziende interessate dalla normativa, molte associazioni di categorie hanno sviluppato delle Linee Guida di settore per l’implementazione di modelli ad hoc.
ANCE(ASSOCIAZIONENAZIONALICOSTRUTTORIEDILI)
ABI(ASSOCIAZIONEBANCARIAITALIANA)
ANIA(ASSOCIAZIONENAZIONALEISTITUTIASSICURATIVI)
FARMINDUSTRIA
CONFCOOPERATIVE
Ai fini dell’implementazione del Modello organizzativo ex D.Lgs. 231/2001, risulta imprescindibile
effettuare, in via preliminare, un’attività di check up che consenta di pervenire ad un sufficiente grado di
conoscenza generale dell’Ente, allo scopo di individuare gli aspetti che saranno oggetto di
approfondimento e di specifico esame nelle fasi successive.
*********************************************
Il catalogo online http://www.edirama.org mette a disposizione:
Kit 231 – Suite software per realizzare i modelli 231
ODV DOC – software e modulistica per l’Organismo di Vigilanza 231
Corsi on line Esperto 231 ed Esperto ODV 231
Software Check ODV 231 + certificato Check ODV 231 OK novità
Alert231 – il servizio di aggiornamento continuo per i professionisti 231
**********************************************************
In particolare, l’analisi in questione, volta all’acquisizione della documentazione necessaria, nonché ad una prima individuazione delle attività sensibili e dei fattori di rischio, dovrebbe riguardare i seguenti elementi:
- documentazione rappresentativa e descrittiva della struttura organizzativa, della corporate governance, dei dati dimensionali, del tipo di attività svolta e delle aree di business,
- nel caso di Gruppi Societari, informazioni che precisino il ruolo della Società nell’ambito del Gruppo e i rapporti della medesima Società con le altre legal entity, soprattutto per i processi distributivi o per le attività in outsourcing.
In particolare va verificata la presenza di contratti che regolino i rapporti intragruppo e le responsabilità di ogni compagine societaria; - codici etici e di comportamento, norme di autodisciplina, “compliance programme” che costituiscono la codificazione dei valori e delle regole dell’Ente.
La realizzazione di un modello organizzativo prevede 5 fasi:
1) Mappatura delle aree a rischio di reato
2) Valutazione del sistema di controllo interno
3) Analisi comparativa e piani di miglioramento
4) Redazione del modello
5) Formazione e diffusione
1) Mappatura delle aree a rischio di reato nel modello 231
In questa fase è necessario individuare i principali processi gestiti che possono avere impatti sui reati
previsti dal D.lgs 231/01. Operativamente è necessario verificare le possibili modalità di attuazione degli illeciti.
L’analisi dei rischi deve essere svolta con una chiara visione aziendale e deve richiedere la comprensione dei seguenti elementi:
1) Le attività a rischio di reato
2) Le modalità di possibile commissione di reato
3) La gravità/intensità del rischio corso e le misure di prevenzione in atto.
Elemento fondamentale di partenza di ogni modello 231 è la mappa dei processi aziendali. Molte aziende, soprattutto quelle certificate ISO , dispongono già di una mappatura ma spesso sono esclusi processi come amministrazione e contabilità, legale e societario Pertanto è fondamentale definire con attenzione la mappa dei processi aziendali e delle relative attività.
Nella successiva valutazione delle modalità di possibile commissione di reato subentra la necessità di avere a disposizione nella gestione e realizzazione del modello 231 competenze multidisciplinari così individuabili:
1) Di tipo aziendale/organizzativo/statistico/ispettivo
2) Di tipo civilistico, fiscale, societario
3) Di carattere legale/penale.
Questa necessaria integrazione multidisciplinare fa si che occorra definire un gruppo di lavoro costituito da:
responsabile aziendale (dirigente), avvocato, commercialista (responsabile amministrativo).
La valutazione della gravità/intensità del rischio per le singole attività può essere effettuata adottando
modelli di calcolo basati sulle tecniche di Risk Management, oppure su una valutazione più qualitativa e più a misura dell’azienda e del settore in cui opera l’azienda. L’analisi dei rischi può iniziare con impostare una matrice generale sul modello sottoriportato. Per ogni processo viene indicato il possibile reato che si potrebbe verificare.
| Reato | Settore aziendale | Settore aziendale | Settore aziendale |
Successivamente per ogni rischio/processo individuato si provvederà a definire una mappa di maggiore
dettaglio.
I reati 231
L’elenco dei reati previsti dal Dlgs 231/01 è ampio e in continua evoluzione. E’ possibile distinguerli in due categorie:
1) reati trasversali o generici – validi per tutte le aziende
2) reati aziendali che dipendono dal settore operativo aziendale
Puoi scaricare l’elenco aggiornato dei nuovi reati dal sito www.consulenza231.org
2) Valutazione del sistema di controllo interno nel modello 231
Questa seconda fase prevede la valutazione della presenza di esistenti controlli aziendali in grado di ridurre i rischi rilevati. In questo occorre valutare:
_ segregazione delle funzioni
_ poteri autorizzativi e di firma
_ regole comportamentali
_ tracciabilità
Il catalogo online http://www.edirama.org mette a disposizione:
Kit 231 – Suite software per realizzare i modelli 231
ODV DOC – software e modulistica per l’Organismo di Vigilanza 231
Corsi on line Esperto 231 ed Esperto ODV 231
Software Check ODV 231 + certificato Check ODV 231 OK novità
Alert231 – il servizio di aggiornamento continuo per i professionisti 231
3) Analisi comparativa e piani di miglioramento
In questa fase è necessario confrontare i controlli esistenti relativi alle attività a rischio di reato individuate e gli standard richiesti per rendere i rischi accettabili
4) Redazione del modello
La fase 4 prevede la redazione del modello 231 in genere strutturato in 3 parti:
_ Parte Generale
_ Parti speciali
_ Documenti a corredo del Modello
Il Codice etico, il regolamento dell’Organismo di Vigilanza e il Sistema disciplinare rientrano nella Parte Generale.
Le Parti Speciali contengono per ogni tipologia di reato una mappatura in cui sono indicati:
_ sintesi del reato e modalità di commissione
_ funzioni e processi aziendali coinvolti
_ procedure per la formazione e l’applicazione delle decisioni
5) Formazione e diffusione
Quest’ultima fase di implementazione di un sistema documentale 231/01, ha come obiettivo quello di
illustrare il modello di organizzazione, gestione e controllo realizzato, sensibilizzando contemporaneamente tutta l’azienda verso comportamenti volti a scongiurare l’apertura di procedimenti penali nei confronti della società e di sanzioni disciplinari nei confronti dei dipendenti.
Edirama, dal 2006 realizza prodotti editoriali per professionisti e aziende che devono realizzare i modelli 231 e gestire l’attività come Organismo di Vigilanza.
Il catalogo online http://www.edirama.org mette a disposizione:
Kit 231 – Suite software per realizzare i modelli 231
ODV DOC – software e modulistica per l’Organismo di Vigilanza 231
Corsi on line Esperto 231 ed Esperto ODV 231
Software Check ODV 231 + certificato Check ODV 231 OK novità
Alert231 – il servizio di aggiornamento continuo per i professionisti 231
Il sito http://www.consulenza231.org con tutte le novità inerenti il D.lgs 231/01
Per info
_ Tel: 051-35.38.38
_ www.edirama.org
_ www.consulenza231.org
Edirama di M. Rapparini – via Paolo Fabbri ¼ – 40135 – Bologna – P.I. 04200180372
Come calcolare correttamente il preventivo per realizzare i modelli 231
Un nuovo strumento online per consulenti e aziende per definire il prezzo della consulenza inerente la redazione dei modelli 231.
Sentenza Cassazione: Responsabilità degli enti ex D. Lgs. 231/2001, patteggiamento e applicazione delle sanzioni interdittive
Cassazione Penale, Sez. IV, 20 aprile 2021 (ud. 14 aprile 2021), n. 14696
Presidente Fumu, Relatore D’Andrea
In tema di responsabilità degli enti ex D. Lgs. 231/2001, segnaliamo la sentenza con cui la Cassazione si è pronunciata in merito alla applicazione delle sanzioni interdittive in sede di patteggiamento.
********************************************************************************
LA SUITE COMPLETA PER REALIZZARE ILLIMITATI MODELLI 231
KIT 231 è la suite di software per realizzare illimitati modelli 231
********************************************************************************
Deve essere ribadito – afferma la Corte – “il condivisibile principio affermato dalla giurisprudenza di questa Corte, per il quale, in tema di responsabilità da reato degli enti, le sanzioni interdittive sono sanzioni “principali” e non “accessorie”, per cui, in caso di sentenza emessa ai sensi dell’art. 444 cod. proc. pen., queste ultime devono essere oggetto di un espresso accordo processuale tra le parti in ordine al tipo ed alla durata delle stesse e non possono essere applicate dal giudice in violazione dell’accordo medesimo (così, espressamente, Sez. 3, n. 45472 del 08/06/2016, P.M. e altro in proc. Società Talian, Rv. 267919-01). Le natura di sanzioni “principali”, e non “accessorie”, delle sanzioni interdittive è, in particolare, desumibile dai contenuti della norma dell’art. 14 del d.lgs. n. 231 del 2001, che ne definisce le modalità di commisurazione e di scelta, richiamando il corrispondente art. 11 sulle sanzioni pecuniarie quanto all’individuazione dei criteri per la loro determinazione nel tipo e nella durata, tenendo conto dell’idoneità delle singole sanzioni a prevenire illeciti del tipo di quello commesso“.
Fonte: Giurisprudenzapenale.it
Business judgment rule e modelli 231: è ora di cambiare registro?
Il diritto attuale ha trasformato la naturale necessità imprenditoriale di darsi un’organizzazione in un dovere legale. L’imprenditore «deve» predisporre assetti organizzativi, amministrativi e contabili, è onerato di articolare un modello 231 ed è tenuto a dotarsi di misure tecniche, logiche e organizzative di data protection e cybersecurity.
Fissato l’obbligo, il legislatore però lascia solo l’imprenditore nel determinare il quomodo e lo abbandona con un precetto vago: regole e strumenti organizzativi devono essere «adeguati». Fatalmente, con il «senno di poi», in sede giudicante è quasi irresistibile la tentazione d’attribuire qualsiasi problema sopraggiunto nell’impresa a una sua pretesa originaria inadeguatezza organizzativa.
L’esperienza applicativa di 20 anni di 231 ha visto numerosi e continui dibattiti. La giurisprudenza e la casistica hanno portato alla formulazione di regole astratte, ampiamente condivisibili in principio, ma sfuggenti nella loro declinazione pratica. È forse possibile tentare oggi un approccio nuovo, che non colpevolizzi sempre e comunque il ceto imprenditoriale. Il Tribunale di Roma ha recentemente tracciato un solco.
Vai all’articolo completo
HAI DELLE DOMANDE? CONTATTACI SU WAPP O LIVE CHAT
SCARICA GRATIS ALERT 231
Il servizio di aggiornamento veloce per gli Esperti 231
Clicca qui
ISCRIVITI AL
CORSO ON LINE ESPERTO 231
Clicca qui
ISCRIVITI AL
CORSO ON LINE ESPERTO MEMBRO ODV 231
Clicca qui
SOFTWARE 231 DOC PER REALIZZARE I MODELLI 231
Clicca qui
COLLANA EDITORIALE SOFTWARE 231
Clicca qui
