SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Â
Smau Bologna 2013 Giorgio Spedicato
1. LA LEGGE, LA TECNOLOGIA E
LA SICUREZZA DEI DATI E DEI SISTEMI:
DALLA NORMATIVA SULLA PRIVACY AI
MODELLI ORGANIZZATIVI E DI CONTROLLO
Avv. Giorgio Spedicato
2. CHI SONO
CHI Ă MPS&P
Managing Partner dello studio legale Monducci Perri Spedicato
& Partners.
Professore a contratto di Diritto della ProprietĂ intellettuale
presso la FacoltĂ di Giurisprudenza dellâUniversitĂ di Bologna
(polo didattico di Ravenna).
Dottore di ricerca in Informatica giuridica e diritto
dellâinformatica.
Lo Studio legale associato Monducci Perri Spedicato & Partners Ăš
una law boutique specializzata in proprietĂ intellettuale, diritto
delle nuove tecnologie e diritto dellâinnovazione con sede a Milano,
Bologna e Imola.
Affianca chi fa dellâinnovazione il proprio lavoro e il proprio
impegno quotidiani, supportandolo nellâattivitĂ day by day e
assistendolo nelle operazioni piĂč complesse.
3. INDICE
Overview del D.Lgs. 231/2001
I modelli di organizzazione e controllo
La redazione dei modelli di organizzazione e controllo
I modelli di organizzazione e controllo dopo lâabrogazione del DPS
Quali misure di sicurezza ora?
I side effects dellâadozione di un modello organizzativo 231/01 e il rapporto
con gli adempimenti privacy
4. IL SENSO DELLâEVOLUZIONE NORMATIVA
Prima del D.Lgs. 231/2001
Principio generale: societas delinquere non potest
Con lâintroduzione del D.Lgs. 231/2001
Cambio di prospettiva: viene istituita la responsabilitĂ amministrativa dellâente per
reati posti in essere da amministratori, dirigenti e/o dipendenti nellâinteresse o a
vantaggio dellâente stesso
La 231/2001 nasce per prevenire e contrastare la c.d. âcriminalitĂ dâimpresaâ: Si
ritiene che colpire il reale beneficiario del reato (lâente) piuttosto che il singolo
soggetto agente possa essere un efficace sistema preventivo e repressivo di alcune
ipotesi delittuose
6. AMBITO DI APPLICAZIONE SOGGETTIVO
Enti forniti di personalitĂ giuridica
SocietĂ e associazioni, anche prive di personalitĂ giuridicaâŠ
âŠivi incluse le imprese individuali (Cass. pen. n. 15657/2010)
7. EFFETTI
ResponsabilitĂ dellâente che si aggiunge
a quella personale del soggetto agente
Effetti diretti sul patrimonio dellâente
e indiretti sugli interessi di tutti i soci
8. MITIGAZIONE
Lâeffetto dirompente della disciplina Ăš mitigato da tre elementi:
i reati devono essere posti in essere da soggetti in posizione apicale o da
soggetti in posizione subordinata;
i reati che possono far sorgere questo tipo di responsabilitĂ sono
tassativamente individuati dal testo di legge (anche se sono molto
numerosi e il catalogo viene aggiornato spesso);
i reati devono essere commessi nellâinteresse o a vantaggio della societĂ o
dellâente.
9. I SOGGETTI
I soggetti idonei a commettere reati rilevanti ex D.Lgs. 231/01 possono essere
divisi in due categorie:
Soggetti in posizione apicale
Soggetti in posizione subordinata
10. SOGGETTI IN POSIZIONE APICALE
Per individuarli il Legislatore ha preferito utilizzare una formula basata su
un criterio funzionale
Rientrano in questa categoria tutti quei soggetti che esprimono la volontĂ
dellâente nei rapporti esterni e nelle scelte di politica dâimpresa attraverso
un potere di gestione, controllo e vigilanza, come ad esempio:
il legale rappresentante dellâente
gli amministratori
i direttori generali ex art. 2396 c.c.
i membri di comitati esecutivi
e tutti i soggetti dotati di rappresentanzaâŠ
11. SOGGETTI IN POSIZIONE SUBORDINATA
Non sono necessariamente solo i dipendenti dellâente
Anche in questo caso viene adottato un criterio funzionale (ma non
vengono considerati responsabili i soggetti che esercitano le funzioni di
vigilanza e controllo bensĂŹ coloro che le subiscono)
PerchĂš sorga responsabilitĂ commessa dai soggetti in posizione
subordinata, Ăš essenziale che questi operino sotto il diretto controllo del
soggetto apicale (Ăš sempre necessaria unâanalisi concreta
dellâorganigramma aziendale e dei poteri conferiti ai singoli soggetti)
12. I REATI PRESUPPOSTO
Lungo elenco di reati cc.dd. presupposto (in costante aggiornamento)
Quelli che riguardano piĂč specificamente il tema della sicurezza informatica
e della tutela della proprietĂ intellettuale sono:
frode informatica in danno dello Stato o di altro ente pubblico
delitti informatici e trattamento illecito di dati
fabbricazione e commercio di beni realizzati usurpando titoli di
proprietĂ industriale
delitti in materia di diritto dâautore
13. «NELLâINTERESSE O A VANTAGGIO»
PerchĂš sorga questo tipo di responsabilitĂ , Ăš necessario che i reati individuati
dalla norma siano commessi nellâinteresse o a vantaggio della societĂ , a nulla
rilevando, ad esempio, lâipotesi che il reato venga commesso a favore proprio o
di terzi. Nel caso in cui, invece, vi sia una commistione tra interesse personale
e aziendale, la responsabilitĂ dellâente non Ăš esclusa nĂš ridotta
Interesse: Ăš riferito alla condotta e sussiste quando lâautore del reato pone
in essere un comportamento finalizzato a far ottenere allâente un lucro o
comunque un obiettivo desiderabile, sebbene non immediatamente
lucroso
Vantaggio: Ăš riferito allâevento del reato e non presuppone il lucro ma puĂČ
tradursi nellâacquisizione di una qualche utilitĂ che consenta allâente di
conseguire una posizione di vantaggio
14. GRUPPI DI IMPRESE
Qualora una societĂ controllante tragga un interesse o un vantaggio, anche
mediato, dalla commissione di un reato previsto dal decreto da parte di una
controllata, sarĂ sanzionabile per responsabilitĂ amministrativa anche la
controllante.
(cfr. Cass. pen. Sez. V, 18 gennaio 2011, n. 24583)
15. SANZIONI
Le sanzioni previste dal d.lgs. 231/01 sono di quattro tipi:
sanzione pecuniaria
sanzioni interdittive
confisca
pubblicazione della sentenza
16. SANZIONE PECUNIARIA
à applicata per quote ed Ú compresa tra ⏠25.800 ed ⏠1.549.000
Nel determinare lâammontare effettivo della sanzione pecuniaria, il giudice
deve tenere conto dei seguenti criteri:
gravitĂ del fatto
grado di responsabilitĂ dellâente
attivitĂ svolta dallâente per eliminare o attenuare le conseguenze del
fatto e per prevenire la commissione di ulteriori illeciti
condizioni economiche e patrimoniali dellâente (allo scopo di assicurare
lâeffettivitĂ della sanzione, che potrebbe essere resa vana dalle maggiori
capacitĂ patrimoniali ed economiche dellâente medesimo)
17. SANZIONI INTERDITTIVE
Le sanzioni interdittive sono principalmente volte, per quanto possibile, ad
eliminare le condizioni oggettive e soggettive che hanno agevolato i fattori
criminogeni:
interdizione dallâesercizio dellâattivitĂ
sospensione o revoca delle autorizzazioni, delle licenze o delle
concessioni funzionali alla commissione dellâillecito
divieto di contrattare con la Pubblica Amministrazione, salvo che per
ottenere le prestazioni di un pubblico servizio
esclusione da agevolazioni, finanziamenti, contributi o sussidi ed
eventuale revoca di quelli giĂ concessi
divieto di pubblicizzare beni o servizi
18. CONFISCA
Con la sentenza di condanna si dispone sempre la confisca del prezzo o del
profitto del reato
Quando non sia possibile eseguire la confisca, questa potrĂ avere ad
oggetto anche somme di denaro, beni o altre utilitĂ di valore equivalente al
profitto del reato
19. ESONERO DELLA RESPONSABILITĂ
Il d.lgs. 231/2001 offre la possibilitĂ agli enti di essere esonerati dalla
responsabilitĂ qualora i medesimi:
si dotino ed abbiano efficacemente adottato specifici modelli organizzativi
e di gestione, idonei alla prevenzione di reati della medesima specie di
quello commesso, di modo che il reato venga commesso aggirando
fraudolentemente i predetti modelli di organizzazione e di gestione;
si dotino di un organismo di vigilanza ad hoc, dotato di autonomi poteri di
iniziativa e controllo, che abbia effettivamente esercitato le sue funzioni ed
i suoi compiti durante il momento di commissione del reato.
20. I MODELLI ORGANIZZATIVI
I modelli organizzativi devono:
individuare le attivitĂ nellâambito delle quali possono essere commessi i
reati
prevedere protocolli in base ai quali effettuare la programmazione e
lâattuazione delle decisioni relative ai reati da prevenire
individuare le modalitĂ di gestione delle risorse finanziarie idonee ad
impedire la commissione dei reati
prevedere obblighi di informazione verso lâorganismo deputato a vigilare sul
funzionamento e lâosservanza dei modelli stessi
introdurre un sistema disciplinare tramite il quale sanzionare il mancato
rispetto delle misure che sono indicate nel modello
21. COME REDIGERE IL MODELLO ORGANIZZATIVO
Le linee guida, in genere, suggeriscono di prevedere le seguenti fasi per la
definizione del âmodello 231â:
identificazione dei rischi
predisposizione e/o implementazione di un sistema di controllo idoneo a
prevenire i rischi attraverso lâadozione di specifici protocolli
âŠin una parola: analisi del rischio e policy, analogamente a quanto occorreva
fare per il DPS
22. RISK ASSESSMENT: UN ESEMPIO
Individuazione delle aree di rischio
Elaborazione delle regole interne atte a disciplinare il controllo delle aree di
rischio sopra identificate e a progettare misure volte a contrastare i rischi
eventualmente emersi
Gestione delle risorse strutturata in modo da assicurare allâattivitĂ di
individuazione e gestione del rischio gli stanziamenti necessari
Predisposizione di un apposito sistema disciplinare che consenta di
intervenire sanzionando chi trasgredisca alle prescrizioni elaborate in
seguito al processo di controllo esaminato. Per rispondere a tale esigenza si
adottano spesso dei protocolli interni che, oltre a un sistema di sanzioni
coerente e adeguato, contengano la disciplina delle procedure da seguire
nellâesecuzione di determinate attivitĂ aziendali
23. LE COMPONENTI PIĂ RILEVANTI
Redazione e sottoscrizione di un codice etico
Formalizzazione del sistema organizzativo, soprattutto per quanto attiene
allâattribuzione di responsabilitĂ , alle linee di dipendenza gerarchica e alla
descrizione dei compiti, con specifica previsione di principi di controllo
quali, ad esempio, la contrapposizione di funzioni
Procedure manuali e/o informatiche tali da regolamentare lo svolgimento
delle attivitĂ prevedendo gli opportuni punti di controllo
Poteri autorizzativi e di firma assegnati in coerenza con le responsabilitĂ
organizzative e gestionali definite, prevedendo, quando richiesto, una
puntuale indicazione delle soglie di approvazione delle spese
24. LE COMPONENTI PIĂ RILEVANTI
Sistemi di controllo e gestione in grado di fornire tempestiva segnalazione
dellâesistenza e dellâinsorgere di situazioni di criticitĂ generale e/o
particolare
Comunicazione al personale e sua formazione
Previsione di un adeguato sistema sanzionatorio per la violazione delle
norme del codice etico e delle procedure previste dal Modello
Autonomia, indipendenza, professionalitĂ e continuitĂ dâazione
dellâOrganismo di Vigilanza
25. IL CODICE ETICO
Ă il documento nel quale si racchiudono gli impegni e le responsabilitĂ
etiche nella conduzione degli affari e delle attivitĂ imprenditoriali
La funzione principale consiste nellâuniformare i singoli comportamenti,
cosĂŹ che il perseguimento degli interessi aziendali sia svolto in piena legalitĂ
26. ESEMPI DI REGOLE DEL CODICE ETICO
Non Ăš consentito offrire denaro o doni a dirigenti, funzionari o dipendenti
della P.A. o a loro parenti, salvo che si tratti di doni di modico valore
Non Ăš consentito accettare o offrire beni, servizi, prestazioni o favori per
ottenere un miglior trattamento in relazione ai rapporti con la P.A.
Non Ăš consentito assumere alle dipendenze della societĂ ex impiegati della
P.A. che abbiano partecipato personalmente ad operazioni poste in essere
tra lâente e la P.A.
Nel corso di una transazione con la P.A. non Ăš consentito proporre offerte
dâimpiego e/o commerciali che possano avvantaggiare dipendenti della P.A.
a titolo personale
27. LâORGANISMO DI VIGILANZA
Le migliori applicazioni dei modelli 231 hanno evidenziato come, per
garantire lâeffettivitĂ dei controlli inseriti nei modelli organizzativi, sia
necessaria la costituzione di un OdV
Tale entitĂ puĂČ essere sia monosoggettiva che plurisoggettiva
I parametri di cui tener conto sono le dimensioni e la complessitĂ
dellâazienda
Nelle piccole imprese, Ăš consentito che lâOdV coincida con lâorgano
dirigente, anche se la best practice in materia di audit prescrive sempre di
servirsi di consulenti esterni
28. REQUISITI DELLâODV
Indipendenza (viene nominato dal CdA ma risponde al Collegio sindacale)
Autonomia (Ăš svincolato dal potere gerarchico del management e dispone
autonomamente le proprie attivitĂ )
ProfessionalitĂ (allâinterno dellâOdV devono confluire diverse
professionalitĂ )
ContinuitĂ nellâazione (lâOdV non deve essere soggetto a continui o
repentini cambiamenti dei suoi componenti)
29. POSSONO SVOLGERE LE FUNZIONI DELLâODV
Il Comitato per il controllo di gestione
Il Collegio sindacale
Il Consiglio di sorveglianza
Lâorganismo di internal auditing
Eventuali organismi creati ad hoc
30. COSA FA LâODV
Vigila sulla corretta osservanza del modello da parte di tutti i soggetti tenuti
a rispettarlo
Valuta la concreta idoneitĂ del modello a prevenire comportamenti illeciti
Valuta la necessitĂ di ricorrere ad un aggiornamento del modello
Aggiorna, se necessario, il modello
31. ABROGAZIONE DELLâOBBLIGO DI AGGIORNAMENTO DEL DPS
Lâart. 45 del d.lgs. 9 febbraio 2012 n. 5 convertito nella l. 4 aprile 2012 n.
35, ha abrogato le norme del d.lgs. 30 giugno 2003 n. 196 (c.d. Codice
Privacy) nella parte in cui imponevano lâadozione del Documento
Programmatico sulla Sicurezza (e, quindi, lâart. 34, comma 1, lett. g) e ha
abrogato anche il comma 1-bis dello stesso articolo, che comprendeva i casi
di semplificazione.
Pertanto, a partire dallo scorso anno, i Titolari del trattamento che prima
erano obbligati non sono piĂč tenuti ad aggiornare il Documento
Programmatico sulla Sicurezza.
32. ABROGAZIONE DELLâOBBLIGO DI AGGIORNAMENTO DEL DPS
Da piĂč parti, peraltro, si caldeggia la conservazione dei DPS redatti in
vigenza dellâobbligo, in quanto potrebbero ancora essere richiesti in fase di
ispezione
In ogni caso, la semplificazione non Ăš intervenuta sulle altre misure di
sicurezza che, pertanto, continuano ad essere obbligatorie (e la cui
omissione, pertanto, continua ad essere sanzionata penalmente ed
amministrativamente)
33. GLI OBBLIGHI RELATIVI ALLE MISURE MINIME
Resta pertanto obbligo del Titolare e del Responsabile del trattamento,
secondo le specifiche di cui allâAllegato B al Codice Privacy:
impostare un sistema di autenticazione informatica
adottare procedure di gestione delle credenziali di autenticazione
utilizzare un sistema di autorizzazione
aggiornare periodicamente lâindividuazione dellâambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici
proteggere gli strumenti elettronici rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici
adottare procedure per la custodia di copie di sicurezza, il ripristino della
disponibilitĂ dei dati e dei sistemi
34. MODELLI ORGANIZZATIVI E D.P.S.
Alla luce dellâintervenuta abrogazione del DPS Ăš altamente probabile che, in
futuro, i controlli disposti dal Garante per la protezione dei dati personali
saranno svolti in modo piĂč capillare, anche accedendo, come consentito
dal Codice Privacy, al sistema informatico del titolare del trattamento.
Venendo a mancare il DPS, pertanto, lâunica modalitĂ attraverso la quale il
Garante potrĂ verificare lâeffettiva adozione delle misure minime, sarĂ
quella di disporre controlli diretti, anche mediante specifico accesso ai
sistemi, ai sensi dellâart. 159 del Codice Privacy.
35. MODELLI ORGANIZZATIVI E D.P.S.
Gli unici âpezzi di cartaâ contenenti (anche) prescrizioni in merito alla
sicurezza informatica e alle policy presenti in azienda che rimangono tra gli
ispettori e il sistema informatico, quindi, restano i modelli organizzativi ex
D.Lgs. 231/01.
Uno sguardo al futuro: le proposte di riforma della normativa comunitaria
in materia di privacy, richiamando i concetti di «privacy impact
assessment», «privacy by design», «privacy by default», sembrano
muoversi con le stesse logiche di fondo del D.Lgs. 231/01.
36. I MODELLI ORGANIZZATIVI, QUINDIâŠ
Contribuiscono a costituire, ormai, il solo âambienteâ di sicurezza
informatica e policy di utilizzo delle risorse informatiche presente in
azienda
Agevolano il raggiungimento di una visione olistica della sicurezza
informatica
Sono coadiuvanti nel caso in cui lâazienda voglia intraprendere un percorso
di certificazione
37. I SIDE EFFECTS DELLâADOZIONE DEI MODELLI 231
Lâattuazione di quanto previsto dal d.lgs. 231/01 porta, oltre alla conformitĂ normativa, i
seguenti vantaggi:
accesso a commesse di significativo rilievo, per le quali viene richiesto, da parte di soggetti
pubblici o da grandi committenti privati, lâattuazione dei modelli previsti dal d.lgs. 231/01
incremento della fiducia dei soggetti terzi in tutte le operazioni societarie (es.: fusione;
acquisizione o cessione di quote o di azioni; acquisizione o cessione di pacchetti di controllo;
vendita di rami di azienda; ingresso di nuovi soci; strutturazione o modifica dei gruppi
societari; operazioni con partners esteri; operazioni di co-branding; etc.), con possibilitĂ di
ottenere una migliore valutazione economica
incremento della fiducia da parte dei clienti nel caso in cui si abbia unâefficace sistema di
tutela del trattamento dei dati personali
prevenzione dei rischi economici connessi alla condanna penale del soggetto e/o al
pagamento di rilevanti sanzioni pecuniarie in conseguenza di una mancata ottemperanza alle
misure minime di sicurezza
38. I SIDE EFFECTS DELLâADOZIONE DEI MODELLI 231
prevenzione dei rischi economici connessi alla condanna dellâente a sanzioni pecuniarie,
interdittive ed alle altre sanzioni previste dal d.lgs. 231/01 (in conseguenza di eventuali
azioni criminose dei soggetti collocati in posizione apicale o dei loro sottoposti) e miglior
capacitĂ di risposta in caso di ispezioni a norma del Codice Privacy
miglioramento dellâefficienza interna dellâazienda
miglioramento delle capacitĂ di gestione dei rischi e di reazione di fronte agli eventi
critici
incremento del livello di percezione di âeticitĂ â dellâente
veicolazione di immagine piĂč solida, onesta, âpulita â, dellâente presso tutti gli
stakeholders (compreso clienti, fornitori, istituzioni), con riflessi sul posizionamento
dellâente nel mercato
possibilitĂ di gestire al meglio le eventuali controversie che dovessero instaurarsi coi
propri prestatori di lavoro
39. SUGGERIMENTI FINALI
Dotarsi di un adeguato modello organizzativo anche qualora non si rientri
tra i soggetti espressamente indicati dalla normativa, in quanto Ăš sempre
possibile unâestensione giurisprudenziale
Prevedere procedure efficaci di verifica della corretta applicazione della
normativa, soprattutto in merito allâattivitĂ di controllo che dovrĂ essere
condotta dallâOrganismo di Vigilanza
Convogliare, allâinterno dei modelli organizzativi, le prescrizioni aziendali in
tema di sicurezza e trattamento dei dati
40. STUDIO LEGALE ASSOCIATO
MILANO
Via Larga, 6
20122 Milano
Tel. 02.89926248
Email: milano.desk@mpslaw.it
BOLOGNA
Via dellâIndipendenza, 36
40121 Bologna
Tel. 051.7878043
Email: bologna.desk@mpslaw.it
IMOLA
Via Garibaldi, 40
40026 Imola (Bo)
Tel. 0542.30702
Email: imola.desk@mpslaw.it
GRAZIE DELLâATTENZIONE!
Avv. Giorgio Spedicato
email: giorgio.spedicato@mpslaw.it