Covid-Audit-ODV-Controlli

Il ruolo dell’Organismo di Vigilanza: dal COVID-19 alla Privacy

17 June 2020

di Marco CASSARO

L’emergenza epidemiologica da Covid-19 ha alzato nuovamente l’attenzione sui rischi che le imprese, sono chiamate ad affrontare con particolare riferimento alle tematiche della responsabilità amministrativa degli enti ex D.Lgs n. 231/2001 nonché quelli Privacy.

In quest’ottica, il presente contributo ha l’obiettivo di fornire non solo gli spunti normativi a cui riferirsi quando si affronta il delicato ruolo dell’OdV nelle tematiche Covid-19 e Privacy ma anche quello di suggerire alcune attività operative che le Società dovranno porre in essere per garantire un presidio adeguato del rischio al fine di raggiungere la compliance normativa.


ODV E COVID-19,  QUALI I PRINCIPALI COMPITI

Partendo da quanto previsto dall’art. 6 comma 1 lett. b) del D.Lgs 101/2001(1) che testualmente segnala come all’organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo (i.e. Organismo di Vigilanza) sia attribuito il compito di vigilare sul funzionamento e l’osservanza dei modelli adottati, è importante sottolineare, così come anche ribadito dall’Associazione dei Componenti degli Organismi di Vigilanza tramite documento elaborato in data 4 maggio 2020(2), che nessun compito gestorio o consulenziale può essere oggi attribuito ai membri interni e/o esterni degli Organismi di Vigilanza.

Ciò detto, tuttavia, permane nei confronti di tale Organismo e nel contesto emergenziale una rafforzata necessità di vigilanza sulla corretta ed efficace implementazione del Modello adottato dai singoli Datori di Lavoro, nonché sulle misure attuate dall’Azienda in ottemperanza alle prescrizioni delle Autorità.

Ecco, dunque, che sotto il profilo operativo è possibile, da un certo punto di vista ed a titolo esemplificativo, stilare una serie di attività(3) che i membri degli Organismi di Vigilanza saranno tenuti a rispettare. Fra queste:

  • intensificazione dei flussi informativi e comunicativi da parte dell’Azienda sul funzionamento e sull’osservanza del Modello, ivi comprese quelle relative alla gestione dell’emergenza Coronavirus;
  • elaborazione di input informativi verso l’Azienda in merito ai provvedimenti emergenziali e alle indicazioni extra normative, con richiesta di informazioni circa i conseguenti adempimenti da parte della società; gli stessi potranno riguardare tra i molti:
    • la costituzione di un Comitato di Crisi interno per la gestione dell’emergenza (è parere di chi scrive che non sia coerente con i compiti di vigilanza attribuiti all’OdV che lo stesso ne faccia parte, anche in considerazione delle funzioni operative e gestorie attribuite generalmente al Comitato);
    • le ulteriori azioni intraprese e previste dal “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 ne-gli ambienti di lavoro” (sottoscritto con le parti sociali il 14 marzo 2020) così come aggiornato al 24 aprile 2020(4);
    • sulla scorta del punto precedente la formale adozione di un Protocollo Operativo il quale descriva le azioni intraprese e le decisioni assunte su tematiche quali modalità di ingresso, pulizia e sanificazione, precauzioni igieniche personali, utilizzo dei relativi Dispositivi di protezione individuale (cd. DPI), gestione degli spazi comuni, organizzazione aziendale (turnazione, trasferte, smart working, etc.), gestione di entrata ed uscita dei dipendenti etc.;
  • l’analisi da parte del Datore di Lavoro della necessità o meno di aggiornare anche solo tramite specifico addendum del Documento valutazione Rischi (cd. DVR);
  • la ricezione e l’analisi delle eventuali segnalazioni (compreso il Whistleblowing);
  • il confronto con gli organi di controllo societario (Collegio Sindacale e Revisore dei Conti).

È quindi opportuno che l’OdV:

  1. da un lato, si accerti che le disposizioni normative siano monitorato dall’impresa ed applicate e,
  2. dall’altro, ottenga in modo tempestivo dal datore di lavoro, dalle funzioni aziendali coinvolte e dagli organi preposti alla gestione, degli adeguati flussi informativi sulle misure concretamente implementate.

Resta in capo all’Organismo, anche la prerogativa di stimolare l’adeguamento o l’adozione delle misure anti-contagio in caso di inerzia dell’impresa; Impresa su cui in ogni caso rimane l’onere sulla decisione e sulla conseguente attività operativa.

Si ricorda, infine, la necessità che anche l’attività di vigilanza realizzata trovi corrispondenza in un’adeguata reportistica, assicurando così la tracciabilità di tale documentazione.

ODV E PRIVACY,  QUALE IL RUOLO ALL’INTERNO DEL MODELLO ORGANIZZATIVO PRIVACY E QUALI LE ATTIVITÀ DEL TITOLARE DEL TRATTAMENTO

Approfondito il ruolo dell’OdV in ambito Covid-19 di particolare interesse è poi il caso controverso in relazione alla posizione dell’Organismo di Vigilanza all’interno del modello organizzativo Privacy (tenuto anche conto dell’insieme dei dati personali, a volte anche di natura particolare, che gli stessi possono essere chiamati a trattare). A tal riguardo e come certamente si ricorderà vi erano internamente alla dottrina una serie di pareri discordanti che volevano l’Organismo di vigilanza:

1. ora quale Titolare autonomo, in considerazione degli autonomi poteri di iniziativa e controllo che gli vengono attribuiti da normativa 231/2001;

2. altre volte come Responsabile al trattamento dei dati con tutte le implicazione sanzionatorie e di responsabilità che tale designazione comporta;

3. e, da ultimo, come organo interno della struttura aziendale e quindi non come titolare o responsabile ma come soggetto autorizzato al trattamento ex art. 29 del GDPR(5) e 2 quaterdecies del D.Lgs 101/2018(6).

A tal proposito e per dissipare in parte i dubbi sorti negli ultimi anni, è intervenuta l’Autorità Garante per la Protezione dei dati personali, la quale, con risposta ai quesiti sottoposti con nota del 16 ottobre 2019 dall’Associazione dei Componenti degli Organismi di Vigilanza, lo scorso 12 maggio 2020 ha espresso il suo parere(7) sulla qualificazione soggettiva ai fini Privacy dell’Organismo, chiarendo così l’annosa questione.

Infatti, si legge nel parere, che pur ritenendo l’OdV dotato di autonomi poteri di iniziativa e controllo, l’Autorità ha stabilito che non si possa considerare l’Organismo quale:

1. autonomo titolare del trattamento, così come definito dall’art. 4, n. 7 del GDPR, considerato che:

  • i compiti di iniziativa e controllo propri dell’OdV non sono determinati dall’organismo stesso, bensì dalla legge che ne indica i compiti e dall’organo dirigente che nel modello di organizzazione e gestione definisce gli aspetti relativi al funzionamento compresa l’attribuzione delle risorse, i mezzi e le misure di sicurezza (art. 6, commi 1 e 2 d.lgs. n. 231/2001);
  • l’OdV non può essere imputata una responsabilità penale in ordine all’eventuale commissione di reati rilevanti ai sensi del d.lgs. n.231/2001 nel caso di omessi controlli, posto che tale organismo, pur avendo funzioni di vigilanza e controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato, così che, anche in caso di inerzia dell’OdV, la responsabilità ricade sull’ente che non potrà avvalersi della discriminante prevista dall’art.6, comma 1 d.lgs n.231/2001 (resta ferma invece la responsabilità di natura contrattuale dell’OdV nei confronti dell’ente per inadempimento delle obbligazioni assunte con il conferimento dell’incarico);
  • l’OdV non ha l’obbligo di denuncia all’Autorità giudiziaria in relazione agli illeciti di cui viene a conoscenza a causa e nell’esercizio delle sue funzioni (obbligo che grava invece sull’ente all’uopo informato dall’OdV) né è l’organismo investito di poteri disciplinari nei confronti degli autori degli illeciti, poteri che rimangono in capo all’ente ai cui vertici aziendali l’OdV è tenuto a segnalare le violazioni accertate, proponendo, al contempo, l’adozione delle necessarie sanzioni;

2. responsabile del trattamento, così come definito dall’art. 4, n. 8 del GDPR considerato che:

  • l’OdV non è distinto dall’ente, ma è parte dello stesso, e pertanto non è chiamato ad effettuare un trattamento “per conto del titolare”, ovverosia una “persona giuridicamente distinta dal Titolare, ma che agisce per conto di quest’ultimo” secondo le istruzioni impartite dal titolare stesso (art. 28 del GDPR);
  • il GDPR, ha comunque introdotto delle novità in ordine alla figura del responsabile del trattamento, prevedendo, in funzione della gestione dei dati svolta per conto del titolare, una serie di obblighi individuati dagli artt. 30, 33, par. 2, 37 e 82 del Regolamento stesso anche di natura sanzionatoria difficilmente coniugabili con le attività svolte dall’Organismo di vigilanza.

Pertanto, e sulla base delle valutazioni sopra riportate è stato ritenuto che i membri dell’OdV, nel loro complesso, a prescindere dalla circostanza che i soggetti che lo compongano siano interni o esterni, debbano essere considerati “parte dell’ente” e che il loro ruolo – che si esplica nell’esercizio dei compiti che gli sono attribuiti dalla legge, attraverso il riconoscimento di “autonomi poteri di iniziativa e controllo” – si svolga quali Soggetti Autorizzati a norma degli artt. 4, n. 10, 29, 32 par. 4 del GDPR e dell’art. 2-quaterdecies del D.Lgs 101/2018.

Nell’ambito dunque di ciascuna organizzazione ed in conseguenza del parere rilasciato, il Titolare del Trattamento dovrà:

  • aggiornare il proprio modello organizzativo Privacy, definendo il perimetro e le modalità di esercizio dei compiti attribuiti ai membri dell’Organismo di vigilanza;
  • elaborare specifiche lettere di autorizzazione per i soggetti componenti l’Organismo al fine di istruire e correttamente informare i soggetti stessi a norma degli art. 29 del GDPR e 2-quaterdecies del D.Lgs 101/2018 delle specifiche attività di trattamento nonché delle regole di comportamento da mantenere in materia;
  • aggiornare, ove necessario, il Registro delle attività di trattamento redatto ex art. 30 comma 1 del GDPR;
  • adottare le misure tecniche e organizzative idonee a garantire la protezione dei dati trattati, assicurando contestualmente all’OdV l’autonomia e l’indipendenza rispetto agli organi di gestione societaria nell’adempimento dei propri compiti secondo le modalità previste dalla citata normativa.

Unica nota stonata, che non chiude il cerchio e lascia ancora qualche dubbio, riguarda la posizione che l’OdV assume in relazione alle segnalazioni effettuate nell’ambito della normativa di Whistleblowing.

Infatti, sul punto, il Garante Privacy ha precisato che l’oggetto del suo pronunciamento ha riguardato esclusivamente la posizione soggettiva che l’OdV assume, ai fini Privacy, con riferimento ai flussi di informazioni ai sensi dell’art. 6, commi 1 e 2 del D.lgs. n. 231/2001, ma non il binomio OdV-Whistleblowing; sul quale ancora ci si interroga.

CONCLUSIONI

L’assoluta imprevedibilità della situazione emergenziale deve portare ogni singola Azienda ad un comportamento responsabile e critico rispetto al modello organizzativo adottato, ed in tale contesto, è fondamentale che ciascun ingranaggio della struttura organizzativa operi all’interno del proprio ambito di competenza, nei limiti del proprio ruolo, con diligenza e professionalità.

In questo senso se da un lato è auspicabile che gli OdV, vigilando sul funzionamento e sull’osservanza del Modello e curandone l’aggiornamento, agiscano per quanto di loro competenza amplificando, le attività prevenzionistiche che tutte le aziende stanno ponendo in essere dall’altro il Datore di lavoro non può e non deve pensare che la presenza all’interno della propria struttura organizzativa di un organismo dotato di autonomi poteri di iniziativa e di controllo lo sollevi dalle sua responsabilità gestoria e di scelta.

 

Intervento del Dott. Marco CASSARO,  Senior / Advisory Risk & Compliance  –  BDO Italia S.p.A.

 


Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1)   D. Lgs. 231/2001 – Responsabilità degli Enti

(2)   AODV231, Doveri e ambiti di attivazione dell’OdV in relazione al rischio di contagio da Covid-19 nelle aziende  –  Maggio 2020

(3)   Confindustria,  La responsabilità amministrativa degli Enti ai tempi del Covid-19 – Prime indicazioni operative  –  Giugno 2020

(3)   CNDCEC,  Vigilanza e modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001 nell’emergenza sanitaria  –  Aprile 2020

(4)   Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro  –  24 aprile 2020

(5)   Regolamento (UE) 2016/679 – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – GDPR

(6)   D.Lgs. 101/2018

(7)   Garante Privacy, Parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231  –  12 Maggio 2020



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *