Articoli

News #32: i chiarimenti di INL sulla Trasparenza; data breach per Twilio; nuovi incentivi per la gestione dei rifiuti elettronici in azienda.

Immagine di copertina di Ray Hennessy grazie a Unsplash.

  • PRIVACY

D. LGS. TRASPARENZA – L’Ispettorato Nazionale Lavoro (“INL”) ha emanato una circolare, d’intesa con il Ministero del Lavoro, che contiene le “prime indicazioni di carattere operativo” sulla interpretazione di alcuni passaggi dell’ormai famoso D.Lgs. 104/2022, che è entrato in vigore lo scorso 13 agosto. Tra i numerosi spunti – tutti da verificare nella pratica – rileva la possibilità di avvalersi del “mezzo elettronico” per tutte le comunicazioni da effettuare a favore dei lavoratori (informative, istruzioni, ecc.). In relazione alla norma ed ai “nuovi” adempimenti privacy introdotti, segnaliamo poi l’interessante spunto di analisi offerto da Antonio Ciccia Messina su LinkedIn, qui.

UE-GIAPPONE – L’EDPS (European Data Protection Supervisor) ha annunciato di aver emesso un parere circa la possibilità che, nell’esecuzione di un partenariato UE-Giappone, vengano trasferiti anche flussi di dati personali. Sebbene il Giappone sia già dal 2019 considerato un “paese adeguato”, l’EDPS ha espresso il suo parere in termini di necessità di ulteriori e specifici negoziati. In particolare, l’obiettivo sarebbe quello di prevedere – seppur limitatamente a casi espressamente giustificati – l’adozione di misure che comportino la conservazione dei dati nell’ambito dell’UE o, comunque, dello Spazio Economico Europeo (SEE).

CNIL VS. CRITEO – Sebbene non sia ancora stata comminata alcuna sanzione definitiva, la notizia è già diventata virale: il CNIL avrebbe in serbo per il colosso Criteo una sanzione di ben 65 milioni di dollari. L’accusa sarebbe quella di aver violato il GDPR e, più nello specifico, di aver effettuato attività di tracciamento e profilazione in mancanza di una base giuridica valida. Nei giorni scorsi l’Autorità francese – così come prescritto dalla normativa vigente – ha informato Criteo dell’andamento della denuncia a proprio carico. Rimaniamo ora in attesa della definitiva decisione sul caso.

DATA BREACH IN TWILIO – Il sito ufficiale del fornitore di servizi di comunicazione con base USA (SMS automation in particolare) ha rilasciato una news sul proprio blog in cui riporta di aver subito un “social engineering attack” che ha compromesso dati di dipendenti e clienti, scoperto in data 4 agosto. I clienti coinvolti hanno ricevuto una e-mail di alert con una serie di istruzioni e chiarimenti ulteriori.

  • D.LGS. 231

ANTICORRUZIONE – L’Autorità Anticorruzione italiana (ANAC) ha recentemente lanciato un nuovo portale per fornire ai cittadini degli indicatori “oggettivi” al fine di valutare l’intensità del rischio di verificazione di eventi corruttivi. Attraverso il portale – denominato “Misura le corruzione” – l’utente potrà valutare il rischio di ciascuna città o provincia italiana. Tre le macro aree tematiche individuate: indicatori di contesto, rischio corruttivo negli appalti e rischi a livello comunale.

AMBIENTE E RIFIUTI DIGITALI – Pubblicato di recente in Gazzetta Ufficiale il Decreto del Ministero della Transizione Ecologica che mira ad incentivare l’introduzione volontaria dei sistemi certificati di gestione ambientale disciplinati dal Reg. UE (CE) 2009/1221. Si prevede un contributo sino a 15 mila euro per consulenza e attività di certificazione, qualora non si disponga ancora di tali sistemi di gestione.

  • MERCATI DIGITALI

MEDIASET VS. VIMEO – Notizie di stampa riportano che anche il giudizio di appello nella controversia in materia di copyright tra il colosso italiano e la piattaforma Vimeo è andato a favore della prima: confermata la sanzione da 8,5 milioni di euro per violazione dei diritti d’autore su migliaia di filmati tratti da programmi televisivi della media company. La decisione si innesta in un solco già ampiamente tracciato a livello europeo.

GOOGLE E LA TRASPARENZA – Sarà lanciata a breve anche in Italia la funzione “Informazioni su questo risultato”, con cui la big di Mountain View punta a rafforzare la sua “operazione trasparenza” chiarendo all’utente le ragioni per cui vengono mostrati certi risultati nella ricerca sul web. Si segnala, in proposito, anche una e-mail inviata da Google ai propri utenti non paganti (account free) in cui viene ricordato che i servizi offerti sono gratuiti propri grazie alla pubblicità con cui la big tech si finanzia.

WHATSAPP E LA PRIVACY – Con un annuncio tramite Facebook, Mark Zuckerberg ha dichiarato l’arrivo di nuove funzioni “privacy” all’interno del popolare sistema di messaggistica immediata, tra cui il divieto di effettuare screenshot delle chat istantanee e la possibilità di uscire “silenziosamente” dai gruppi.

MUSK-TWITTER – Elon Musk ha venduto azioni di Tesla per un ammontare complessivo di quasi 7 miliardi di dollari. Secondo indiscrezioni, la decisione sarebbe strettamente correlata al caso Twitter: temendo un eventuale giudizio contrario nella causa contro il social network, Musk starebbe cominciando a trovare i fondi necessari per l’acquisto dello stesso, nel caso in cui gli esiti dovessero rivelarsi per lui sfavorevoli.

  • NEWS DAL MONDO

RUSSIA – Il prossimo 1 settembre entreranno in vigore in Russia nuove disposizioni in materia di trattamento di dati personali. Lo scorso 11 agosto il Roskomnadzor, Servizio federale per la supervisione delle comunicazioni, della tecnologia, dell’informazione e delle comunicazioni, ha reso disponibile una sintesi delle imminenti modifiche legislative. Tra le nuove previsioni, l’obbligo di comunicazione di fughe di dati e la previsione di pene più severe in caso di trattamento illegale, da considerarsi come vero e proprio “atto criminale”.

FRANCIA – L’Autorità garante per la protezione dei dati francese (CNIL) ha recentemente pubblicato degli strumenti didattici indirizzati al settore sportivo non agonistico, finalizzati a garantire il rispetto della normativa privacy dettata dal GDPR. Tra gli obiettivi dichiarati dell’Autorità, quello di fornire i medesimi strumenti anche per il settore professionistico.

BANGLADESH – Il Dipartimento delle tecnologie, dell’informazione e della comunicazione bengalese ha emanato un progetto di legge in materia di protezione dei dati, il cui ambito di applicazione territoriale si espanderà anche oltre i confini del Bangladesh. Come specificamente dichiarato nel corpo della bozza, la normativa non si applicherà al trattamento di dati anonimi, crittografati e pseudonimizzati.

AUSTRALIA – Sono al vaglio del governo locale le ipotesi di riforma del “Privacy Act 1988”, nell’ottica di tenere in considerazione la legislazione europea (GDPR in particolare) come standard di trasparenza ed efficacia a cui ispirarsi: l’OIAC, commissioner locale simile alle nostre autorità garanti, ha espresso un dettagliato parere in proposito.

SINGAPORE – L’autorità locale per la trasparenza monetaria (MAS) ha pubblicato un paper sull’analisi del rischio operazionale delle terze parti, all’esito di una approfondita ispezione di diverse banche aventi sede nel territorio. Interessanti i controlli e le indicazioni di governance formulate, specifiche per il settore bancario.

News #31: la Corte UE “estende”​ i dati sensibili; sciarpe “smart”​ allo stadio; nel patteggiamento 231 l’ente non paga le spese processuali.

Immagine di copertina di Kalen Emsley grazie a Unsplash

  • PRIVACY

MATOMO, GA4 E I LORO FRATELLI – Mentre i dubbi continuano riguardo a Google Analytics 4 e alla sua (improbabile, a quanto pare) conformità al GDPR, salvo cambiamenti, emergono informazioni interessanti sui suoi competitor. Tra di essi Matomo, che – avendo avuto grande esposizione mediatica – sta venendo analizzato con sempre maggiore attenzione, e che presenta anch’esso potenziali profili di rischio a seguito del (dichiarato) utilizzo di soluzioni cloud offerte da Amazon Web Services (tramite la controllata neozelandese), in particolare per l’offerta di strumenti di CDN.

LA CGUE INTERPRETA I DATI PARTICOLARI – Una recentissima decisione dell’alta Corte UE (C-184/20) riguardo ad un caso lituano sembra aver aperto la strada per una interpretazione molto ampia di cosa costituisca un “dato particolare” ai sensi del GDPR. In particolare, la decisione ha ad oggetto i cosiddetti “dati inferiti”, cioè quelli derivati da altri dati personali: anche il dato derivato, insomma, è “particolare” se rivela – come nel caso di specie – un orientamento sessuale (o rientra comunque nella casistica di cui all’art. 9 GDPR). Tempi duri per servizi online come quelli di dating, di salute, o di pubblicità su temi “sensibili”?

BLOCKCHAIN VS. GDPR – Un report pubblicato da Bloomberg pone dei seri – e molto interessanti – quesiti sulla convivenza tra i diritti esercitabili in base alla normativa europea e la sostanziale “eternità” delle informazioni immagazzinate attraverso la blockchain, soprattutto riguardo a diritti di rettifica e “oblio”. Non solo: l’incertezza legale può arrivare a riguardare anche il concetto di “dati crittografati”, che con la blockchain rende complesso concedere uno dei diritti fondamentali, quello di accesso.

SCIARPA SMART – Ha fatto notizia l’avvio di una fase di test della “smart scarf” da parte del team inglese del Manchester City, che raccoglie dati utilizzando una serie di sensori a contatto con il collo e le spalle del tifoso che la indossa. Molto interessante come il club abbia rilevato i momenti di maggior interesse, emozione e coinvolgimento dei tifosi oggetto del pilota, lungo il corso dei 90 minuti di partita, tra cui il battito cardiaco e la temperatura corporea.

  • D. LGS. 231

PATTEGGIAMENTO – Con una recentissima sentenza (n. 30610 dello scorso 3 agosto, consultabile gratuitamente per gli iscritti all’associazione AODV231) la Suprema Corte di Cassazione ha stabilito che, in caso di patteggiamento, l’ente non può essere condannato al pagamento delle spese processuali. Secondo l’orientamento dei giudici di Piazza Cavour, infatti, l’istituto della applicazione della pena previsto per le persone giuridiche non è perfettamente sovrapponibile a quello previsto per le persone fisiche (che non prevede il beneficio dell’esenzione dalle spese).

WHISTLEBLOWING –  Lo scorso 2 agosto la Camera dei Deputati ha approvato in via definitiva il Disegno di Legge recante la delega al Governo per poter – finalmente – recepire anche all’interno del nostro ordinamento la Direttiva UE 2019/1937 (cd. Direttiva Whistleblowing). La Direttiva, come è ormai noto, avrebbe dovuto essere recepita in tutti gli Stati Membri entro il 21 dicembre dello scorso anno, tuttavia moltissimi sono stati i Paesi che – proprio come l’Italia –  non hanno provveduto nei termini stabiliti. Aggiunto il tassello del voto della Camera, non ci resta che aspettare il Decreto Legislativo dell’Esecutivo.

MALVERSAZIONE – Ai fini della sussistenza del reato di malversazione (di cui all’art.316-bis c.p.) non è necessario che il finanziamento sia erogato dallo Stato, essendo sufficiente che il denaro sia concesso in presenza di una garanzia pubblica. A stabilirlo è la Cassazione (con la sentenza  n. 28416 dello scorso 19 luglio).

RAPPRESENTANZA PROCESSUALE DELL’ENTE –  La Corte di Cassazione ha recentemente stabilito (con la sentenza n. 28963) che gli amministratori indagati o imputati per il reato-presupposto non possono rappresentare l’ente in giudizio. A fondamento di tale decisione, la Corte ribadisce il tenore dell’articolo 39 del Decreto 231, secondo il quale l’ente non può partecipare al procedimento per il tramite del proprio rappresentante, nel caso in cui questi risulti coinvolto in prima persona nello stesso. Una tale inderogabile previsione è necessaria per assicurare e garantire pienamente il diritto di difesa della persona giuridica.

  • MERCATI DIGITALI

YOUTUBE-AGCOM – L’Autorità per le garanzie nelle comunicazioni ha recentemente sanzionato Youtube (di proprietà di Google) per ben 750 mila euro. Alla base del provvedimento la diffusione, da parte della piattaforma, di pubblicità del gioco d’azzardo, comportamento vietato dall’art. 9 del Decreto Dignità (D.L. 87/2018).

AMAZON COMPRA ROOMBA – Il colosso di Jeff Bezos ha annunciato di aver acquisito la casa produttrice di iRobot, l’aspirapolvere auto-gestito tra i più diffusi nel mondo, così rafforzando la sua posizione di fornitore di beni, oltre che di servizi. Non va dimenticato, tra l’altro, che il Roomba mappa la geometria di casa per fornire il miglior servizio, conoscendo così – di fatto – dove e come viviamo.. al centimetro.

PROCESSO PENALE TELEMATICO – Il Consiglio dei Ministri ha approvato il Decreto Legislativo che dà il via alle tecnologie informatiche nel settore penale, intervenendo ad esempio su notificazioni per via telematica e trasmissione dei fascicoli tra gli uffici giudiziari, evitando così che tali adempimenti impieghino mesi o anni, come oggi.

  • NEWS DAL MONDO

RUSSIA – Anche WhatsApp finisce nel mirino del Roskomnadzor, il Servizio federale per la supervisione delle comunicazioni, delle tecnologie, dell’informazione e dei mass media. Così come era successo ad altri big del settore digitale, anche WhatsApp viene sanzionato per non aver conservato all’interno del territorio federale russo una copia della documentazione attestante che il trattamento dei dati dei cittadini russi fosse avvenuto sul territorio dello stato.

REPUBBLICA CECA – L’UOOU (Ufficio per la protezione dei dati personali ceco) ha inflitto, lo scorso 1 agosto, una pesante ammenda nei confronti del Ministero dell’Interno locale per violazione della “Legge sulla polizia” nazionale. In particolare, è stato sanzionato il trattamento di dati sanitari (e, dunque, particolari) caricati dai cittadini su una app dedicata alla quarantena.

BASSA SASSONIA – L’Autorità garante della Bassa Sassonia ha recentemente inflitto una salata sanzione (per ben 900 mila euro) a un istituto di credito per aver trattato dati personali senza avere a supporto una base giuridica sufficiente. In particolare, l’ente sanzionato avrebbe tratto dati personali – addirittura anche di ex clienti – senza consenso, sulla sola base dell’insufficiente legittimo interesse.

INDIA – A seguito di una mozione alla Camera bassa, riporta Data Guidance, il Governo locale ha cancellato il “data protection bill” del 2019, mentre è in corso di diffusione per pubblica consultazione la nuova norma che lo andrà a sostituire.

Organismo di Vigilanza: compiti, requisiti e responsabilità

L’organismo di vigilanza è un organo introdotto nel nostro ordinamento dal D. Lgs. 231/ 2001– che lo scorso 8 giugno ha compiuto 21 anni, diventando così maggiorenne in tutti gli stati del mondo – istituito al fine di vigilare sulla corretta applicazione del modello di organizzazione, gestione e controllo (cd. MOGC) e dei protocolli in esso previsti, in tutti quei casi in cui gli operatori imprenditoriali decidano di dotarsene.

È importante ricordare, infatti, che l’adozione del modello di organizzazione e gestione e la correlata istituzione di un organismo di vigilanza (anche “OdV”) sono rimesse alla facoltà di ciascuna entità produttiva; il legislatore lascia dunque loro piena libertà di decidere se equipaggiarsi o meno di questi strumenti di compliance.

L’OdV riveste nel panorama aziendale un ruolo centrale ed insostituibile: soltanto laddove questo funzioni in maniera corretta – attraverso una scrupolosa attività di vigilanza sull’osservazione del modello e di aggiornamento dello stesso, ove necessario – la società che lo ha nominato sarà in grado di ottenere l’esimente prevista dall’art. 6 del Decreto 231 in relazione ai reati-presupposto commessi da soggetti operanti al suo interno.

Cosa ci dice l’articolo 6

L’art. 6 comma 1, lettere b) e d) del D. Lgs 231/2001 stabilisce che l’ente può essere esonerato dalla responsabilità conseguente alla commissione di illeciti da parte di un dipendente – apicale o sottoposto – se:

  • prova che “il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” e
  • non vi è stata omessa o insufficiente vigilanza da parte dell’organismo”.

Già dai primi articoli il Decreto esprime in maniera chiara ed evidente la necessità che il modello, una volta adottato, non rimanga relegato allo stato di mero adempimento formale.

La corretta attuazione del MOGC passa, come è evidente, inevitabilmente attraverso una costante attività di controllo e vigilanza dei protocolli e delle procedure in esso previste, nonché di adeguamento laddove le stesso dovessero risultare in corso d’opera inadeguate al perseguimento degli obiettivi di tutela fissati dalla normativa 231.

Affinché tali attività vengano svolte nel migliore dei modi dall’OdV, la legge richiede la sussistenza nei suoi (o nel suo, a seconda dei casi) membri di particolari requisiti.

Composizione: monocratica o collegiale?

La legge non fornisce precise indicazioni per quanto concerne la composizione dell’OdV; agli operatori del settore è dunque demandata la scelta di optare tra un organismo monocratico o collegiale.

Sebbene la scelta sia sostanzialmente libera, è prassi consolidata quella di optare per un organismo collegiale (formato da componenti interni o esterni all’ente), soprattutto nelle strutture aziendali di grandi dimensioni e maggiormente articolate.

In questi casi, se l’ente ha natura di società di capitali, l’art. 6 del Decreto 231 comma 4 bis, il ruolo di OdV può essere ricoperto dal collegio sindacale, dal consiglio di sorveglianza e dal comitato per il controllo della gestione.

La scelta deve, in altre parole, sempre rispecchiare la complessità delle attività che l’organismo è chiamato a gestire: se optare per un Organismo di Vigilanza monocratico risulterebbe delicato e foriero di problematiche per una multinazionale, potrebbe certamente essere la soluzione ottimale per una piccola impresa in cui l’organizzazione interna non è particolarmente strutturata.

Proprio per tali ragioni, l’art. 6 comma 4 prevede la possibilità che nelle piccole imprese sia addirittura lo stesso organo dirigente a ricoprire il ruolo di OdV.

Requisiti

In considerazione delle delicate funzioni che la legge demanda alla competenza dell’Organismo di Vigilanza, si richiedere che i suoi membri siano dotati di particolari requisiti, elaborati dalla giurisprudenza sulla base di quanto espresso nel decreto 231.

Autonomia e indipendenza: la posizione dell’organismo di vigilanza deve essere tale da garantire un’azione di controllo autonoma, ossia svincolata da ogni forma di condizionamento proveniente da componenti dell’ente, in particolare dall’organo dirigente (che, al contrario, è uno dei soggetti controllati).

L’organismo deve inoltre essere personalmente ed economicamente indipendente: non deve cioè versare in condizioni di conflitto di interesse, nemmeno potenziali.

È chiaro che, quanto più l’organismo sia composto da soggetti estranei all’organizzazione, tanto maggiore sarà il suo grado di autonomia ed indipendenza globale.

A livello giurisprudenziale si è poi consolidata una posizione per cui, perché possa parlarsi di autonomia ed indipendenza dell’organismo deputato alla vigilanza del modello 231, non debba sussistere alcun tipo di sovrapposizione tra soggetto controllato e organo controllante.

Tale principio è stato messo nero su bianco anche nelle sentenze che hanno definito il caso (tragicamente famoso) dell’incidente avvenuto nello stabilimento torinese delle acciaierie Thyssenkrupp.

Professionalità: tale requisito, (elaborato da Tribunale di Napoli con sentenza del 26 giugno 2007) richiede che l’OdV sia dotato di specifiche competenze e conoscenze tecniche idonee a garantire un controllo adeguato.

Visti gli evidenti punti di contatto della normativa 231 con elementi di diritto penale, uno dei componenti dell’OdV dovrebbe preferibilmente essere un esperto della materia.

• Continuità di azione: l’OdV deve essere strutturato in maniera tale da garantire una attività di controllo costante e continuata, tale da garantire modifiche puntuali al modello ogni qual volta ciò risulti necessario in relazione a quello che è lo sviluppo della realtà aziendale che il modello è chiamato a regolare.

Compiti e responsabilità

I poteri, i compiti e le responsabilità affidati dalla normativa vigente alle cure dell’OdV sono tutti indirizzati alla prevenzione della commissione di reatipresupposto da parte dell’organizzazione che lo ha nominato e si sostanziano essenzialmente in attività tipo consultivo, proposito e di impulso, tra cui (a titolo esemplificativo e non esaustivo):

  • vigilare sulla corretta applicazione del modello;
  • curare l’aggiornamento e l’implementazione dello stesso, ove necessario;
  • verificare la diffusione del modello in ambito aziendale;
  • analizzare i flussi informativi;
  • svolgere audit.

_________________

Immagine di Agence Olloweb ottenuta grazie a Unsplash

Non adottare il modello 231 è sinonimo di responsabilità per l’ente? La Cassazione risponde

Il modello di organizzazione e gestione (cd. MOG) previsto dal D. Lgs. 231/2001 è un importantissimo strumento di compliance aziendale, costituito da un insieme di protocolli che, se adottati dall’azienda e correttamente applicati, consentono di ridurre sensibilmente il rischio che i soggetti aziendali – apicali e/o sottoposti – commettano, nell’interesse o a beneficio dell’azienda stessa, illeciti penali.

Se, tuttavia, a fronte di una corretta predisposizione e attuazione del modello, un soggetto operante in ambito aziendale dovesse finire per commettere comunque uno degli illeciti (cd. reati-presupposto) indicati dal Decreto 231, il modello finirebbe allora per assolvere ad un’altra sua importantissima funzione tipica: quella cioè di esimere l’azienda dalla responsabilità amministrativa conseguente alla realizzazione del reato.

Appare allora chiaro che il modello risulta effettivamente efficace soltanto laddove scrupolosamente costruito – in seguito ad una precisa individuazione delle possibili aree di rischio relative alle attività aziendali – e applicato con coerenza e diligenza, non producendo alcun effetto benefico (né in termini di prevenzione di reati né in termini di esimente per la stessa azienda) nel caso in cui lo stesso dovesse rimanere relegato allo stadio di mero adempimento formale.

Se dunque la “nuda e cruda” adozione del modello non è di per sé sufficiente a fondare una legittima causa di esclusione di responsabilità per l’ente, è invece possibile affermare che la mancata adozione dello stesso possa fondare, sic et simpliciter, la responsabilità dello stesso?

Con una recentissima sentenza, la Cassazione scioglie il nostro dubbio.

Il fatto e le decisioni di merito

Il 14 aprile 2011 una donna rimaneva ferita ad una mano durante lo svolgimento della sua attività lavorativa, a causa di un incidente avvenuto durante l’interazione con un macchinario aziendale.

Con sentenza dell’11 gennaio 2021, la Corte di Appello di Venezia confermava la decisione del Tribunale di Vicenza, ascrivendo in capo all’ente una responsabilità amministrativa di cui al Decreto 231 in relazione all’art. 25-septies comma 3, in seguito alla riconosciuta responsabilità dei soggetti apicali in ordine alla commissione del reato-presupposto di lesioni personali colpose (art. 590, comma 3 c.p.), aggravato dalla violazione di norme prevenzionistiche.

I motivi della Corte veneziana erano sostanzialmente i seguenti:

  • l’azienda non si era opportunamente dotata di un modello corredato da apposite previsioni in materia di sicurezza sul lavoro;
  • il vantaggio conseguito dall’azienda si sostanziava nel risparmio si spesa in termini di tempo lavorativo da dedicare alla sua predisposizione ed attuazione;
  • l’azienda, non essendosi dotata di un modello, non aveva di conseguenza previsto un organismo di vigilanza che potesse monitorare lo stato dei macchinari.

La decisione della Cassazione

Con la sentenza n. 18413 dello scorso 10 maggio (consultabile per gli iscritti all’associazione Aodv), la Suprema Corte accoglie il ricorso dell’azienda, cassando con rinvio la decisione della Corte d’Appello.

Di seguito le perplessità della Corte e i motivi del rigetto.

1.Non appare chiaro il profilo di responsabilità dell’ente

La Corte d’Appello aveva fondato l’affermazione di responsabilità dell’ente sul presupposto della mancata adozione di un modello di organizzazione e gestione e, di conseguenza, sull’assenza di un organo di vigilanza deputato alla verifica dei sistemi di sicurezza dei macchinari.

Tali presupposti sono stati reputati insufficienti dalla Suprema Corte, posto che “la mancanza [del modello], di per sé, non può implicare un automatico addebito di responsabilità”.

2.È necessaria sussistenza di una colpa di organizzazione, con conseguente onere probatorio dell’accusa

Ribadendo alcuni concetti cardine della responsabilità amministrativa delineata dal Decreto 231, la Corte ha ripreso un concetto squisitamente giurisprudenziale (espresso nella sentenza n. 32899/2021 della stessa corte) di cd. colpa di organizzazione, concetto sostanzialmente assimilabile alla colpa della persona fisica autrice di un reato.

Tale colpa di organizzazione, che si concretizza nel dato di fatto di “non aver predisposto un insieme di accorgimenti preventivi idonei ad evitare la commissione di reati del tipo di quello realizzatosi” deve essere provata dall’accusa.

Più nello specifico, è necessario che (i) venga accertata la responsabilità penale della persona fisica che agisce nell’ambito di una organizzazione aziendale e (ii) che vengano individuati dei collegamenti tra il reato stesso e il concreto interesse dell’azienda.

In altri termini, è possibile affermare la responsabilità dell’ente soltanto a condizione che l’elemento finalistico della condotta dell’agente rispecchi unpreciso assetto organizzativo negligente dell’impresa.

La Corte veneziana, tuttavia, non è stata in grado di soffermarsi adeguatamente, nella propria decisione, sulla sostanza di tale colpa di organizzazione.

3.Contraddizioni insite alla sentenza di merito

La Corte, infine, ha ravvisato contraddizioni e discordanze sia di ordine fattuale che, più specificamente, giuridico.

Riguardo alle omissioni e violazioni delle norme prevenzionistiche e di sicurezza negli ambienti di lavoro, la Corte sottolinea che “gli aspetti che riguardano le dotazioni di sicurezza e i controlli riguardanti il macchinario specifico sul quale si è verificato l’infortunio, attengono essenzialmente a profili di responsabilità del soggetto datore di lavoro.

Tali profili, continua la Corte, nulla hanno a che vedere con l’elemento “colpa di organizzazione” : più correttamente, la responsabilità ricade allora esclusivamente sui soggetti apicali autori del reato-presupposto.

In merito alla doglianza inerente alla mancata previsione di un organismo di vigilanza, il giudice di merito ha poi dimostrato di non aver correttamente compreso la previsione di cui all’art. 6 del Decreto 231; questo, infatti, attribuisce all’Organismo di vigilanza il compito di sorvegliare e verificare la funzionalità e l’osservanza dei modelli richiamati dallo stesso articolo, e non di certo lo stato di manutenzione dei macchinari.

***

Restiamo allora in attesa di una nuova pronuncia della Corte territoriale, in cui i principi enunciati dalla giurisprudenza di legittimità dovranno essere calati nel caso concreto.

Vi terremo aggiornati.

___________________________________________

Photo by Tingey Injury Law Firm on Unsplash

Novità 231 dell’ultimo triennio

Nel corso degli ultimi anni il D.lgs. 231/2001 (“Decreto 231”), è stato oggetto di alcuni rilevanti interventi integrativi, dal punto di vista del catalogo dei reati presupposto: nella sua prima versione, infatti, il Decreto 231 contemplava solo disposizioni previste dai trattati e dalle convenzioni di cui la legge di delega costituiva ratifica e attuazione.

Ad oggi, invece, l’elenco delle basi si è ampliato notevolmente, giungendo all’art. “25-duodevicies”, ovvero in italiano il numero “diciotto” (letteralmente “due da venti” dal latino).

L’effetto risultante è quindi quello di aver trasformato oggi il Decreto 231 da disciplina volta a punire i c.d. “corporate crimes” ad una norma di ampio, amplissimo raggio, in cui sono confluiti gli illeciti più diversi.

I reati contro la Pubblica Amministrazione (novità 2019)

Nella sua prima versione, l’art. 25 del Decreto 231 introduceva la responsabilità dell’ente in relazione ai reati di corruzione e concussione commessi da soggetti apicali o in posizione subordinata, nell’interesse o a vantaggio dell’ente.

La legge n. 190/2012 (“Legge Anticorruzione”) ha modificato per la prima volta l’art. 25 del Decreto 231, inserendo nella rubrica della norma anche il reato di “induzione indebita a dare o a promettere utilità” e ha aggiunto la relativa disposizione ai reati presupposto, l’art. 319-quater del Codice penale.

Dalla Legge Anticorruzione è nata l’Autorità Nazionale Anticorruzione (“ANAC”), chiamata a definire a livello nazionale gli obiettivi per lo sviluppo della strategia di prevenzione della corruzione, ai quali devono conformarsi, a livello locale, le singole amministrazioni.

Successivamente, l’art. 25 del Decreto 231 è stato oggetto di un ulteriore intervento ad opera della Legge n. 3/2019 (“Legge spazzacorrotti”), che ha introdotto tra i reati presupposto anche il “traffico di influenze illecite” (art. 346-bis) e ha inasprito le sanzioni interdittive originariamente previste.

Nella prospettiva di conformarsi alle disposizioni innovative contenute nella “Direttiva PIF” (n. 2017/1371), il D. Lgs. 75/2020 ha apportato ulteriori novità al Decreto 231, prevedendo un inasprimento delle pene e un’estensione dell’area di punibilità per alcuni reati quando dalla loro commissione derivi una lesione degli interessi finanziari dell’Unione europea. Si è inoltre introdotta la punibilità a titolo di tentativo, nell’ipotesi di atti compiuti anche nel territorio di un altro Stato membro e finalizzati all’evasione dell’IVA per un valore non inferiore a 10 milioni di Euro. Non meno importante è stato il notevole ampliamento dei reati presupposto in materia di pubbliche forniture, di frode in agricolture e di contrabbando nei casi in cui da essi derivi un danno agli interessi finanziari dell’Unione europea.

Gli interventi legislativi che si sono succeduti nel tempo sono stati ispirati in particolare dall’esigenza di fornire una risposta alle istanze di contrasto alla “mala gestio” provenienti dall’opinione pubblica, e finalizzati a contrastare un fenomeno corruttivo che, a sistema, si rappresentava come sempre più diffuso e contiguo alla criminalità organizzata.

I reati tributari e il recepimento della direttiva PIF (novità 2019)

L’inclusione degli illeciti tributari nell’elenco dei reati presupposto è avvenuta ad opera del Decreto Legge n. 124 del 26 ottobre 2019 (“Decreto Fiscale”), a seguito di due ordini di ragioni: nazionale e sovranazionale.

Dal primo punto di vista, la giurisprudenza iniziava a manifestare l’ipotesi che i reati tributari dovessero comunque essere oggetto di monitoraggio, in quanto rientranti fra i delitti non colposi dai quali l’autoriciclaggio può trarre origine. I reati tributari erano potenzialmente idonei, infatti, a generare la responsabilità dell’ente nella misura in cui rappresentavano presupposto del delitto di associazione a delinquere, frequentemente di natura transnazionale.

Dalla prospettiva sovranazionale, l’Unione europea, con la Direttiva (UE) n. 2017/1371 relativa alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale (“Direttiva PIF”), ha chiesto agli Stati membri di includere nella normativa nazionale (e quindi per noi nel Decreto 231) anche reati che ledono gli interessi dell’Unione europea, tra i quali le c.d. “frodi IVA”.

L’art. 6 della Direttiva PIF, in particolare, imponeva agli Stati membri di adottare le misure necessarie affinché le persone giuridiche possano essere ritenute responsabili dei reati commessi a loro vantaggio da qualsiasi soggetto che detenga una posizione qualificata in seno alla persona giuridica stessa.

La conversione in legge, con modificazioni, del Decreto Fiscale (avvenuta con Legge 157 del 24 dicembre 2019) ha quindi introdotto nel Decreto 231 l’art. 25-quinquiesdecies, includendo tutte le fattispecie tributarie di maggiore gravità, tra le quali, dichiarazioni fraudolente, emissione di fatture false, occultamento o distruzione dei documenti contabili e sottrazione fraudolenta al pagamento delle imposte.

I reati relativi a strumenti di pagamento “cashless” (novità 2021)

Nel solco di attuazione della Direttiva (UE) n.2019/713 relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti, l’art. 1 del D. Lgs. 184/2021, ha introdotto la nozione di strumenti di pagamento “cashless” o, in altri termini, diversi dai contanti.

La tematica ha un perimetro molto vasto e riguarda tutti i mezzi che permettono di gestire flussi monetari in formato elettronico. Sono compresi in questa ottica anche nuovi canali, ad esempio le applicazioni che consentono l’utilizzo di carte elettroniche prepagate, carte carburante, ticket per i pasti.

I reati presupposto introdotti sono relativi ad alcune condotte determinate, contemplate nelle fattispecie di seguito esposte.

In primo luogo, l’art. 493-ter del Codice Penale incrimina la condotta di chi, con la finalità di trarne un profitto, utilizza, non essendone titolare, carte di pagamento o ogni altro strumento di pagamento diverso dai contanti: la disposizione punisce anche chi falsifica o altera gli strumenti di pagamento cashless o possiede, cede o acquisisce strumenti di provenienza illecita o comunque falsificati o alterati.

L’art. 493-quater del Codice Penale incrimina invece la produzione e varie condotte di “trasferimento” che siano volte a procurare per sé o per altri apparecchiature, dispositivi o programmi informatici che, per le proprie caratteristiche tecniche, siano costruiti principalmente per commettere reati riguardanti gli strumenti di pagamento diversi dai contanti. Infine, è rilevante l’art. 640-ter del Codice Penale per l’ipotesi aggravata della frode informatica che realizzi un trasferimento di denaro, di valore monetario o di valuta virtuale.

Infine, è rilevante l’art. 640-ter del Codice Penale per l’ipotesi aggravata della frode informatica che realizzi un trasferimento di denaro, di valore monetario o di valuta virtuale.

I reati “contro i beni culturali” (novità 2022)

Il 22 marzo 2022 è stata pubblicata in Gazzetta Ufficiale la Legge 9 marzo 2022, n. 22 recante le disposizioni in materia di reati contro il patrimonio culturale.

L’intenzione della norma è quella di rafforzare gli strumenti di tutela di categorie di beni di rilevante interesse sociale, artistico e culturale, con l’inserimento di alcuni delitti contro tale patrimonio tra i reati presupposto della responsabilità amministrativa degli enti.

La riforma integra, in particolare, il catalogo dei reati presupposto con l’inserimento di due nuovi articoli: l’articolo 25-septiesdecies in tema, proprio, di delitti contro il patrimonio culturale; e l’art. 25-duodevicies in materia di riciclaggio di beni culturali e devastazione e saccheggio di beni culturali e paesaggistici.

Le disposizioni prevedono l’applicazione all’ente della sanzione pecuniaria da cinquecento a mille quote nel caso in cui l’ente, o una sua unità organizzativa, venga stabilmente utilizzato allo scopo unico o prevalente di consentire o agevolare la commissione di tali delitti; si può applicare, in questo caso, anche la sanzione dell’interdizione dall’esercizio dell’attività, che rientra tra le “sanzioni interdittive” previste dal Decreto 231 e che sono considerate univocamente dalla dottrina fra le più impattanti sull’ente e sulla sua attività economica.

___________________________________________

Photo by Patrick Tomasso on Unsplash

Regolamento operativo per i dipendenti: una buona pratica aziendale

La gran parte degli standard di compliance – e, in particolare, le ISO – prevedono tra i propri requisiti quello di una regolamentazione – scritta e formale – dei processi che ciascun operatore aziendale è tenuto a seguire e rispettare. Anche in assenza di conformità ISO, tuttavia, è buona norma – ed anzi, come vedremo, assolutamente necessario – prevedere un regolamento operativo interno per tutti coloro che accedono ai servizi e strumenti aziendali.

L’uso (e abuso) di tali strumenti, infatti, può comportare importanti conseguenze per il patrimonio aziendale, la stessa immagine e il “brand” del’impresa, per non tralasciare la (in)utilizzabilità di elementi di prova a propria tutela in sede giudiziale.

Una recente decisione dell’Autorità Garante italiana ci offre allora lo spunto per approfondire il contenuto e l’utilità di questo documento operativo, che deve essere necessariamente pratico, efficace e ben scritto, oltre che rispettoso della normativa vigente in ambito lavoristico e privacy.

La vicenda

Con un provvedimento datato 10 febbraio 2022 il Garante si è pronunciato in merito al reclamo proposto da un ex dipendente di una società (di cui era Amministratore Delegato, e da cui è stato licenziato), per violazione della disciplina privacy posta in essere dal datore di lavoro dopo la cessazione del loro rapporto.

Il tema, particolarmente delicato, è quello dei limiti entro i quali una società può lecitamente trattare i dati dei suoi dipendenti, in questo caso ex-dipendenti, senza ledere la loro legittima aspettativa alla riservatezza.

Oggetto di contestazione, tra gli altri, è stata la mancata cancellazione da parte del datore di lavoro dell’account di posta elettronica aziendale in uso (e intestato) al dipendente, e ciò senza che alcuna comunicazione informativa sia stata fornita dalla società in merito alla possibilità che la stessa potesse, in determinati casi e a certe condizioni, accedere all’account di posta elettronica aziendale del lavoratore, anche dopo l’interruzione del rapporto.

Va ricordato in proposito che, per costante giurisprudenza sia del Garante che di Cassazione, la casella di posta elettronica assegnata da una azienda ad un proprio dipendente è, a tutti gli effetti, uno strumento di lavoro ed in quanto tale è astrattamente accessibile da parte del datore di lavoro, a condizione però che il dipendente sia debitamente e preventivamente informato in maniera espressa di tale possibilità mediante l’adozione di un adeguato regolamento aziendale, oltre che di idonea informativa ai sensi del GDPR.

Il Jobs Act, attraverso la riscrittura dell’art. 4, L. n. 300/1970 – cd. Statuto dei lavoratori– prevede tale possibilità, quella cioè di operare controlli su tutti quegli strumenti di lavoro utilizzati dal dipendente per rendere la propria prestazione lavorativa anche senza previo accordo con le rappresentanze sindacali, anche laddove essi siano tecnicamente suscettibili di configurare un “controllo a distanza” (come nel caso di posta elettronica, appunto). Resta tuttavia fermo l’obbligo per il datore di lavoro di fornire adeguata informazione circa le modalità e l’uso degli strumenti di controllo, nonché l’obbligo di rispettare la normativa privacy.

Proprio entro gli stretti confini del meccanismo “informativa-controllo” anche la Suprema Corte di Cassazione e la Corte Europea dei Diritti dell’Uomo, di recente rispettivamente con le pronunce n. 26682/2017 e n. 61496/2018, ammettono che il datore di lavoro possa legittimamente controllare la posta elettronica del dipendente e, se del caso, dell’ex lavoratore.

L’obiettivo è quello di provare a contemperare due diverse ma importantissime esigenze, quella del datore di lavoro di accedere ad informazioni necessarie per la gestione della propria attività e di effettuare controlli (cd. difensivi), e quella del lavoratore a veder tutelata la riservatezza della propria corrispondenza.

La decisione del Garante

Nel caso esaminato dal Garante non è stato tuttavia riscontrato un equilibrio nel binomio “informativa-controllo”: addirittura, dagli atti emerge come non fosse disponibile a livello aziendale alcun documento definitivo da poter sottoporre ai dipendenti in termini di informativa, ma solo una bozza (probabilmente dimenticata in qualche cassetto o cartella del server aziendale).

A nulla in proposito sono allora valsi i chiarimenti della società secondo i quali spettava proprio all’ex dipendente – in qualità di amministratore – l’adozione del regolamento aziendale, concernente, tra l’altro, anche la regolamentazione dell’uso dell’account di posta elettronica e la nomina di un amministratore di sistema competente a visionare i messaggi in entrata negli account aziendali per conto della società.

E’ solo quest’ultima, in qualità di Titolare del trattamento, che aveva l’onere di procedere conformemente alla normativa, non potendo addossare alcunchè alla persona fisica ricoprente il ruolo di AD: ferma restando infatti una eventuale responsabilità civile del dipendente nei confronti dell’azienda, il Garante chiarisce che la responsabilità derivante dall’inadempimento dell’obbligo di informativa ex artt. 5, par.1 lett a) 12 e 13 GDPR – ricade pur sempre sulla società.

Pertanto, acclarata e dichiarata l’illiceità del trattamento, alla luce dei poteri di controllo previsti dall’art. 58, par.2 GDPR, il Garante ha disposto nei confronti della società una sanzione amministrativa pecuniaria di ben 10.000 euro.

Come costruire un regolamento operativo valido ed efficace?

È in casi come quello evidenziato dal provvedimento del Garante che risulta evidente l’importanza, in ambito aziendale, di dotarsi di un disciplinare tecnico sull’utilizzo degli strumenti di lavoro elettronici, di una policy interna i cui vengono dettate le prescrizioni a cui i lavoratori devono attenersi nell’utilizzo degli strumenti elettronici aziendali loro assegnati.

Come farlo, in pratica? Sicuramente tramite una revisione degli strumenti utilizzati in concreto, e non in astratto, seguita dalla costruzione di un testo semplice, chiaro e possibilmente “a schede” o comunque organizzato per tematiche omogenee.

I fiumi di testo, come più volte hanno precisato sia il Garante italiano che gli altri omologhi europei e l’EDPB, a poco servono e poco trasmettono ai dipendenti, quanto a precetti semplici e chiari da porre in pratica nel comportamento tenuto ogni giorno al lavoro.

Non va dimenticato che questo “regolamento” si deve coordinare con altri testi aziendali, quali il Codice etico, il Codice disciplinare, le procedure interne predisposte a vario titolo (es. D. Lgs. 231/2001) e, non ultimo, l’eventuale “Regolamento Smart Working“.

Una breve e certamente incompleta “checklist” di contenuti del Regolamento interno potrebbe essere allora la seguente:

  • una sintetica descrizione della struttura aziendale (referenti diretti, funzioni rilevanti)
  • una scheda relativa alle definizioni utilizzate (es. “Titolare del trattamento” è l’azienda stessa)
  • chiarimento sui livelli di riservatezza delle informazioni aziendali
  • uso delle credenziali di accesso ai servizi (riservatezza e non diffusione)
  • come utilizzare i dispositivi aziendali in generale, tra cui computer, smartphone, chiavette usb ed altro
  • uso lecito della rete internet
  • focus particolare sulla casella e-mail (sia personale che, eventualmente, di gruppo)
  • una “social media policy” che contemperi la libertà di espressione del singolo con la tutela dell’immagine aziendale
  • una “clean desk policy” riguardo all’uso di supporti materiali e cartacei
  • istruzioni specifiche sulla gestione delle informazioni presenti su stampe e fotocopie

Non va poi dimenticato che, accanto alle istruzioni “positive” nei confronti dei dipendenti e collaboratori dell’impresa, è opportuno anche chiarire con precisione il quadro dei sistemi di controllo – ove presenti – e delle sanzioni disciplinari conseguenti alla violazione delle indicazioni fornite.

In ultimo, ma non meno importante – come ha evidenziato lo stesso provvedimento del Garante – tale regolamento va efficacemente portato all’attenzione di tutti, sia inviandolo a mezzo e-mail e/o rendendolo disponibile mediante affissione, che attraverso incontri di formazione e spiegazione dei suoi contenuti.

_________________________________________________

Photo by Nick Loggie on Unsplash

Quadro delle recenti novità in materia di Whistleblowing

Il tema delle segnalazioni interne in materia di illeciti commessi nell’esercizio dell’impresa è di grande rilevanza oggi nel panorama della compliance aziendale, costituendo uno strumento di emersione di comportamenti spesso trascurati o ignorati: la sua normazione genera al contempo rilevanti e spinose questioni di bilanciamento tra l’autonomia dell’esercizio dell’azione economica privata e la protezione degli interessi pubblici, oltre che di privacy e protezione degli individui segnalanti.

Breve panorama del concetto e della normativa italiana di rilievo

Il concetto di “Whistleblower” (letteralmente: “colui che soffia il fischietto”) entra per la prima volta nel linguaggio e nel panorama giuridico italiano con la Legge n. 190/2012, la c.d. “Anticorruzione” che, tramite aggiunta dell’art. 54-bis nel corpo del D.Lgs. 165/2001, introduce nel nostro ordinamento la figura del dipendente pubblico “segnalatore di illeciti”. Qualche anno più tardi la Legge n. 179/2017 va a modificare il D.Lgs. 231/2001, offrendo così anche al settore privato una base giuridica su cui costruire il proprio sistema interno di segnalazione degli illeciti.
Con la Direttiva 1937/2019 l’UE ha, di recente, inteso fissare i punti fondamentali per garantire ai “segnalatori di illeciti” uno standard minimo di tutela in ambito comunitario. Vengono quindi posti in capo ad ogni Stato Membro obblighi e divieti mirati a far adottare , entro il termine del 17 dicembre 2021, un adeguato sistema di segnalazione degli illeciti in grado di proteggere il segnalante da tutte le conseguenze negative che potrebbero insorgere a seguito della sua azione, e ciò tanto per il settore pubblico quanto per quello privato.

I requisiti fissati dalla Direttiva e le prospettive di recepimento

Innanzitutto, anche per il settore privato (a partire da una soglia minima di 50 dipendenti) diviene obbligatorio dotarsi di un sistema di prevenzione degli illeciti conseguenti alla violazione del diritto comunitario.
In questo senso, ciò che per l’Italia rappresenta ancora oggi l’eccezione- ci si riferisce infatti a quegli enti che abbiano volontariamente adottato i modelli di organizzazione previsti dal Decreto 231 e limitatamente ai reati da questo previsti- diverrà quindi (e finalmente) la regola.

Viene poi predisposto un ventaglio più ampio di soggetti che possono godere delle garanzie della Direttiva una volta coinvolti nel “processo di segnalazione”. Superata la dicotomia apicali-sottoposti, si aprono le porte a segnalazioni di soggetti che in modi diversi ed in diversa misura entrano in contatto con l’ente. Basti pensare che, a titolo esemplificativo, può assumere la qualifica di segnalante anche colui che non ha ancora cominciato un rapporto di lavoro con l’ente, perché il processo di selezione è ancora in corso.

Appare qui evidente l’intenzione del legislatore comunitario di assicurarsi che anche le violazioni commesse nelle fasi prodromiche all’instaurazione del rapporto di lavoro non rimangano impunite.

Ai fini della segnalazione, la Direttiva non richiede poi l’effettiva commissione di un illecito- così come previsto dalla L. n. 179/2017 e dal D.Lgs. 231/2001- ma soltanto il sussistere nel denunciante del “ragionevole motivo” di ritenere che le informazioni denunciate rispondano al vero e all’interesse pubblico.

Novità anche per quanto riguarda i canali di segnalazione.

Se il legislatore italiano non entra attualmente nel merito delle scelte operative, limitandosi a richiedere che i canali predisposti siano genericamente idonei a garantire la riservatezza (e non anche l’anonimato) dell’identità del denunciante, il legislatore comunitario si rivela più puntuale, richiedendo la implementazione di canali interni ed esterni all’ente, ai quali si affianca il canale pubblico, c.d. “public disclosure”.

La Direttiva lascia comunque libero il denunciante nella scelta del canale, sebbene incoraggi alle segnalazioni interne, soprattutto nei casi di più semplice risoluzione.

Molto importante anche la questione privacy.

La Direttiva prevede che qualsiasi trattamento di dati personali effettuato in occasione della Direttiva stessa debba svolgersi nel rispetto del Regolamento 2016/679 e della Direttiva 2016/680 (per il trattamento di dati con finalità di polizia).

L’obiettivo è quindi quello di scongiurare quanto più possibile il rischio che la segnalazione diventi l’occasione per una violazione della privacy; inoltre, viene espressamente sancito che non vadano raccolti e trattati dati eccedenti o non pertinenti rispetto ad una specifica segnalazione, e – laddove raccolti o trattati – essi vengano prontamente cancellati.

I ritardi nel recepimento della Direttiva

Benché la legge di delegazione europea n. 53/2021 rechi indicazioni per il recepimento della c.d. “Direttiva Whistleblowing”, l’Italia tutta è ancora in attesa di azioni concrete da parte del Governo.

Se indubbiamente molte sono state le “distrazioni” in questi ultimi due anni, a partire dalla pandemia fino alla questione del Colle, è tuttavia opportuno chiedersi quante e quali di queste siano effettivamente in grado di giustificare l’inerzia dell’Esecutivo su un tema particolarmente sensibile come quello della segnalazione di comportamenti illeciti all’interno delle società di capitali.

Ciò è particolarmente rilevante quando entra in gioco la vita umana, come nel caso tristemente noto della Funivia del Mottarone: è di dominio pubblico, infatti, la notizia per cui un ex dipendente avrebbe subito minacce di licenziamento per aver denunciato, molto tempo prima dell’incidente, problemi tecnici alla cabina poi coinvolta nella strage.

_________________________________________________________

Photo by Geron Dison on Unsplash

La 231 si applica anche alle società unipersonali

Con la recente sentenza n. 45100 del 6 dicembre 2021, la Sesta Sezione penale della Corte di Cassazione ha preso posizione sulla spinosa questione dell’applicabilità alle società unipersonali del D. Lgs. 231/2001.

La Suprema Corte è stata chiamata ad esprimersi su una decisione del Tribunale di Pescara che, a sua volta, si era pronunciato su un caso di corruzione perpetrato da un funzionario comunale.

Discostandosi da quanto deciso dal Gip, che aveva emesso ordinanza di misura cautelare attraverso la quale era vietato a tre S.r.l. di contrattare con la Pubblica Amministrazione, il Giudice di merito annullava la predetta ordinanza, ritenendo che le disposizioni di cui al D. Lgs. 231/2001 non potessero essere applicate alle tre S.r.l. sanzionate proprio in quanto società individuali e, quindi, per loro natura estranee all’ambito applicativo della norma.

La decisione della Corte e la distinzione tra società unipersonale e individuale

La Cassazione, nell’annullare l’ordinanza del Tribunale di Pescara, ha insistito nel differenziare le società unipersonali da quelle individuali, le quali ultime – sole – non potendo essere considerate alla stregua di enti sono da escludersi dall’applicabilità delle disposizioni del D. Lgs. 231/2001.

In particolare, secondo i Giudici della Corte, la società unipersonale incarna invece un soggetto unico e distinto dal suo socio persona fisica, dotata quindi di una personalità autonoma da quella di quest’ultimo: gli Ermellini si occupano tra l’altro di indicare gli specifici requisiti in presenza delle quali la società unipersonale possa rispondere ai sensi del D.  Lgs. 231/2001.

Innanzitutto, la questione non si pone nei casi di società unipersonale partecipata da una società di capitali o di società unipersonali la cui complessità renda evidente l’esistenza di un centro di imputazione di interessi giuridici autonomo e indipendente rispetto a quello facente capo al singolo socio.

La Suprema Corte sottolinea poi che, nell’ambito di realtà di più piccole dimensioni, occorre invece effettuare un accertamento puntuale finalizzato ad individuare se sussistano i requisiti per affermare la responsabilità dell’ente riguardo alla società unipersonale a responsabilità limitata.

Ricadute pratico – operative sull’attività di compliance.

La Corte di Cassazione, alla luce di tutto quanto sopra esposto, ha concluso dunque evidenziando l’esigenza di un accertamento in concreto “del se, in presenza di una società unipersonale a responsabilità limitata, vi siano i presupposti per affermare la responsabilità dell’ente; un accertamento che non è indissolubilmente legato solo a criteri quantitativi, cioè alle dimensioni della impresa, di tipologia della struttura organizzativa della società, quanto, piuttosto, a criteri funzionali, fondati sulla impossibilità di distinguere un interesse dell’ente da quello della persona fisica che lo governa, e, dunque, sulla impossibilità d configurare una colpevolezza normativa dell’ente – di fatto inesigibile – disgiunta da quello dell’unico socio”.

Tale accertamento si basa sulla possibilità – o meno – di distinguere l’interesse dell’ente da quello della persona fisica che se ne occupa: sulla base di ciò si individuerà la configurabilità della colpevolezza normativa dell’ente, disgiunta da quella dell’unico socio.

Determinante sarà il criterio individuato dal D. Lgs. 231/2001, e, in particolare dall’art. 5, in base al quale si distingue tra interesse della Società e interesse della persona fisica. Ne deriva che, qualora si provi che la persona fisica abbia commesso l’illecito nell’interesse esclusivo proprio o di terzi, non vi può essere responsabilità dell’ente.

Secondo quanto stabilito dalla Corte, qualora il reato compiuto dalla persona fisica non sia riconducibile alla persona giuridica in quanto inesistente l’interesse dell’ente, non sarà necessario nemmeno verificare se sussista un vantaggio dello stesso.

Si tratta, quindi, di un’approfondita operazione che richiede un’attenta analisi dell’organizzazione della società, delle attività concretamente poste in essere, delle dimensioni dell’impresa, dei rapporti tra socio unico e società, dell’esistenza di un interesse sociale e del suo effettivo perseguimento.

Da un lato, vanno evitate eventuali violazioni del principio del “ne bis in idem” sostanziale, che si realizzerebbero imputando alla persona fisica un cumulo di sanzioni punitive per lo stesso fatto. D’altra parte, la Cassazione censura quelle situazioni in cui la persona fisica si sottragga alla responsabilità patrimoniale illimitata, costituendo una società unipersonale a responsabilità limitata, ma, al tempo stesso, eviti l’applicazione del D. Lgs. 231/2001, sostenendo di essere un’impresa individuale. Il fenomeno è quello della creazione di persone giuridiche di ridottissime dimensioni allo scopo di frammentare e polverizzare i rischi economici e “normativi”.

Il “caporalato” come reato presupposto ex D.Lgs. 231/2001

Una riflessione sui presidi in grado di prevenire la commissione del reato di “caporalato” e il relativo contenuto (necessario) del Modello di Organizzazione, Controllo e Gestione redatto ai sensi del D. Lgs. 231/2001.

Il caporalato come fenomeno attuale – i “riders”

Ha avuto ampia eco mediatica l’avvio di un’indagine dalla Procura milanese in materia di sicurezza sul lavoro, immigrazione irregolare e casi di caporalato, riguardo all’attività dei c.d. “riders”, quei fattorini che, attraverso società di intermediazione, si occupano di consegnare cibo ovvero altri articoli a domicilio per conto di grandi aziende di distribuzione. 

Come è noto, per caporalato si intendeil fenomeno sociale, sempre più diffuso su tutto il territorio nazionale, dell’intermediazione illecita e sfruttamento del lavoro”. 

Si tratta di una realtà particolarmente diffusa nel settore della produzione agricola e che, spesso, vede il coinvolgimento di associazioni di stampo mafioso, associazioni dedite al traffico di esseri umani ed allo sfruttamento dell’immigrazione clandestina.

Nel contesto di tale indagine, la Sezione misure di prevenzione del Tribunale di Milano ha disposto, tra l’altro, l’amministrazione giudiziaria ex art. 34 del Codice antimafia della filiale italiana dell’Azienda oggetto di indagine, proprio per caporalato.

Ciò che, in questa sede, rileva è che, tra le varie verifiche effettuate dagli inquirenti, vi è stata quella finalizzata ad individuare l’esistenza del modello organizzativo ex D.Lgs. n. 231/2001 e specificamente – ove pure esistente – la sua idoneità a prevenire il reato ipotizzato, ex art. 603-bis c.p.

Si può, dunque, attualmente parlare di caporalato quando vi è una abituale retribuzione dei lavoratori in modo palesemente difforme da quanto previsto dai contratti collettivi nazionali ovvero, in ogni caso, troppo esiguo rispetto alla quantità di lavoro prestato, ovvero il mancato rispetto della normativa relativa all’orario di lavoro o alle ferie o, ancora, della normativa riguardante la sicurezza sul luogo di lavoro, soprattutto nel caso in cui il lavoratore sia costretto a lavorare in situazioni di degrado.

Le modifiche introdotte con la Legge 29 ottobre 2016, n. 199 e il “nuovo” art. 603 bis c.p.

Per inquadrare normativamente la fattispecie, va ricordato che con la Legge 29 ottobre 2016, n. 199, recante «Disposizioni in materia di contrasto ai fenomeni del lavoro nero, dello sfruttamento del lavoro in agricoltura e di riallineamento retributivo nel settore agricolo» sono state introdotte rilevanti novità relativamente alla lotta al caporalato.

Con la suddetta Legge sono state, infatti, inserite garanzie per la tutela della dignità dei lavoratori, in particolare quelli agricoli, attraverso la riformulazione della fattispecie di cui all’ articolo 603-bis c.p.

Inoltre, dato particolarmente rilevante in questa sede, con la Legge n. 199 del 29 ottobre 2016, Il Legislatore inserisce il reato di caporalato nel catalogo dei reati presupposto previsti dal D.Lgs 231/2001.

Il 18 ottobre 2016, con la legge n° 199, è stato completamente riscritto l’art. 603 bis del Codice Penale.

La principale novità consiste nella individuazione, come autore del reato di “caporalato”, anche del datore di lavoro che ponga in essere una condotta di sfruttamento del lavoratore, e non più soltanto dell’intermediario.

In secondo luogo non si fa più riferimento ai requisiti dello stato di necessità del lavoratore ed alla violenza, minaccia o intimidazione, che limitavano i confini dell’elemento oggettivo del reato.

Si può, dunque, attualmente parlare di caporalato quando vi è una abituale retribuzione dei lavoratori in modo palesemente difforme da quanto previsto dai contratti collettivi nazionali ovvero, in ogni caso, troppo esiguo rispetto alla quantità di lavoro prestato, ovvero il mancato rispetto della normativa relativa all’orario di lavoro o alle ferie o, ancora, della normativa riguardante la sicurezza sul luogo di lavoro, soprattutto nel caso in cui il lavoratore sia costretto a lavorare in situazioni di degrado.

Le ricadute pratiche sul modello organizzativo, di gestione e di controllo ex D.Lgs. 231/2001

Il reato di caporalato, nella nuova formulazione dell’articolo 603-bis c.p., rivela, alla luce della disciplina “231” prevista per l’azienda, una stretta correlazione con i contenuti del modello di organizzazione e gestione di cui la stessa dovrebbe dotarsi preventivamente.

Le società – ed in particolare quelle di media e piccola dimensione – sono, pertanto, chiamate a dotarsi di un Modello organizzativo ex D. Lgs. 231/2001, finalizzato ad individuare e prevenire le condotte illecite di cui all’art. 603-bis c.p.

Tra l’altro, il reato di caporalato ben può vedere, nella medesima vicenda criminale, il concorso materiale o formale di alcuni reati già precedentemente considerati presupposto ex D.Lgs. 231/2001 come, ad esempio, il delitto di “Impiego di cittadini di paesi terzi il cui soggiorno è irregolare” (articolo 25-duodecies), che potrebbe concorrere nell’ipotesi in cui l’impresa utilizzatrice occupasse alle proprie dipendenze lavoratori stranieri privi di permesso di soggiorno, sottoponendoli alle condizioni di sfruttamento di cui al 603-bis, ovvero al contestuale concorso del reato di “Omicidio colposo” o “lesioni colpose gravi o gravissime” (articolo 25-septies), qualora si determinasse anche un evento lesivo, oppure la morte del lavoratore straniero privo di permesso di soggiorno, impiegato dall’impresa utilizzatrice in condizioni di sfruttamento. Inoltre, nel quadro criminogeno così dipinto, tutt’altro che inverosimile, il caporalato ben potrebbe configurarsi come uno tra i reati-scopo dei “delitti di criminalità organizzata” di cui all’articolo 24-ter, D. Lgs. 231/2001, commessi anche con i caratteri della transnazionalità, tra cui, “Associazione per delinquere” ed “Associazioni di tipo mafioso anche straniere”.

O, ancora, si pensi alla riduzione o mantenimento in schiavitù o in servitù (600 c.p.), alla tratta di persone (601 c.p.), all’acquisto e alienazione di schiavi (602 c.p.).

Alla luce del quadro dei reati presupposto evidenziati sopra, i processi più delicati saranno, senz’altro:

1) il processo di ricerca, assunzione e inserimento del personale e il processo di gestione dei fornitori: occorre porre attenzione sugli aspetti retributivi, sulle ferie e sui turni di riposo. I lavoratori dovranno essere inquadrati con contratti che rispettino almeno le condizioni di lavoro e il salario minimo dell’ultimo contratto collettivo nazionale CCNL sottoscritto.

2) Il processo di individuazione dei fornitori: nell’ambito degli accordi commerciali con gli stessi, occorrerà esigere la trasmissione di tutta la documentazione che possa risultare utile alla verifica del rispetto della normativa da parte dei partner commerciali, in particolare della clausola relativa all’obbligo di rispettare il Modello Organizzativo ed il proprio Codice Etico.

3) Il processo relativo alla sicurezza sui luoghi di lavoro, soprattutto in merito alla conformità delle procedure previste dal Modello rispetto alla normativa prevenzionistica, in particolare di cui al D. Lgs. n. 81/2008, cosiddetto testo unico sicurezza sul lavoro.

________________________________________________________

Photo by Taha on Unsplash

Adozione del modello 231 come deterrente per l’infiltrazione mafiosa occasionale

Dotarsi di un modello 231 è sempre più importante: il nuovo Codice Antimafia – approvato in via definitiva mediante l’emanazione del Decreto Legge per l’attuazione del Pnrr – stabilisce infatti che, in presenza di tentativi di infiltrazione mafiosa nell’impresa riconducibili a situazioni di agevolazione occasionale, il Prefetto potrà imporre l’adozione di un Modello di organizzazione, gestione e controllo di cui al D. Lgs. 231/2001, con relativa nomina dell’Organismo di Vigilanza.

La pagina informativa si trova al seguente link.

Il rilascio dell’informazione antimafia da parte del Prefetto.

Il Prefetto è il soggetto competente a rilasciare l’informazione antimafia.

In particolare egli è chiamato ad esperire l’istruttoria relativa all’impresa richiedente (ivi compresa la consultazione della Banca dati nazionale unica) e ad effettuare all’esito la sua valutazione. Qualora il Prefetto rilevi l’assenza dei presupposti per il rilascio di una informazione c.d. “liberatoria” (dunque positiva), viene ora stabilito che egli comunichi quanto rilevato all’ente interessato, assegnando al contempo un termine non superiore a venti giorni per la presentazione di eventuali osservazioni.

Valutati tali rilievi, all’esito del contraddittorio, il Prefetto potrà sciogliere la riserva in senso positivo, oppure con informazione c.d. “interdittiva” (dunque negativa), oppure ancora prescrivendo l’obbligo per l’interessato di seguire determinate misure per un periodo non inferiore a sei mesi e non superiore a dodici mesi.

Tra le misure previste, al fine di far venir meno le cause di agevolazione occasionale dell’infiltrazione mafiosa, vi è l’obbligo di seguire quanto prescritto dal D. Lgs. 231/2001.

Ne deriva, pertanto, che l’ente interessato – qualora ne sia privo – dovrà dotarsi al più presto di un Modello organizzativo, di gestione e di controllo nonché prevedere che venga nominato un Organismo di vigilanza atto a controllare che l’impianto procedurale venga seguito e attuato in concreto.

Ricadute pratico – operative sull’attività di compliance.

Uno degli strumenti di prevenzione dalle infiltrazioni mafiose richiesto dalla normativa antimafia viene dunque individuato, per l’appunto, nel Modello 231, dalla cui applicazione deriveranno benefici di organizzazione aziendale, di economicità, nonché di reputazione rispetto a terzi soggetti che hanno a che fare con l’ente.

L’adozione di un Modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001 assume allora due importanti valenze: una interna ed una esterna.

Verso l’esterno, si avrà certamente ampio beneficio di immagine, spendibile nei rapporti commerciali ed istituzionali.

All’interno dell’azienda, il Modello risulterà utile ad introdurre etica e legalità nei processi aziendali: si pensi, in particolare, al Codice Etico e alla sua diffusione tra i dipendenti dell’azienda.

Inoltre, il Modello non si occuperà esclusivamente di disciplinare al meglio la protezione dai reati di cui all’art. 24 del D. Lgs. 231/2001, ma dovrà anche riferirsi alle modalità di organizzazione dell’ente volte ad evitare attività di criminalità organizzata. In particolare, occorrerà porre attenzione alle attività pratiche che comportano pagamenti ed incassi predisponendo, se del caso, un conto corrente dedicato esclusivamente a tali operazioni.

Il Modello 231 dovrà determinare – a monte e con piena trasparenza – precisi criteri di selezione di fornitori, consulenti, clienti, partners, personale, nonché i criteri di valutazione delle offerte e verificare l’attendibilità commerciale degli stessi. Nei contratti con fornitori, consulenti, partners, soci, dipendenti e altri terzi – anche esteri – dovrà essere contenuta apposita clausola che regoli le conseguenze derivanti dalla violazione delle disposizioni previste.

Altrettanto importante sarà il dovere di comunicare all’Organismo di Vigilanza dell’ente eventuali irregolarità inerenti richieste di qualsiasi tipo contrarie alla Legge o, comunque, qualsiasi elemento da cui possa desumersi il pericolo di interferenze criminali in relazione all’attività di impresa.

Infine, preciso compito dell’Organismo di Vigilanza – per tutelare prima di tutto l’ente stesso – sarà quello di svolgere verifiche periodiche al fine di prevenire la commissione dei reati di stampo mafioso, elencati anche all’art. 24-ter del D. Lgs. 231/2001, verificando che le procedure aziendali siano adeguate ed efficacemente adottate.

______________________________________

Photo by Aditya Joshi on Unsplash