Organismo di vigilanza: l’attività in tempo di pandemia

Nella nuova puntata di Doppio Binario su Le Fonti TV, programma condotto da Gabriele Ventura e Simona Vantaggiato, si è parlato  di come è cambiata l’attività degli organismi di vigilanza all’interno delle imprese con il dottor Massimiliano Bellavista, Partner Keirion.

Quali sono i nuovi rischi per le imprese considerando anche quello che si sta vivendo in questo periodo storico, ovvero un’emergenza sanitaria in atto?
Massimiliano Bellavista. Si diciamo in maniera molto sintetica più che nuovi rischi ci sono dei rischi certamente sono amplificati insomma da far data da febbraio 2020 progressivamente nelle attività degli organismi di vigilanza nelle attività di ispezione aggiornamento dei modelli non sono tanto le fattispecie nuove quanto i rischi amplificati che le aziende si trovano affrontare a farla da padrona in generale ascrivibile a due aree quella legata al passaggio delle informazioni dal da chi emana le policy a chi poi le deve fare rispettare legate a dislocamento delle risorse delle aziende sul territorio in maniera molto più ampia molto più frastagliata senza precedenti rispetto a prima il che ha comportato e soprattutto comporterà una serie di problematiche del tutto evidente nella gestione di rischi connessi per esempio per esempio alla riformulazione e alla gestione tutta quella che è la parte sud lavorativa viene tutta la gestione della contrattualistica del lavoro una parte assai considerevole di attenzione a tutto quello che è l’ambito haiti gpr da una parte la sorveglianza e la gestione delle reti aziendali cercando di emanare policy e farle rispettare per ciò che riguarda l’uso e soprattutto il controllo della rab uso di queste reti anche in maniera involontaria che chiaramente i rischi sono maggiormente legati in questa fase proprio a questa dislocazione a questa attività di remote working che comporta un controllo sicuramente in alcuni casi più che accettabile su quelle che sono le reti diffuse ma un controllo sa è difficile su quelle che sono poi gli usi di degli apparati che le aziende danno in in uso a chi fa rima working perché si trova a interagire in un ambiente che è quello quello domestico impostazioni comunque proprio private con tutto quello che ne consegue in termini di potenziale uso e abuso di questi strumenti ed i potenziali visione di dati anche riservati da parte di persone che non sono autorizzati a farle ma che sono chiaramente ascrivibile a quello che l’ambiente terremoto anche qui dell’ambiente domestico e così via dicendo che lì c’è un problema di sé patrizia dei dati controllo dei dati c’è un problema legato proprio a l’uso del controllo delle reti e quindi a tutti gli aspetti legati alla gestione della continuità operativa delle aziende ci sono problematiche legate all’aspetto della salute e sicurezza sul luogo di lavoro perché quest ambito che è strettamente legato ai modelli 2 3 1 è un ambito che anch’esso risente delle diverse e profondamente mutate condizioni di lavoro sulle sedi fisiche aziendale e sulle sedi di remote work e anche del cambiamento di di uso di queste di queste infrastrutture quindi tutto quello che riguarda la parte di 81 2008 81 2008 diciamo l’aspetto forse più importante di fondo di cui a mio avviso sentiremo le conseguenze anche nel lungo periodo è che i modelli modello se uno non fa eccezione a questo tutti i modelli aziendale si basano su una componente che quella è la creazione condivisa di regole e dall’altra parte quella il rispetto e il controllo delle regole che tutto ciò è assai difficile da fare e da porre in opera sia nella fase iniziale perché le problematiche legate alla formazione e all’informazione del personale tutte quelle attività che su certi ruoli chiave si facevano diviso in presenza con tutto quello che permetteva una formazione in presenza on the job eccetera si fa sempre più a distanza e quindi soffre di tutte le problematiche di cui soffrono i collegamenti e la formazione a distanza che sono in larga parte note insomma a tutti e dall’altro quella della problematica del controllo perché anche le attività di non lo sono resi difficili da dalla situazione della situazione generale quindi più in una parola più che di nuovi di nuove fattispecie parlerei proprio di una necessità di riformulare evitare i rischi conseguentemente i controlli la formuletta formalizzazione di policy legate alla situazione corrente fin che si protrarrà.

Qual è il ruolo del consulente e quello della sua realtà?
Keiron è una società che fa modelli su misura in ambito gruppi di medie grandi dimensioni soprattutto nell’ambito servizi haiti ma non solo e in quello bancario in generale però credo che il ruolo del consulente sia a scrivere in generale alla necessità del supporto supporto all’azienda in un momento così complesso e in una parola al dinamismo dei modelli modelli 2 3 1 come tutti i modelli aziendali non devono invecchiare non devono essere obsoleti il compito che un consulente può avere quello di rendere dinamico il modello di consentire e facilitare il dialogo nel management e delle possibilità di aggiornamento di consentire e fluidificare quelli che sono gli aspetti di integrazione con gli altri modelli aziendali e tutti sappiamo chi opera in questo settore sa bene che quello che se uno non è avulso dalla realtà aziendale a una un bene c’è un mutuo beneficio dall integrazione con gli altri sistemi che le aziende hanno nei vari nei vari ambiti quindi i modelli che derivano dall ambito iso possiamo citare 9001 27001 iso 20022 301 tutte le norme specifiche ma anche tutti gli altri modelli aziendali sia che riguardino normative cogenti che certificazioni di carattere volontario e questa vista di integrazione tra vari sistemi un consulente la può fornire molto bene e favorisce da una parte il dinamismo del modello di 31 da una parte una sua visione da un punto di vista non solo legale ma anche di processo 231 deve avere una compenetrazione questo effetto fattori certamente il forte presidio di carattere legale ma anche una capacità di approcciare le attività aziendale e dandone una visione una vista di processo perché si tratta di attività dinamiche e non si tratta solo di definire fattispecie reato e sanzionare o come dire definire una classifica dei principali rischi ma si tratta anche di seguire i processi descrive processi comprendere i processi e assecondare non ingessando l’attività e poi la componente generale è quella di poter garantire anche una formazione per il fatto stesso che il consulente nella sua attività interagisce con varie realtà e quindi può fornire nel rispetto della riservatezza dei vari modelli certamente però una dire un’esperienza e una indicazione di best practice e sono importanti nei modelli 2 3 1 non tutto è prescritto la normativa poi esistono vari modi di formulare un modello vari modi interpretarlo vari modi di gestire un analisi di rischio di conseguenza un’esperienza come dire dettata anche da un bagaglio di iata la visione di altri modelli in altre realtà può consentire di fare quella stessa cosa che fa sempre il management di ogni azienda cioè copiare dei pezzi delle parti di altri modelli di business e per arricchire il proprio nella gestione di un modello aziendale si fa un po la stessa cosa per un’altra finalità cioè comprendere come gli altri si eleggano per cercare di migliorare il proprio approccio anche la gestione del rischio tutto questo canyon cerca ha cercato di farlo e cerca di farlo già ormai da una ventina d’anni.

Secondo ospite in collegamento l’avvocato Chiara Padovani dello Studio Legale Padovani.

Come è cambiata l’attività dell’organismo di vigilanza?
Chiara Padovani. L’attività dell’organismo di vigilanza possiamo dire che sia cambiata sia in termini qualitativi che quantitativi qualitativi perché la progressiva introduzione di nuove reati di particolare complessità tecnica penso dei reati informatici a quei di cybercrime da ultimo ai reati tributari hanno imposto un ampliamento della sfera delle aree di controllo dell’organismo di vigilanza dell’organismo di vigilanza ma anche una richiesta sempre maggiore di alte competenze in campo penalistico particolarmente specifiche e tecniche inoltre come sappiamo l’emergenza sanitaria tuttora in atto ha fatto derivare una serie di rischi diretti ed indiretti in tema 2 3 1 che mi hanno messo a dura a duro banco di prova la resistenza la tenuta dei sistemi 2 3 1 che ha imposto e che deve imporre correttamente all’organismo di vigilanza una maggiore attenzione ad arie del ciclo passivo ed attivo che in tempi di normalità come dire magari non erano direttamente sottoposti alla vigilanza al controllo dello pianismo quindi potremmo dire che le modifiche alla tipologia di attività la tipologia di metodologia di vigilanza e di controllo sono profondamente modificate negli ultimi anni e sono ulteriormente modificate in ragione della pandemia come dicevo sia sotto un profilo qualitativo ma anche sotto un profilo quantitativo rispetto all’impegno di tempo di dedizione che l’organismo deve ovviamente dedicare alla vigilanza e al controllo sull’efficacia attuazione del modello organizzativo.

Quali sono dunque le caratteristiche peculiari dell’organismo di vigilanza adeguato ai nuovi rischi?
Chiara Padovani. Beh innanzitutto le caratteristiche peculiari sono comunque ancora quelle tracciate dalle direttrici normative e quindi da quelle che sono ricavabili dal combinato disposto di cui all’articolo 6 comma 1 lettere b e d del decreto legislativo 231 del 2001 quindi ovviamente sul presupposto che la caratteristica principe principale dell’organismo deve essere sempre la sua autonomia e la sua indipendenza nell’esplicazione dei propri poteri propositivi consultivi istruttorie di impulso a ciò ovviamente si aggiunge nella pratica una capacità complessiva dell’organismo se si parla ovviamente di organismi collegiali una capacità complessiva di come dire esplicare al meglio le proprie competenze quindi ciascun membro dell’organismo di vigilanza dovrà avere un elevato standing professionalità e nell’insieme essere l’ideale per vigilare al meglio su quel modello calibrato su quella specifica realtà aziendale quindi non tutti i componenti dell’organismo di vigilanza devono avere le stesse caratteristiche per tutti gli organismi di vigilanza delle diverse aziende la componente penalistica è fondamentale perché sappiamo che la materia di cui trattiamo è una materia di matrice penale che riguarda una responsabilità che vedrà in casi negativi l’ente al banco degli imputati insieme alla persona fisica imputata quindi la materia di cui trattiamo una materia penale la componente di specializzazione penalistica deve essere presente ma ovviamente a ciò si devono accompagnare altre professionalità che rischi ripeto devono essere coerenti con quella specifica tipologia di rischio al quale l’azienda è maggiormente esposta.

Nella seconda parte di Doppio Binario, si è continuato a parlare dell’attività di vigilanza all’interno delle aziende, di come è cambiata questa attività nel corso di questa emergenza sanitaria. Se ne è parlato con l’avvocato Sara Citterio, General Counsel di Trussardi.

Come è cambiata l’attività del vostro organismo di vigilanza?
Sara Citterio. L’attività dell’organismo di vigilanza in realtà nel merito non è cambiata tantissimo quello che si è intensificata è stata la parte più relativa ai controlli nel senso che il nostro modello organizzativo realtà era un modello organizzativo piuttosto recente che quindi aveva preso in considerazione tutta una serie di sviluppi tra cui ovviamente anche le normative più recenti quindi dal punto di vista diciamo della struttura del nostro modello non abbiamo ritenuto opportuno e necessario e soprattutto dover intervenire è logico che il manifestarsi della pandemia ha creato tutta una serie di occasioni in più rispetto a quelle precedentemente mappate ovviamente che riguardano una serie di reati i reati diciamo più sensibili a livello di kobe 19 possono essere sia ovviamente i reati legati proprio per anche la situazione emergenziale la normativa emergenziale che si è verificata magari maggiori e spumeggiante sposizione a quelli che possono essere i reati nei confronti della pubblica amministrazione perché ci sono stati molti più contatti dell’azienda la nostra ma penso anche tante altre per l’ottenimento dei finanziamenti previsti dalla normativa emergenziale quindi questo era un po un’area che almeno per quello che ci riguarda era meno sotto il controllo proprio perché le occasioni anche di contatto con la pubblica amministrazione non erano particolari in epoca pre covip ovviamente sono aumentate quindi questo ha comportato un maggior contatto una maggiore esposizione ed anche quindi una maggiore necessità di verifica che i protocolli in azienda venissero rispettati ovviamente ci sono poi state anche altre sensibilità molte di queste legate a quello che è stato il periodo di telelavoro o smart working all’interno dell’azienda che ha aperto ovviamente il fianco all utilizzo maggiore e di reti da casa da parte dei dipendenti non protette e quindi una maggiore sensibilità anche rispetto a reati informatici di vario tipo e logico che quando uno è lavora alla propria postazione all’interno dell’azienda ci sono tutta una serie di sistemi di protezione che magari a casa possono essere evasi in maniera molto più facile quindi questa è un’altra area dove si è intensificata l’attenzione rispetto appunto alla possibilità di commettere reati un’altra possibilità che abbiamo riscontrato e che purtroppo visto anche recentemente anche proprio oggi leggendo alcuni giornali e quella del approvvigionamento di alcuni dpi che ovviamente purtroppo a ridosso diciamo della nascita della dell’emergenza erano introvabili ora grazie al cielo sono un po più disponibili che però aveva creato tutta una serie di problematiche di approvvigionamento parlo ad esempio delle famose mascherine sappiamo tutto insomma quello che era successo ma giusto per per indicarne alcuni c’era anche stato un po di difficoltà anche di approvvigionamento dei liquidi di disinfezione delle mani per esempio ecco qui tutta la catena anche di approvvigionamento di questo tipo di prodotti ovviamente creava delle sensibilità o avrebbe potuto diciamo creare delle sensibilità e degli episodi di rischio magari potenziale però comunque da valutare anche di corruzione tra privati piuttosto che di acquisto di presidi non conformi rispetto alla normativa purtroppo le cronache ci hanno restituito alcuni casi nei quali questo rischio si è verificato ecco quindi anche da questo punto di vista diciamo le attività di controllo si sono andate a puntualizzare ad intensificare questi diciamo per quello che riguarda quelli che potrebbero essere i reati indiretti perché poi sappiamo che i rischi diretti che abbiamo affrontato tutti come datori di lavoro sono ovviamente quelli legati alla salute alla sicurezza e quindi il controllo della applicazione all’interno delle aziende in tutte le sue unità produttive di quella che era la normativa relativa alla organizzazione del lavoro a seguito della riapertura quindi dopo la fase 2 noi ovviamente in fase 1 avevamo e questo è un altro controllo tra l’altro che abbiamo fatto avevamo dei codici ateco che non ci permettevano l’apertura quindi abbiamo comunque dovuto constatare che applicare la chiusura e dopodiché quando in fase ii siamo riusciti a riaprire poco per volta tutte le unità produttive anche questo ha comportato ovviamente un controllo dell’applicazione dei protocolli l’ultima versione quella del 24 di aprile dell’anno scorso e anche questo ovviamente ha coinvolto anche gli organismi di vigilanza interni dell’azienda perché giustamente c’è stato anche una verifica e un’interfaccia con quelli che sono i comitati interni che si occupano direttamente di questa attività per valutare che tutte le procedure messe in atto fossero coerenti rispetto alla normativa e fossero ovviamente implementate correttamente anche nel corso del tempo.

Quali saranno anche i nuovi rischi? In che modo è possibile avere e costruire un modello che sia il più possibile flessibile e impermeabile a questo tipo di rischi?
Sara Citterio. Purtroppo ovviamente l’impermeabilità è difficile da ottenere anche perché quello che noi cerchiamo di fare è di minimizzare i rischi sfortunatamente soprattutto appunto quando ci sono modalità di lavoro da remoto per cui c’è anche meno possibilità di controllo da parte del datore di lavoro è logico che questo può occasionare delle attività fuori da quelle che sono da quelli che sono i normali perimetri che vengono generalmente osservati all’interno dell’azienda quindi l’unica cosa che si può fare in questi casi è intensificare le attività di vigilanza focalizzandosi proprio su quei settori che più di altri e quindi va fatta ovviamente una valutazione ex ante assolutamente scevra da qualsiasi tipo di pregiudizio quindi si va ad analizzare quelle che potrebbero effettivamente essere le aree sensibili indipendentemente dal fatto che si siano o meno verificati in passato determinate violazioni di quelli di quei protocolli e poi si vanno ad applicare i controlli che possono essere più o meno stringenti a secondo del grado di rischio che si viene ad analizzare purtroppo eliminare totalmente il rischio è impossibile ma minimizzarlo ea questo punto anche il fatto appunto di una presenza costante dei controlli che comunque fa sentire la presenza di un organismo che vigila è già di per sé o comunque può costituire un deterrente per evitare che alcuni rischi poi possano trasformarsi in vere e proprie occasioni di reato certo quindi in questo senso l’attività dell’organismo vigilanza e fondamentale un ruolo decisamente chiave.

Secondo Ospite in collegamento, l’avvocato Chiara Padovani, Fondatrice dello Studio Legale Padovani.

Qual è l’importanza che riveste l’organismo di vigilanza all’interno di un’azienda?
Chiara Padovani. L’importanza è centrale come si evince anche dalla ratio dell’intero impianto normativo di cui al decreto legislativo 231 del 2001 perché sappiamo dal combinato disposto dell’articolo 6 comma 1 lettere b e lettera di che è proprio l’organismo di vigilanza a operare anche in chiave esimente rispetto alla potenziale responsabilità dell’ente laddove la funzione di vigilanza e di controllo sull’efficacia attuazione del modello sia stata attribuita ad un organismo indipendente quindi a un organismo di vigilanza indipendente ed autonomo e se l’organismo di vigilanza abbia nel corso del tempo espletato questa attività in maniera densa concretamente efficace e quindi non rimprovera non che non possa essere rimproverato in qualche modo in chiave omissiva rispetto a questa vigilanza all’organismo di vigilanza e quindi all’ente non solo ma questa importanza poi questa centralità del ruolo dell’organismo di vigilanza la desumiamo anche da quelli che sono i poteri concreti che sono attribuiti non soltanto dalla ratio normativa ma anche potremmo dire dalla soft law e quindi dalle varie linee guida e dalle migliori pratiche nazionali poteri che sono quelli propositivi consultivi istruttori e l’impulso che pura come dire essendo lontani sia quali attivamente che quantitativamente rispetto a quelli impeditivi disciplinari o di diretta o di diretto potere modificativo del modello assumono però come dire riassumo nel cuore del compito di vigilanza dell’organismo stesso a questa centralità poi oggi si affianca una particolare attenzione che l’organismo deve prestare verso non soltanto la trattazione delle segnalazioni anche in chiave we stand blogging di cui in alcune realtà aziendali l’organismo è destinatario come canale appunto destinatario delle segnalazioni anche in chiave whistleblowing ma anche della formazione quindi della formazione della comunità lavorativa sulle tematiche 2 3 1 e soprattutto ovviamente sulla sulle concrete realtà dei singoli modelli e quindi dei singoli protocolli di prevenzione in chiave per altre 20.

Ci sono a suo avviso dei passaggi cruciali diciamo così dei passaggi chiave che l’azienda deve seguire per dotarsi di organismi insomma adeguati e se vogliamo riassumerli molto scientificamente?
Chiara Padovani. Il primo step è quello di scegliere motivatamente se l’azienda vuole dotarsi di un organismo monocratico collegiale e guardate bene questo primo passaggio è fondamentale perché deve essere un passaggio che dovrà rispondere in termini coerenti alla realtà aziendale e al grado qualitativo e quantitativo di esposizione di quella azienda determinati rischi di reato quindi la prima scelta motivata e che dovrà fare il consiglio di amministrazione nei casi in cui sia il consiglio di amministrazione ovviamente a nominare l’organismo di vigilanza sarà quella di scegliere tra un organismo monocratico il secondo step sarà quello di valutare a quel punto qualitativamente che tipo di professionalità l’organismo ha bisogno rispetto a quella realtà aziendale ovviamente la scelta sarà più complessa nel caso di organismo monocratico perché quello che io consiglio di avere sempre parti casi in cui il collegio sindacale può svolgere questo questo ruolo e come previsto dal decreto legislativo 231 ma in ogni caso e in quell ipotesi fondamentale la presenza d’una di un professionista con una preparazione penalistica molto forte che ovviamente abbia già avuto delle precedenti esperienze in questo ambito perché ovviamente l’organismo di vigilanza monocratico non beneficia di quella di quella possibilità di confronto dialogico con alti membri rispetto invece a un organismo di vigilanza collegiale oltre a una figura di penalista saranno necessarie altre professionalità che ripeto non si possono standardizzare nella loro scelta preventivamente dovranno essere calibrate sulle specifiche esigenze aziendali per fare un esempio concreto se un’azienda è particolarmente esposta a reati collegati reati ambientali o di sicurezza igiene e sicurezza sul lavoro e evidente che anche la presenza di un professionista ad esempio di un ingegnere ambientale comunque di un professionista che si occupi dal lato tecnico di queste materie è sempre preferibile.

@Trascrizione Automatica