Come armonizzare i controlli eseguiti dal DPO e dall’OdV per la compliance integrata in azienda

All’interno delle imprese, la grande complessità delle normative che vincolano e condizionano i processi aziendali postula la necessità che i diversi Organi di controllo interno non solo si scambino sistematicamente informazioni ed esperienze, come evidenziato in un precedente articolo, ma predispongano anche, congiuntamente, moduli operativi che garantiscano una “compliance integrata”.

Ciò è reso possibile dal fatto che, sebbene siano incaricati di vigilare in esecuzione di mandati specifici, il DPO e l’OdV condividono perimetri d’azione sovrapponibili, sui quali è possibile far leva per organizzare ed eseguire audit congiunti.

Questo articolo è un invito a esplorare le frontiere comuni di detti Organi di controllo, laddove la fusione di ruoli non è solo possibile, ma essenziale e necessaria per una gestione rafforzata della compliance alle diverse normative di settore.

Benvenuti nell’era della “compliance integrata”: l’armonia tra la sicurezza dei dati e la vigilanza sull’adeguatezza della gestione aziendale.

La sorveglianza del DPO quale fattore di legittimazione degli organi di controllo interno

I rispettivi perimetri d’intervento di DPO e OdV

Il perimetro d’intervento del DPO concerne ovviamente tutti i trattamenti di dati personali. Quello dell’OdV riguarda, invece, la prevenzione della commissione di reati presupposto della responsabilità amministrativa dell’Ente, in continuo divenire.

Per poter svolgere al meglio le loro attività, entrambi questi organismi necessitano di procedure che il D.lgs. 231/2001, come è noto, definisce con il termine “protocolli”. Questi, non solo permettono di regolamentare i processi di verifica e renderli condivisibili all’interno del perimetro aziendale, ma forniscono un criterio per le attività di audit che entrambi gli Organi sono chiamati a pianificare, eseguire e rendicontare.

L’analisi delle aree di sovrapposizione può essere eseguita partendo dall’esame della lista dei c.d. “reati presupposto” aggiornata alla data di pubblicazione del presente articolo, dalla quale sono stati estratti quelli che presentano, almeno in prima battuta, una applicazione trasversale, i.e. di interesse sia dell’OdV che del DPO. Ovviamente la previsione di nuovi “reati presupposto” implica la revisione di detta lista.

Reati ambientali

Nell’area relativa ai reati ambientali^[1] le tematiche in comune tra DPO e OdV possono riguardare la procedura relativa al “Ciclo di vita dell’HW” che comprende la dismissione sicura dell’hardware (non solo server e PC ma anche GPS, cellulari, multifunzione, ecc.).

L’analisi dovrebbe essere condotta anche con riguardo ai criteri di scelta dei fornitori di servizi di smaltimento o anche di noleggio di HW, i quali potrebbero essere, in alcuni contesti, considerati come responsabili del trattamento.

Tale aspetto, tra l’altro, oltre ad essere uno dei controlli considerati dalla ISO/IEC 27001:2022 (7.14 Dismissione sicura o riutilizzo delle apparecchiature) deve anche essere coerente con la “DIRETTIVA 2012/19/UE del 4 luglio 2012 sui rifiuti di apparecchiature elettriche ed elettroniche (RAEE)”.

Casi particolari possono riguardare, ad esempio, lo smaltimento delle lastre radiografiche che sono conservate da un centro di diagnostica per immagini o anche la dismissione di grandi archivi cartacei.

Delitti in materia di violazione del diritto d’autore

In relazione all’art. 171-bis legge n.633/1941 comma 1)^[2] sono da considerare, come temi compresi nelle sfere di competenza di entrambi gli Organi, gli aspetti relativi alla corretta gestione delle licenze SW (anche per i collaboratori che utilizzano BYOD).

Il tema risulta di interesse del DPO come misura di sicurezza. Anche questo aspetto, infatti, è considerato tra i controlli della ISO/IEC 27001:2022 (5.32 Diritti di proprietà intellettuale), in quanto una errata gestione delle licenze, ovvero il ricorso a licenze non autorizzate può minare la sicurezza dei sistemi. I processi da verificare riguardano la configurazione degli apparatati e la gestione delle licenze software.

Analogamente, anche l’art. 171-bis legge n.633/1941 comma 2)^[3] presenta risvolti di interesse per il DPO, laddove la banca dati contenesse dati personali.

Delitti contro la personalità individuale

Rispetto a questo tema^[4], il DPO ha il dovere di verificare se:

1. siano state adottate adeguate misure di sicurezza in relazione ai privilegi forniti ai collaboratori aziendali per accedere ad intranet;
2. siano previsti ed eseguiti i controlli da parte dell’organizzazione sulla navigazione del singolo utente (al riguardo rilevano anche le disposizioni del D.lgs. 104/2022 cd. “Decreto Trasparenza” per quanto esterno al perimetro del D.lgs. 231/2001);
3. siano stati rilasciati i permessi di navigazione e le protezioni presenti sulla rete guest;
4. siano presenti whitelist e black list.

Anche in questo ambito, gli adempimenti a carico del DPO richiamano i controlli della ISO/EC 27001:2022 (8.20 Sicurezza delle reti, 8.21 Sicurezza dei servizi di rete e 8.22 Segregazione delle reti).

Grande rilevanza assume anche la gestione delle informazioni presenti nel casellario giudiziale per quei soggetti che ricoprono mansioni che comportano rapporti con minori. Si tratta, nel complesso, di tematiche molto delicate che possono impattare su varie funzioni aziendali, ma in modo particolare su quelle dell’area ICT.

Reati societari

La conoscenza di informazioni privilegiate da parte di collaboratori aziendali potrebbe configurare il reato di aggiotaggio^[5]. Pertanto, la verifica dei permessi di accesso a tali informazioni è una preoccupazione, certamente per l’OdV, ma anche per il DPO, qualora tali informazioni contenessero dati personali.

Benché un tale scenario possa apparire, in prima battuta, difficilmente configurabile, si pensi al verificarsi di un data breach (sotto forma di perdita di riservatezza delle informazioni) che, non ancora noto, potrebbe:

1. innescare comportamenti delle persone a conoscenza di tale informazione volti ad ottenere vantaggi a danno di terzi;
2. compromettere in modo irreparabile l’immagine aziendale.

Violazione delle norme sulla sicurezza sul lavoro

L’ambito che investe tali reati^[6] riguarda sia gli aspetti relativi agli infortuni sul lavoro che le malattie professionali.

Il DPO ha il dovere di controllare “chi”, “dove”, “per quanto tempo” e “con quali misure” conserva i documenti relativi ai citati aspetti. Tutto ciò, ovviamente, in modo congruente con quanto riportato sull’informativa resa ai lavoratori dipendenti interessati.

L’OdV accede a tali informazioni a seguito di una comunicazione, come regolamentato dai flussi, laddove si verificassero tali eventi e nel corso dei controlli calendarizzati.

Reati di impiego di cittadini di paesi terzi il cui soggiorno è irregolare

Anche in questo ambito^[7], analogamente al precedente, il DPO è chiamato a verificare se i dati personali dei cittadini di paesi terzi sono trattati in modo conforme alla normativa privacy e a quella di settore, considerando che, ad esempio, è esposta a sanzioni l’organizzazione che occupi, sia a tempo determinato che indeterminato, alle proprie dipendenze, cittadini di paesi terzi, privi del permesso di soggiorno, ovvero il cui permesso sia scaduto e del quale non sia stato chiesto, nei termini di legge, il rinnovo, o che sia stato revocato o annullato.

Reati di delitti informatici e trattamento illecito di dati

Resta poi, last but not least, l’amplissimo tema dei reati informatici^[8] che presentano molti e variegati aspetti oggetto di controllo.

La prevenzione di tali reati comporta una serie di misure sia tecniche che organizzative che richiedono competenze mirate e spesso il ricorso ad esperti qualificati per la valutazione dell’efficacia delle stesse.

Conclusioni

Questo viaggio oltre i limiti dei rispettivi compiti vuole evidenziare come l’armonizzazione dei controlli eseguiti dal DPO e dall’OdV possa costituire un fattore di potenziamento della compliance.

Tale potenziamento è una conseguenza della realizzazione della c.d. compliance integrata che vede DPO e OdV come architetti di una realtà aziendale etica e sostenuta da pratiche conformi e responsabili.

La precedente analisi non è da intendersi ovviamente definitiva in quanto:

1. l’estensione del perimetro dei reati contemplati dal D.lgs. 231/2001 potrebbe introdurne di nuovi;
2. ambiti specifici in cui opera l’organizzazione potrebbero contemplare ulteriori ambiti e/o ulteriori letture dei reati considerati.

NOTE

1. D.lgs 231/2001 art. 25-undecies. ↑

2. Abusiva duplicazione, per trarne profitto, di programmi per elaboratore; importazione, distribuzione, vendita o detenzione a scopo commerciale o imprenditoriale o concessione in locazione di programmi contenuti in supporti non contrassegnati dalla SIAE; predisposizione di mezzi per rimuovere o eludere i dispositivi di protezione di programmi per elaboratori ↑

3. Riproduzione, trasferimento su altro supporto, distribuzione, comunicazione, presentazione o dimostrazione in pubblico, del contenuto di una banca dati; estrazione o reimpiego della banca dati; distribuzione, vendita o concessione in locazione di banche di dati ↑

4. D.lgs. 231/2001 – art. 25-quinquies. ↑

5. D.lgs. 231/2001 – art. 25-ter. ↑

6. D.lgs. 231/2001 – art. 25- septies. ↑

7. D.lgs. 231/2001 – art. 25-duodecies. ↑

8. D.lgs. 231/2001 – art. 24-bis. ↑