La gestione del rischio: compliance integrata tra art. 2086 C.C. e modelli organizzativi privacy

Il Modello Organizzativo di Gestione e Controllo previsto dal D.lgs. 231/2001 è un paradigma utile a costituire una base per la costruzione di tutti gli altri modelli (o sistemi) di compliance di cui un’impresa deve dotarsi.

03 Mag 2022

Lorenzo Bianchi

Partner LS Lexjus Sinacta

Per risk management la dottrina economico-aziendale intende quel processo che individua un insieme di attività relative all’identificazione, valutazione e trattamento delle criticità strategiche, organizzative, operative, finanziarie e di compliance che possono danneggiare la struttura aziendale. La definizione che maggiormente individua gli scopi dei processi di risk management è quella proposta dalla FERMA (Federation of European Risk Management Associations) che afferma:

“il risk management è il processo attraverso il quale le organizzazioni affrontano i rischi legati alle loro attività con lo scopo di ottenere benefici durevoli … e permette la comprensione dei potenziali aspetti positivi e negativi di tutti i fattori che possono influenzare l’organizzazione […] il risk management deve affrontare sistematicamente tutti i rischi che circondano le attività del­l’organizzazione nel passato, nel presente e, soprattutto, nel futuro”. 

Il risk management partecipa quindi al perseguimento degli obiettivi di un’orga­niz­zazione, migliorando il processo decisionale e l’allocazione delle relative risorse.

La gestione del rischio in azienda

La gestione dei rischi d’impresa è centrale nei sistemi di corporate governance.

In tale contesto, i dirigenti e i manager in tutte le organizzazioni economiche hanno il compito di gestire il rischio imprenditoriale in nome e per conto degli stakeholders. Essi prendono decisioni strategiche per perseguire gli obiettivi e le opportunità di business che implicano l’assunzione di un rischio.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Al manager viene chiesto di prendere delle decisioni strategiche bilanciando rischi di perdita e potenziali guadagni e minimizzando le probabilità di danneggiare l’ente che governano.

Al board è richiesto di svolgere un ruolo di supervisione (c.d. risk oversightche consiste, come definito dai principles of corporate governance emessi dal G20/OECD, nella supervisione dei ruoli e delle responsabilità del processo di risk management, nella definizione della tipologia e del livello di rischio che la società è disposta ad assumere per raggiungere i propri obiettivi (propensione al rischio o risk appetite), nonché nelle modalità con cui i rischi devono essere gestiti.

A partire dall’anno 2000, le varie crisi finanziarie e i conseguenti fallimenti societari, hanno spinto numerose istituzioni ad adottare standard framework rivolti allo sviluppo di modelli di risk management di tipo universale.

Ogni standard propone diversi modelli di processo, in particolar modo per ciò che riguarda le varie fasi del RM, pur concordando nel definire un processo di gestione integrata dei rischi, basato su alcune fasi tipiche (comunicazione e reporting, definizione del contesto, coinvolgimento degli stakeholders, definizione del risk appetite, ecc.)[1].

Nel corso dei decenni la modalità di gestione dei rischi aziendali si è evoluta, allontanandosi dalla visione strettamente assicurativa e proponendo metodi che includano oltre ai rischi finanziari anche i rischi puri, gestibili mediante tecniche interne.

I diversi approcci, inizialmente concepiti come processi autonomi legati alle varie funzioni aziendali, sono stati gradatamente inseriti in una prospettiva di gestione dei rischi integrata e proattiva che propone obiettivi, criteri e strumenti di gestione flessibili, disegnati su misura per ogni settore aziendale e per specifica tipologia di impresa.

Il rischio legale

È il rischio, insito in ogni attività imprenditoriale, di perdite derivanti da violazioni di leggi, regolamenti, da responsabilità precontrattuale, contrattuale o extra-contrattuale e, più in generale, da controversie, vertenze giudiziali.

La norma ISO 31022, complementare alla ISO 31000, fornisce le linee guida per la gestione delle sfide specifiche di rischio legale affrontate dalle organizzazioni.

Le organizzazioni operano in un ambiente complesso in cui gli viene richiesto di essere «compliant» con le diverse legislazioni nazionali, europee e internazionali.

Per questo motivo, sviluppare e implementare un sistema di gestione dei rischi legali è funzionale a proteggere ed a incrementare il valore di un’azienda stessa.

Il Legal Risk Management è un’attività volta a individuare le aree in cui risiede il rischio legale al fine di procedere alla sua eliminazione o quantomeno, alla sua riduzione.

Essa si articola nelle seguenti fasi:

  1. mappatura dell’attività aziendale;
  2. individuazione delle principali aree di rischio legale, comprese quelle aree border line;
  3. analisi e valutazione del rischio legale;
  4. individuazione delle priorità di intervento;
  5. elaborazione delle strategie di gestione del rischio;
  6. monitoraggio e aggiornamento delle strategie di gestione dei rischi.

Il metodo più efficace di gestire il rischio (legale) è prevenirlo… Vediamo come.

  1. Audit interno
  2. Contract management
  3. Modelli di gestione compliance (Privacy, antiriciclaggio, 231, sicurezza sul lavoro etc…)

Con particolare riferimento al rischio legale, questo non è limitato unicamente – come solitamente si pensa e come le imprese tendono ad affrontarlo – alla gestione di potenziali controversie (giudiziali) ma si amplia alla conoscenza degli ordinamenti giuridici e delle prassi.

È possibile distinguere tra:

  • rischio legale in senso lato, ossia il rischio si subire perdite da violazioni di legge e regolamenti, da responsabilità contrattuale o extracontrattuale
  • rischio compliance, ossia il rischio di incorrere in sanzioni giudiziali o amministrative (cfr. D.gls 231/2011 e Reg EU 679/2016 c.d. GDPR), perdite finanziarie rilevanti o danni reputazionali in conseguenza di violazione di norme imperative o di norme di c.d. autoregolamentazione (es statuti, codici etici, codici di condotta e autodisciplina).

Sono tantissime le norme di settore che dettano disposizioni che possono essere fatte rientrare nel concetto di compliance:

  • Privacy (Reg. EU 679/2016 c.d. GDPR e D.lgs. 196/2003 c.d. Codice Privacy)
  • Tutela dal Consumatore (D.lgs. 206/2005)
  • Antiriciclaggio (D.lgs. 231/2007)
  • Sicurezza sul posto di lavoro (D.lgs. 81/2008)
  • Responsabilità amministrativa delle persone giuridiche (d.lgs. 231/2001)

Non è più possibile gestire questa complessità normativa con approcci sporadici basati unicamente sull’emergenza o sulla mera “messa a norma”, ma è necessario favorire sempre di più una visione integrata della compliance[2].

La compliance integrata e adeguati assetti organizzativi

L’eccessiva procedimentalizzazione delle decisioni gestionali e la moltiplicazione dei controlli rischiano di ostacolare la diffusione di una sana cultura dell’organizzazione societaria a favore di una applicazione formalistica e burocratica delle regole di governo.

È quindi necessario valutare attentamente i punti di contatto dei diversi “modelli” e procedere con l’adozione da parte delle imprese di un sistema integrato in grado di assicurare una più efficiente gestione delle attività[3] costruendo un “nuovo” Modello di organizzazione e gestione uniforme, che, fungendo da cornice, rifletta più descrizioni di compliance.

La stessa Confindustria, nel redigere le Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo (cfr. versione del 17 giugno 2021, p. 42 ss) mette in evidenza i vantaggi in una gestione integrata degli obblighi di compliance:

  • Razionalizzare le attività;
  • Migliorare l’efficacia ed efficienza delle attività di compliance;
  • Facilitare la condivisione delle informazioni attraverso una visione integrata delle diverse esigenze di compliance, anche attraverso l’esecuzione di risk assessment congiunti.

Quest’ultimo punto è, a mio avviso, particolarmente importante in quanto una analisi integrata dei rischi è sicuramente in grado di essere realizzata nell’ottica di produrre un miglior coordinamento organizzativo.

Tutti i sistemi di compliance sopra citati mirano alla prevenzione di rischi talvolta coincidenti, pur essendo assoggettabili ad analisi tra loro differenti. Tale approccio coordinato consentirebbe, quindi, la predisposizione di set documentali coerenti e, talvolta, unificati.

A confermare quanto detto vi è anche il nuovo Codice della crisi di impresa al cui interno il riferimento agli adeguati assetti, organizzativi(art. 2086 c.c.) appare come norma di coordinamento del concetto di compliance integrata.

L’adeguatezza degli “assetti” sembra infatti mutuare la sua ratio dal mondo della compliance nel quale l’adeguata gestione del rischio passa attraverso una altrettanto adeguata organizzazione aziendale per il tramite delle misure di gestione dei rischi rilevati[4].

Modello organizzativo privacy

Negli ultimi anni (e nel corso delle ultime settimane ancora di più, a causa dei noti eventi internazionali) il sistema che più di tutti ha impatto il mondo delle imprese è stato quello relativo alla sicurezza informatica e alla protezione dei dati personali.

L’entrata in vigore del GDPR è stata l’occasione per le imprese più lungimiranti di rivedere il sistema di gestione delle informazioni aziendali (tra cui i dati personali) e di implementarne, talvolta per la prima volta, la sicurezza.

La pandemia prima (con il diffuso ricorso a sistemi di lavoro ibridi) e i recenti eventi bellici poi, hanno fatto comprendere con grande urgenza l’importanza di dotarsi di un sistema di gestione dei dati (e sicurezza informatica degli stessi) adeguato ai crescenti rischi della società odierna.

Qualunque Modello Organizzativo nasce con lo scopo di creare uno strumento completo ed organico volto a favorire da un lato, l’aggiornamento dei documenti in esso contenuti, dall’altro la verifica della omogeneità ed armonizzazione di ciascuna sua parte[5].

Di fondamentale importanza appare quindi – nell’ottica integrata di cui si è dato conto sopra – la necessità di includere il MOP (Modello Organizzativo Privacy) all’interno di una declinazione di Modelli Organizzativi compositi.

Il MOP non può consistere in un insieme di documenti a sé stanti, scollegati dal quadro più ampio delle normative che le aziende devono rispettare, bensì è parte del più ampio Modello Organizzativo tipico di una realtà aziendale.

Il MOP presenta molti punti di contatto con le indicazioni di cui al D.lgs. 231/2001 (Organigramma, valutazione dei rischi, reati informatici, formazione, sistema sanzionatorio, Organismo di Vigilanza/DPO).

Allo stesso modo il MOP presenta punti di contatto con la normativa sulla “Trasparenza” (d.lgs. 33/2013) e con quella sulla “Sicurezza sui luoghi di lavoro” (d.lgs. 81/2008).

Per non parlare dell’importanza che un MOP ben redatto e “ragionato” può avere rispetto alla tutela non solo dei dati personali ma anche di tutte quelle informazioni (dati non personali) che costituiscono quel know how aziendale che, troppo spesso, le aziende non sono in grado di tutelare adeguatamente a causa delle scarse (per non dire nulle) misure di tutela e secretazione messe in atto nel corso del tempo[6].

L’opportunità di passare da un approccio isolato e settoriale a un approccio integrato viene quindi ulteriormente confermato e gli operatori saranno chiamati a uno sforzo di coordinamento in grado di garantire al contempo efficacia, adeguatezza ed efficienza.

clausole manleva

Conclusioni

In definitiva si può concludere ritenendo il Modello Organizzativo di Gestione e Controllo previsto dal D.lgs. 231/2001 come un paradigma utile a costituire una base per la costruzione di tutti gli altri Modelli (o sistemi) di compliance di cui un’impresa deve dotarsi, ponendo a fattor comune gli elementi di sovrapposizione (come la valutazione dei rischi) e andando poi a differenziare le misure di gestione dei rischi rilevati sulla base delle specifiche esigenze normative.

Il coordinamento, a ben vedere, dovrà manifestarsi in fase di assessment e redazione documentale, al fine di arrivare ad un prodotto finito che costituisca la fusione di tutti i modelli presenti presso l’organizzazione.

Un Modello di modelli, un cruscotto dal quale poter ricavare, di volta in volta, gli strumenti utili alla miglior gestione delle attività aziendali e con il quale poter realmente effettuare una gestione del rischio in grado di non impattare in modo negativo sul funzionamento delle attività aziendali ma, al contrario, in grado di garantirne un miglior funzionamento in un’ottica di efficientamento complessivo e crescita del valore aziendale.

Note

  1. Cfr. Modelli di Gestione del Rischio e Compliance ex D.lgs. 231/2001, Ottorino Capparelli, Luca Lanzino, IPSOA 2016.
  2. Andrea Esposito “L’impetuosa avanzata della compliance. La 231/01 ha compiuto 20 anni” in cui l’autore osserva come a 20 anni dall’entrata in vigore del d.lgs. 231/2001 gli strumenti di compliance si siano moltiplicati “ponendo al centro dell’agire di impresa l’immagina della auto-regolamentazione. I modelli di conformità sono aumentati interessando svariati settori: dal d.lgs. 81/2008 in materia di tutale della salute e della sicurezza, alla disciplina antiriciclaggio ai sensi del d.lgs. 231/2007, alla tutela dell’ambiente, al tema della protezione della privacy. Da ultimo, con il Codice dell’insolvenza, il principio di correttezza organizzativa è definitivamente clausola generale della buona gestione aziendale”.
  3. Andrea Esposito Op. Cit. “si tratta di portare a sistema i variegati frammenti di compliance secondo una proiezione unitaria”.
  4. Il concetto di “adeguatezza” emerge con insistenza: nell’art. 2086 c.c., nella valutazione dell’esimente di un Modello organizzativo 231/01 (cfr. Trib. Milano 17 novembre 2009 con la quale, per la prima volta la giurisprudenza ha riconosciuto l’adeguatezza dei modelli organizzativi di prevenzione dei reati, consentendo così alla società imputata di usufruire dell’esimente di responsabilità), nell’art. 25 del GDPR “[…]il titolare del trattamento mette in atto misure tecniche e organizzative adeguate […]”.
  5. Il Modello Organizzativo Privacy – MOP, Monica Perego, Simona Persi, Chiara Ponti, Giuffrè 2021.
  6. Artt. 98 e 99 del CPI (Codice di Proprietà Industriale ex d.lgs 30/2005) che al fine di tutelare i segreti commerciali – intesi quali informazioni aziendali ed esperienze tecnico-industriali, comprese quelle commerciali – richiedono la presenza dei seguenti presupposti: (i) segretezza delle informazioni, (ii) valorizzazione economica e (iii) adozione di misure ragionevolmente adeguate a mantenerle segrete.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy
@RIPRODUZIONE RISERVATA
B
Lorenzo Bianchi
Partner LS Lexjus Sinacta
Argomenti trattati

Approfondimenti

G
GDPR
R
risk assessment
R
risk management

Articolo 1 di 5