Basic HTML Version
NUMERO 205 - GENNAIO / FEBBRAIO 2012
21
IL COMMERCIALISTA VENETO
governance
dei sistemi informatici - inmateria di “igiene
e sicurezza sul lavoro” la necessità di un tale approc-
cio è, di fatto, un obbligo imposto dal legislatore.
Il riferimento normativo principale in tal senso, è co-
stituito dall’art. 30 del D.Lgs. n. 81/2008, relativo, per
l’appunto ai “Modelli di organizzazione e gestione”
in ambito salute e sicurezza sul lavoro, nel quale ven-
gono stabiliti i requisiti-base richiesti ad un modello
organizzativo aziendale orientato ad avere efficacia
esimente rispetto alla responsabilità amministrativa
degli enti per i reati di cui agli articoli 589 e 590, 3°
comma, c.p.
12
, commessi con violazione delle norme
sulla tutela di salute e sicurezza sul lavoro.
Senza ripercorrere in dettaglio il contenuto della citata
disposizione, i concetti rilevanti per una sintetica let-
tura della medesima vengono di seguito descritti.
In primo luogo, l’azienda deve garantire l’adempimen-
to di tutti gli obblighi giuridici in materia di “sicurez-
za” intesa in senso lato, ossia, e per esemplificare: dal
rispetto degli
standard
tecnici previsti per impianti ed
attrezzature, fino alla valutazione dei rischi, “passan-
do” per le attività operative di gestione delle emergen-
ze, primo soccorso, sorveglianza sanitaria, formazio-
ne e, soprattutto, vigilanza sul rispetto delle procedu-
re ed istruzioni per il “lavoro in sicurezza” da parte
dei lavoratori.
In secondo luogo, deve essere garantita la possibilità
di “registrare” le citate attività di adempimento degli
obblighi giuridici, ossia di dare evidenza oggettiva alle
attività svolte.
In terzo luogo - premessa la focalizzazione del Mo-
dello sulla verifica, la valutazione, la gestione ed il
controllo del rischio - deve essere stabilita un’idonea
articolazione di funzioni (competenze tecniche e po-
teri assegnati, in sintesi: “organigramma sicurezza”),
che deve essere coerente con la natura, la dimensione e
l’attività dell’azienda, nonché un sistema disciplinare.
Infine, deve essere previsto un sistema di controllo
idoneo per la verifica dell’attuazione del Modello,
nonché del suo mantenimento nel tempo (idoneità del-
le misure adottate). In particolare il Modello sarà sot-
toposto a riesame ed eventuale modifica, laddove sia-
no scoperte significative violazioni dello stesso o in
caso di significative variazioni nell’organizzazione e
nell’attività aziendale, in relazione al progresso scien-
tifico e tecnologico.
Lo stesso legislatore peraltro - differentemente da quan-
to previsto in materia di protezione dei dati personali,
materia in cui manca qualsiasi esplicito riferimento a
standard
nazionali od internazionali di attuazione -
segnala come “presuntivamente” conformi ai requisiti
richiesti dall’art. 30 citato i modelli organizzativi
aziendali predisposti in conformità alle Linee Guida
UNI-INAIL
13
o allo
standard
internazionale BS
OHSAS 18001:2007. Premesso che la presente analisi
è volutamente limitata solo ad alcuni aspetti applicativi
del processo di
compliance
aziendale al D.Lgs. n. 231/
2001, non verrà in tal sede ripercorso lo sviluppo della
significativa
querelle
concettuale sorta in relazione al
rapporto intercorrente tra l’art. 30 citato e il
corpus
normativo di cui al D.Lgs. n. 231/2001 ma, dovendo
comunque completare l’inquadramento della norma in
un’ottica sistemica ed applicativa, alcune sintetiche con-
siderazioni si rendono necessarie in punto.
L’articolo 30 più volte citato deve essere interpretato
riconducendolo nell’alveo del più generale
corpus
di
disposizioni di cui al D.Lgs. n. 231/2001, rispetto al
quale decreto si pone, quindi, come norma “di detta-
glio”. In tal senso lo stesso, pure introducendo esplici-
tamente una virtuosa logica di gestione “sistemica” in
ambito “salute e sicurezza nei luoghi di lavoro”, non
prevede tutti gli elementi necessari per l’idoneità e
l’efficace attuazione previsti dal D.Lgs. n. 231/2001
ma costituisce soltanto una sorta di “presupposto”
(obbligatorio) sulla base del quale poterle realizzare.
In particolare, un’azienda che attui quanto stabilito
dalla citata norma - magari ricorrendo a sistemi di ge-
stione conformi a
standard
nazionali o internazionali
(INAIL o BS) - deve essere ben cosciente del fatto che
il suo percorso di adeguamento al D.Lgs. n. 231/2001
non sarà completo, in quanto dovrà certamente proce-
dere almeno alle seguenti ulteriori attività:
a)
definizione delle modalità di gestione delle ri-
sorse finanziarie idonee ad impedire la commissione
dei reati presupposto;
b)
nomina di un Organismo di Vigilanza;
c)
definizione di flussi informativi (idonei) verso
l’Organismo di Vigilanza.
Non solo, adeguata attenzione dovrà essere prestata
alla definizione di specifici protocolli (politiche e pro-
cedure) diretti a programmare la formazione e l’attua-
zione delle decisioni dell’ente (azienda) in relazione ai
reati da prevenire, protocolli che, ad evidenza, non si
esauriranno nei processi di formazione delle decisioni
previsti dall’art. 30 citato - specificamente finalizzati
alla “gestione del rischio” e fortemente connessi al
rispetto dell’obbligo di vigilanza da parte del datore di
lavoro - ma dovranno “andare oltre”, spingendosi fino
ad una potenziale capacità dell’organizzazione di “pre-
venire il reato”.
Tenuto conto che in presenza dei reati di matrice
colposa di cui agli articoli 589 e 590, 3° comma, c.p.,
l’interesse o vantaggio dell’ente è stato ritenuto
configurabile, in pratica, in termini di “risparmio” (eco-
nomico) a favore dell’ente medesimo, è altresì eviden-
te la “criticità” di tutti i processi e le figure aziendali
coinvolte in attività anche non direttamente connesse
al “mero” adempimento di obblighi di sicurezza, quali
ad esempio, l’intero “processo acquisti” o la procedu-
ra di “formazione del
budget
”, con contestuale confer-
ma della rilevanza della “gestione delle risorse finan-
ziarie” prevista dal D.Lgs. n. 231/2001.
In sintesi, il rispetto delle disposizioni di cui all’art.
30 citato da parte di un’azienda non basta a prevenire
il rischio-reato “anche” in una logica di prevenzione di
cui al D.Lgs. n. 231/2001:
1)
sotto il profilo giuridico, perché la logica di
prevenzione del reato è diversa da quella di gestione
del rischio in ambito sicurezza, così che la
compliance
al D.Lgs. n. 231/2001 comporta, di fatto, l’attuazione
di un sistema organizzativo di “secondo livello” ri-
spetto a quello obbligatoriamente previsto dall’art. 30
citato e caratterizzato, da un lato, dall’accento sulla
programmazione ed attuazione dei processi decisio-
nali in ambito sicurezza sul lavoro, dall’altro, dalla
necessità di assicurare il funzionamento dei meccani-
smi di prevenzione (obbligatori) previsti dalla norma;
2)
sotto il profilo più strettamente organizzativo,
perché di fatto, con riferimento alla progettazione del
Modello Organizzativo ex D.Lgs. n. 231/2001, sia in
sede di analisi dei rischi, sia in sede di “progettazione”
dei meccanismi di controllo, dovranno essere presi in
considerazione alcuni processi (e connessi ruoli)
aziendali (es. processo acquisti, gestione flussi finan-
ziari, procedure relative al sistema informatico) che
riguardano, più in generale, l’organizzazione aziendale
complessivamente intesa.
5) I reati ambientali
La categoria dei cosiddetti “reati ambientali” è quella
di più recente introduzione, tanto da essere stata inse-
rita nel
corpus
del D.Lgs. n. 231/2001 dal D.Lgs. n.
121 del 7 luglio 2011, attraverso l’art. 25 undecies.
Sebbene le relative disposizioni siano caratterizzate,
per l’appunto, da recente introduzione - con conse-
guente stato embrionale di applicazione - e sebbene i
richiami normativi siano numerosi ed articolati, sotto il
profilo applicativo alcune “direttrici” di sintesi posso-
no, in realtà, essere individuate con una certa chiarezza.
Anzitutto vi è da premettere che gli ambiti “operativi”
aziendali esposti al rischio-reato sono molteplici e ri-
guardano trasversalmente - in modo più o meno
“invasivo” in relazione all’attività aziendale svolta -
tutti i settori produttivi, in quanto viene data rilevanza,
ad esempio, ai processi inerenti lo scarico delle acque
reflue (industriali), la gestione materiale e “procedura-
le” dei rifiuti, l’inquinamento del suolo e dell’acqua,
l’inquinamento dell’aria. La gestione di tali processi
certamente interessa la maggior parte delle realtà
aziendali di natura “produttiva”, ad esempio.
La caratteristica della condotta rilevante per la realiz-
zazione del reato - su cui focalizzare l’azione preven-
tiva ex D.Lgs. n. 231/2001 - è quella di essere per lo
più connessa ad un “momento” operativo anteriore o
successivo alla concreta realizzazione dell’evento di-
rettamente dannoso per l’ambiente, più spesso
prodromico allo stesso, talvolta fortemente correlato
all’adempimento di aspetti “procedurali”.
Di seguito, alcune utili esemplificazioni in tal senso
(espresse in forma sintetica rispetto al dato testuale di
legge):
1)
scarico di acque reflue nell’inosservanza delle
prescrizioni di cui alle necessarie autorizzazioni, o
delle autorità competenti, o superando i valori limite
fissati per talune sostanze pericolose;
2)
gestione materiale (raccolta, trasporto,
recupero, smaltimento, ecc.) di rifiuti inmancanza delle
prescritte autorizzazioni, iscrizioni, comunicazioni;
3)
raccolta e trasporto di propri rifiuti non peri-
colosi (extra sistema SISTRI) in assenza di formula-
rio, con formulario recante dati inesatti o incompleti,
utilizzando un certificato falso di analisi rifiuti;
4)
rispetto degli adempimenti previsti dalle norme
in caso di superamento delle stabilite “soglie-rischio” di
concentrazione in caso di inquinamento del suolo e
sottosuolo, acque superficiali e acque sotterranee;
5)
violazione dei limiti di emissione (stabilimenti
industriali), con superamento dei valori limite di qua-
lità dell’aria previsti dalle norme.
Da quanto sopra evidenziato, quindi, risultano parti-
colarmente importanti i presìdi organizzativi di con-
trollo di taluni adempimenti procedurali e le attività di
monitoraggio tecnico per il rispetto, in massima sinte-
si, di talune “soglie critiche di immissione” in ambien-
te (acqua, suolo, aria).
Diversamente da quanto evidenziato in ambito sicu-
rezza (seppure in via indiretta, per il tramite dell’art.
30 del D.Lgs. n. 81/2008) ed analogamente a quanto
previsto per i “reati informatici”, non vi è - di fatto -
nel D.Lgs. n. 231/2001 alcun riferimento esplicito alla
necessità di una gestione “sistemica” da parte del-
l’azienda degli aspetti ambientali, data la caratteristica
del richiamo “puntuale” a specifici comportamenti
prescrittivi.
È, tuttavia, evidente, anche il tal caso, il vantaggio
concreto in termini di efficacia, efficienza e idonea
compliance
alla “miriade” di disposizioni in materia
ambientale, già ottenuto dalle aziende che abbiano adot-
tato un approccio “sistemico” alla stessa, magari aven-
do a riferimento le principali
best practice
in uso
14
.
6) La
compliance
di primo livello
Come più sopra illustrato, esistono alcune normative
specificamente orientate alla tutela di determinati
aspetti (dati personali, salute e sicurezza dei lavorato-
ri, ambiente) alle quali ciascuna azienda deve adeguar-
si: in concreto il rispetto di tali normative impone
all’azienda l’adozione di specifici comportamenti or-
ganizzativi e l’attività di adeguamento si caratterizza
per un elevato contenuto di
know-how
giuridico-
organizzativo.
Tenuto conto del fatto che il processo di adeguamento a
tali normative presuppone altresì la necessità di gestire
nel tempo la
compliance
(mantenimento ed aggiorna-
mento), è intuitivo il ruolo agevolativo svolto da un
approccio “sistemico” a tale processo, che deve essere
altresì caratterizzato da una forte “integrazione” (ossia
deve tener conto, più ampiamente, della necessaria cor-
relazione tra i diversi processi aziendali). Per semplici-
tà, definiremo tale adeguamento, a contenuto giuridico-
Una
compliance
di secondo livello
SEGUE DA PAGINA 20
SEGUE A PAGINA 22
12
Omicidio colposo (art. 589 c.p.) e lesioni personali colpose (art. 590, 3° comma c.p.), gravi o gravissime.
13
Per la definizione di un Sistema di Gestione della Salute e Sicurezza sul Lavoro (SGSL).
14
In tal caso il riferimento è agli standard EMAS o ISO 14001.