14 aprile 2011
Ma il “titolare” si rende conto di quali siano i rischi effettivi?
Molto molto spesso, durante la mia esperienza professionale sia di consulente sia di avvocato (laddove consulente significa soggetto che consiglia prima come fare le cose, mentre avvocato cerca di limitare i danni dopo che le cose si sono verificate), ho potuto notare, anche in soggetti sicuramente ben organizzati, una quasi totale mancanza di coordinamento tra quanto stabilisce il D.Lgs n.231/2001 e quanto stabilisce il D.Lgs. n.196/2003.
Questo significa che l’applicazione delle due norme viene portata avanti senza tener conto dell’altra, con conseguente (facile ed elevata) probabilità di scrivere cose e regole in contraddizione tra loro; della serie… non sappia la mano destra ciò che compie la mano sinistra.
Inoltre troppo spesso il “titolare” – che poi è la figura dell’imprenditore, ossia del manager che prende le decisioni – non si rende conto esattamente di quelli che sono i rischi connessi alla mancata e corretta applicazione di queste norme.
Infatti si sottovaluta il rischio effettivo, ragionando il termini di “tanto qui in Italia nessuno paga”; il che può essere anche vero, ma la domanda da farsi è: “..hai mai valutato seriamente cosa potrebbe succedere se tu fossi quello che paga?…”
Probabilmente il rapporto costi/benefici sarebbe molto diverso.
Inoltre, e qui effettuo solo un cenno, approfondirò la questione in un altro articolo, ormai esistono varie sentenze che hanno definitivamente scardinato il ragionamento da “furbetto del quartierino” appena citato.
Tanto per fare solamente alcuni esempi, una società che era l’unica cliente di altra società è stata condannata per violazioni delle norme sulla sicurezza sul lavoro (sotto insieme delle norme del D.Lgs n.231/2001) in quanto il concetto di “sottoposizione al controllo” è stato – correttamente – esteso al caso in questione.
Da un punto di vista di controllo societario le due società non possono essere considerate come collegate o controllate, ma poiché la terminologia specifica utilizzata dal D.Lgs n.231/2001 è diversa, questa espansione del concetto è del tutto legittima.
Così come di recente è stata condannato l’intero C.D.A. di una società, oltre alla società medesima, in quanto questi soggetti non sono stati in gradi di dimostrare – nel processo – di aver fatto quello che la norma imponeva loro di realizzare, quanto a procedure di controllo e prevenzione, affinché potessero cercare di dimostrare di essere esenti da responsabilità.
Tra l’altro, da un punto di vista meramente logico, il fatto stesso che un evento si sia verificato potrebbe essere la dimostrazione che i protocolli di prevenzione … non fossero validi!
Scritto il 2-7-2011 alle ore 02:25
Ok sulla 231 coordinata col Testo Unico Sicurezza (81/08) per la responsabilità in materia di prevenzione e attuazione protocolli validi; ma come mai questo post cita in seconda battuta il 196/03 sulla privacy? Mi sono perso qualcosa…
Poi sulla 231 mantengo perplessità, e anche sugli iter (giudiziaria) di responsabilizzione che seguono (magari non preceduti dai corretti iter amministrativi), ma è altra storia.
Scritto il 6-7-2011 alle ore 16:50
mercoledì 6 luglio 2011
Cerco di spiegarmi meglio, evidentemente non sono stato chiaro.
Il sistema delle responsabilità aziendali segue fondamentalmente tre canali, quello della responsabilità penale in capo ai proprietari ed ai dirigenti per omesso controllo e dolo eventuale (vedi sentenza Thiessen ed altre), quello della responsabilità civile anche per colpa, e quello della responsabilità ex D.Lgs n.231/2001 che come sappiamo è un “terzium genus”, nel senso che in questo caso ad essere responsabile è l’impresa medesima, magari unitamente ai propri vertici.
Viene affermato il principio che la società può delinquere.
Ora, però, il sistema organizzativo e di tutela preventiva richiesto dal D.Lgs n.231/2001 (che, ricordiamo, se ben attuato può anche difendere da eventuali accuse di concorso nel reato nei confronti di soggetti specifici) è appunto un sistema che si basa su controlli di processo, come quelli richiesti dalle varie normative ISO.
Il D.Lgs. n.196/2003, al contrario, non si “ferma” ai processi, ma ha come entità minimale il “dato personale” (che ricordiamo non concerne solamente la persona fisica, come sappiamo si tratta di una non corretta traduzione del termine “personal data” della direttiva), che – appunto – essendo molto più “piccolo” è anche molto più difficile da controllare.
Ma anche il D.Lgs. n.196/2003 (richiamato espressamente dal D.Lgs n.231/2001, unitamente a tutti i reati informatici propri) obbliga il “titolare” (termine proprio della normativa citata) a prendere determinati provvedimenti.
In buona sostanza,anche secondo quanto asserito dalla giurisprudenza più recente, vale sempre il principio secondo il quale chi delega non può disinteressarsi totalmente di come si comporti il delegato, pena la propria diretta responsabilità.
Molti si “fermano” alla applicazione delle norme sulla sicurezza sul lavoro, per carità, sacrosante, ma non esistono solo quelle sotto il “grande ombrello” del D.Lgs n.231/2001 e delle connesse responsabilità.