Newsletter n.13 – Maggio 2018
In questo numero:
- Le misure di contrasto al rischio corruttivo ed il rapporto tra RPCT ed ODV delle nuove linee guida ANAC del novembre 2017
- Regolamento UE 2016/679: operativo il GDPR (General Data Protection Regulation)
LE MISURE DI CONTRASTO AL RISCHIO CORRUTTIVO ED IL RAPPORTO FRA RPCT ED ODV NELLE NUOVE LINEE GUIDA ANAC DEL NOVEMBRE 2017
Come noto la normativa in maniera di trasparenza e di prevenzione della corruzione deve essere applicata alle società in controllo pubblico (escluse le società quotate, come definite nel D.Lgs 175/2016) nonché deve essere debitamente tenuta in considerazione anche nelle società a partecipazione pubblica non di controllo.
Senza addentrarci nella disciplina che riguarda la definizione di “controllo pubblico” e la distinzione fra “controllo e partecipazione”, scopo della presente breve nota è analizzare il rapporto tra il modello organizzativo di cui al D. Lgs 231/01 ed il Piano per la prevenzione della corruzione, nonché il rapporto che intercorre tra il Responsabile della Prevenzione della corruzione e della trasparenza (RPCT) e l’Organismo di Vigilanza (ODV) , di cui sempre al D.Lgs 231/01.
Atteso che le predette tipologie di società dovrebbero comunque dotarsi del Modello Organizzativo, e quindi anche dell’ODV (ricordando che detta “adozione” non è prescritta in assoluto ma sicuramente necessaria al fine di avvalersi delle scriminanti e delle previsioni favorevoli del D.Lgs 231/01, nel caso di reati commessi nell’interesse o a vantaggio della società), le Linee Guida ANAC del novembre 2017 evidenziano la necessità di contemperare le misure poste a prevenzione del rischio corruttivo e per la tutela della trasparenza – di cui alla legge 190/2012 ed alle successive normative che, in tale ambito, hanno integrato la c.d. “Legge Severino” – con quelle di cui al D.Lgs. 231/01 le quali dovranno essere esplicitate nel MOG.
Appare quindi preferibile, sulla base delle Linee Guida, un approccio “olistico” che permetta di compendiare nel Modello Organizzativo (ferme le responsabilità ed attività del RPCT) tutto quanto necessario, anche ai fini della prevenzione del rischio corruttivo.
L’unitarietà dei riferimenti di cui alle diverse discipline e cioè quella “privatistica” del D.Lgs 231/01 e quella, invece, “pubblicistica”, di cui alla legge 190/2012, non trova invece riscontro (con riferimento alle anzidette Linee Guida), per quanto riguarda la responsabilità dei presidi.
Infatti le Linee Guida, diversamente da una precedente impostazione , evidenziano che i ruoli del RPCT e dell’ODV vanno tenuti distinti e separati.
L’attività del RPCT rimane comunque un compito interno da attribuire ad una figura che possegga i necessari requisiti mentre per la composizione dell’ODV si potrà anche ricorrere ad esterni, senza la possibilità di sovrapporre i due organi.
Resta tuttavia focale la necessità, per ODV e RPCT, di cooperare sinergicamente nello svolgimento dei rispettivi compiti, ai sensi delle normative citate e nel rispetto delle distinte qualificazioni e prerogative.
Regolamento UE 2016/679, operativo il GDPR (General Data Protection Regulation)
Il 25 maggio scorso, dopo due anni di transizione, è divenuto operativo il Regolamento UE 2016/679, conosciuto come GDPR (General Data Protection Regulation). Il GDPR, da un lato, garantirà una maggior tutela dei dati, a seguito delle nuove tecnologie digitali utilizzate per il loro trattamento e la loro conservazione e, dall’altro, permetterà l’armonizzazione normativa all’interno dell’UE, in modo da evitare difformità nella gestione dei dati personali rendendo il mercato più sicuro per gli utenti e competitivo per le aziende.
Da oggi valgono le stesse norme riguardanti il trattamento dei dati personali per tutti gli Stati membri dell’Unione: le disposizioni nazionali sopravvivranno solo se compatibili con quanto prescrive il Regolamento.
Tra le novità di maggior rilievo del GDPR, ricordiamo: l’introduzione di principi di liceità e requisiti di legittimazione, la redazione di un registro dei trattamenti obbligatorio per le aziende con più di 250 dipendenti, la c.d. privacy by design, la disciplina del data breach e le misure tecnico-organizzative per una sicurezza adeguata, l’ aumentata trasparenza, i diritti degli interessati e le azioni di tutela nonché la disciplina dei trasferimenti di dati all’estero.
Per l’Italia, dunque, a partire dal 25 maggio 2018, non sarà più applicabile il d.lgs n.196/2003 (cd. Codice Privacy) nelle parti incompatibili con il nuovo Regolamento generale sulla protezione dei dati. Per questo, sarebbe stato molto importante e utile che il Governo avesse esercitato, prima del 25 maggio, la delega ad esso conferita con l’art. 13 della l. 25 ottobre 2017, n. 163, per l’emanazione di un decreto legislativo di coordinamento con il sistema italiano. La delega prevedeva infatti che il Governo avrebbe dovuto adottare, entro 6 mesi dalla pubblicazione della legge-delega, un decreto legislativo di adeguamento della normativa italiana al GDPR, con riguardo unicamente alle materie di cui lo stesso prevede la competenza nazionale: purtroppo, come evidente, la delega non è stata esercitata nei termini previsti, ma è stato solamente approvato uno schema di decreto, il 21 marzo 2018.
A questo punto, due sono gli aspetti che devono essere chiariti: il primo è che la delega al Governo è prorogata di tre mesi e dunque scadrà il 22 agosto. L’art. 13, comma 3 della legge-delega, infatti, prevede che il Governo eserciti la delega secondo le procedure previste dall’art. 31 della l. 24 dicembre 2012, n. 234. Il suddetto articolo, infatti, specifica a sua volta, al comma 3, che quando gli schemi dei decreti delegati vengono inviati alle Commissioni parlamentari per il previsto parere quando manchino meno di 30 giorni alla scadenza della delega, tale scadenza è automaticamente prorogata per la durata di tre mesi.
Il secondo aspetto da considerare è che l’intero Codice Privacy, per la parte in contrasto con il GDPR, non potrà più essere applicato dopo il 25 maggio. E’ pacifico, infatti, che il Governo potrà intervenire unicamente a disciplinare le materie che il GDPR stesso lascia alla legislazione italiana: limite, questo, che è stato comunque rispettato dal Governo rispetto all’adozione dello schema di decreto, approvato il 21 marzo.
La sfida che parte, ha dichiarato Antonello Soro, Presidente del Garante per la protezione dei dati personali, “è una delle più importanti per i prossimi decenni: quella dell’effettività del diritto fondamentale alla protezione dei dati, diritto che rappresenta sempre di più una garanzia ineludibile di libertà nella società digitale”.
Si comincia, dunque, con il primo “tempo” di un lungo percorso ancora costellato di incognite interpretative ed applicative.
