La responsabilità penale dell’OdV alla luce del Parere del Garante Privacy

Premessa

Elemento essenziale per l’efficace adozione del Modello di Organizzazione, Gestione e Controllo ex D.lgs 231/2001 è l’individuazione di un Organismo di Vigilanza, preposto a sorvegliarne l’attuazione. 

L’attività di vigilanza e controllo di tale Organo sull’adeguatezza ed efficacia del Modello fa sì che questo sia destinatario di una enorme mole di informazioni, racchiuse nei flussi informativi, nella documentazione di supporto che ogni area di processo ha a disposizione per eventuali controlli, nonché in eventuali notizie su illeciti commessi. 

Questi differenti livelli di informazioni hanno acceso l’attenzione attorno all’esatta qualificazione dell’OdV ai fini privacy per definire l’esatto perimetro dei compiti, oneri e responsabilità dei membri componenti. 

Per queste ragioni il Garante per la Privacy è recentemente intervenuto in ordine alla qualificazione dell’OdV ai fini del GDPR, non mancando di fornire degli spunti di riflessione in tema, tra agli altri, anche di responsabilità ai fini penali.

Il ruolo dell’OdV nel sistema del D.lgs. 231/2001

Come detto, l’efficace predisposizione di un Modello di Organizzazione Gestione e Controllo è collegata a doppio filo alla valida costituzione di un organo di controllo, dotato di autonomia e indipendenza e predisposto alla verifica del corretto funzionamento e aggiornamento del modello.

È lo stesso testo del D.lgs. 231/2001 a fornire, all’art. 6, seppure in maniera generica e sintetica, una nozione di Organismo di Vigilanza.

Il legislatore, infatti, si è limitato ad enunciare i compiti e i poteri dell’OdV, conferendogli, al primo comma, “il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento” e definendolo al contempo come un ente “dotato di autonomi poteri di iniziativa e di controllo”.

Questi poteri si esplicano, ancora prima che a mezzo ispettivo, con la collaborazione delle singole unità produttive a cui, ai sensi del secondo comma, un Modello efficacemente predisposto impone obblighi di informazione periodica all’OdV.

Per queste ragioni è facile comprendere perché l’Organismo svolga un vero e proprio ruolo di chiusura del sistema immaginato dal D.lgs. 231/2001. 

Attesa la delicatezza del ruolo, i membri dell’OdV devono essere dotati di indipendenza e autonomia, intendendosi per questi, rispettivamente, l’assenza di legami o interferenze nell’attività operativa e la possibilità di agire al di fuori da prassi consolidate, al fine di prevenire il compimento di atti illeciti. 

Sotto il profilo operativo, l’Organismo è dotato di poteri di iniziativa e controllo, funzionalizzati allo svolgimento dei suoi compiti: da una parte, monitora i flussi informativi che gli pervengono da ogni compagine aziendale secondo le cadenze previste nel MOG, dall’altra, predispone attività di ispezione e controlli di secondo livello in merito ad eventuali segnalazioni di non conformità ricevute. 

Ecco perché l’esatto perimetro dell’attività di vigilanza e controllo, in uno all’individuazione dei poteri ad esso attribuiti, costituiscono aspetti di rilevanza ai fini dell’individuazione dei profili di responsabilità dei suoi membri. 

Il parere del Garante Privacy e spunti di riflessione sui profili di responsabilità dei suoi membri

Da quanto sin qui esposto è chiaro come l’Organismo di Vigilanza sia destinatario di una serie di informazioni aziendali che comportano necessariamente il trattamento di dati, i quali non è escluso possano appartenere anche alle categorie dei dati particolari e/o giudiziari.

Si è posto, allora, il problema della qualificazione dell’OdV ai fini privacy per definire l’esatto perimetro di compiti, oneri e, soprattutto, delle responsabilità.

Ecco perché si è pronunciato sul punto il Garante Privacy in un parere di ampio respiro in cui, tralasciando in questa sede quella che è la questione qualificatoria strettamente legata alle logiche del GDPR, ha fornito degli importanti spunti di riflessione legati più alle logiche del D.lgs. 231/2001 che non al Regolamento sulla Protezione dei Dati Personali. 

Interessante argomento, per quel che qui interessa, è quello che attiene alla responsabilità penale dei membri dell’OdV. 

Storicamente si ritiene che non sia possibile riconoscere all’OdV una posizione di garanzia da cui far discendere un obbligo giuridico di impedire la commissione di reati, ma semplicemente si individua l’obbligo di vigilare sul rispetto delle procedure dettate dal Modello. 

Pertanto, l’Organismo non risponde penalmente ai sensi dell’art. 40/2 c.p. per i reati commessi per l’ente. 

Questo perché la responsabilità omissiva è un’eccezione, prevista a tutela di interessi particolarmente rilevanti alla luce del principio solidaristico, di tal che può sussistere solo quando sia individuabile una fonte primaria, normativa o contrattuale, dell’obbligo giuridico.

Il Parere del Garante fa proprie le acquisizioni dottrinali prevalenti, riportando che “non può essere imputata una responsabilità penale in ordine all’eventuale commissione di reati rilevanti ai sensi del d.lgs. n. 231/2001 nel caso di omessi controlli, posto che tale Organismo, pur avendo funzioni di vigilanza e controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato, così che, anche in caso di inerzia dell’OdV, la responsabilità ricade sull’ente che non potrà avvalersi della scriminante di cui all’art. 6/1 d.lgs. 231/2001”.

Questa affermazione, se si insinua a pieno titolo nella scia della tesi dottrinaria prevalente, deve intendersi come eccessivamente assertiva, poiché non può escludersi, in una materia in cui le valutazioni spesso procedono caso per caso, un’estensione del concetto di poteri di impedimento, non limitando il campo ai soli poteri effettivi, ma anche nell’ottica di comunicazione richiesta e dialettica tipica del ruolo dell’OdV. 

Resta ferma invece la prova dell’elemento soggettivo e del nesso di causalità tra l’omissione e il reato altrui.

Conclusioni

Al di fuori delle acquisizioni testuali del Parere in commento, possono avanzarsi due osservazioni. 

La prima è che le conclusioni del Garante Privacy tengono bene presente quelle che sono le acquisizioni dottrinarie relative all’Organismo di Vigilanza secondo un’ottica trasversale su una materia che ha evidenti implicazioni e interconnessioni.

E questo porta alla seconda osservazione. 

La circostanza che il metro di riferimento sia il sistema della responsabilità di impresa 231 testimonia come le materie del Decreto in materia di responsabilità penale delle imprese e quella del GDPR siano intimamente connesse tra loro, nell’ottica della compliance integrata, cosicchè, un’azienda virtuosa non potrà non tenere in debita considerazione entrambe le normative ai fini della adeguatezza di protocolli e procedure interne.