Ogni soggetto organizzato si trova, oggi, ad operare non già in un contesto normativo unitario chiaro e omogeneo, bensì in un sistema frammentato per fonti e per declinazioni regolamentari, per tale motivo la funzione di compliance taglia trasversalmente i diversi settori di un ente, nessuno dei quali può dirsi estraneo alla necessità di adeguarsi a determinate regole.
Il volume offre al lettore risposte e suggerimenti per evitare che un’organizzazione incorra nella violazione del quadro normativo di riferimento e rappresenta una bussola per orientarsi in un contesto legislativo in continua evoluzione, dal settore del trattamento dei dati personali a quello della trasparenza amministrativa (con particolare riguardo anche all’amministrazione digitale), dall’anticorruzione all’antiriciclaggio, dalla responsabilità degli enti ai profili tributari.
La trattazione della compliance abbraccia anche i settori sicurezza, salute, tutela dell’ambiente e antitrust. Conclude l’opera una parte dedicata al whistleblowing e alla compliance nella cybersecurity.
INDICE SOMMARIO
Parte I
INTRODUZIONE
CAPITOLO 1
GIRANDO ATTORNO ALLA COMPLIANCE. VERSO UN APPROCCIO INTEGRATO DEI SISTEMI DI GESTIONE?
di Enzo Maria Tripodi e Filippo Loré
1. Premessa .......................................... . 3
2. Il versante compliance del trattamento dei dati personali ............... . 5
2.1. Privacy by design e Privacy by default ...................... . 6
2.2. Le valutazioni di impatto: PIA e DPIA ..................... . 8
2.3. Il trattamento dei dati personali in relazione al rapporto di lavoro ..... . 11
2.4. Le funzioni di amministratore di sistema .................... . 18
2.5. La trasparenza in tema di corretto trattamento dei dati personali ...... . 19
2.6. Il processo decisionale automatizzato (e la profilazione) ........... . 21
2.7. Codici di condotta e certificazioni ........................ . 25
3. Segue: le estensioni: la norma ISO/IEC 27701 per l’applicazione delle ISO/IEC
27001 e ISO/IEC 27002 al Privacy Information Management............. . 26
4. Segue: le interrelazioni: anticorruzione e whistleblowing................ . 27
5. Segue: le interrelazioni con il d.lgs. n. 231/2001 sulla digital compliance ...... . 31
6. La compliance secondo il modello del d.lgs. n. 231/2001 (MOG 231) ....... . 32
6.1. La sicurezza del lavoro .............................. . 32
6.2. Antitrust compliance ................................ . 34
6.3. La riforma del diritto penale agroalimentare .................. . 35
6.4. Le pratiche commerciali sleali nel settore agroalimentare .......... . 39
6.5. Compliance nella crisi d’impresa ......................... . 41
7. Verso una integrazione degli strumenti di compliance? ................ . 42
7.1. Qualche ulteriore annotazione .......................... . 42
7.2. Primi (timidi) passi verso una (possibile) compliance integrata? ....... . 44
V
Parte II
IL TRATTAMENTO DEI DATI PERSONALI
Sezione I
I DOCUMENTI E GLI STRUMENTI DI UN SISTEMA PRIVACY
CAPITOLO 2
IL SISTEMA DI GESTIONE DEI DATI PERSONALI:
UN POSSIBILE APPROCCIO SECONDO LO STANDARD ISO 37301
di Cristian Ercolano
1. Lo standard ISO 37301 .................................. . 53
1.1. Analisi del contesto di riferimento e dei rischi di compliance ......... . 55
1.2. Ruoli e responsabilità ai vari livelli ....................... . 56
1.3. Funzione di conformità .............................. . 58
1.4. Pianificazione ed implementazione del CMS .................. . 59
1.5. Monitoraggio, controllo e miglioramento continuo .............. . 60
2. Il possibile utilizzo della ISO 37301 per l’implementazione di un adeguato ed efficace
Sistema di gestione dei Dati Personali ......................... . 61
2.1. Lo stato delle certificazioni in ambito data protection ............. . 61
2.2. I requisiti di ISO 37301 compatibili con le disposizioni del GDPR e normativa
collegata ....................................... . 62
CAPITOLO 3
I PRINCIPI DI PRIVACY BY DESIGN E PRIVACY BY DEFAULT
di Annalisa Vigentini
1. Origini, nozione e ambito di applicazione ....................... . 64
2. L’articolo 25 del GDPR: Data protection by design e Data protection by default . . . 66
3. Applicazione dei principi di DPbDD .......................... . 67
3.1. Trasparenza ..................................... . 68
3.2. Legittimità ..................................... . 68
3.3. Equità ........................................ . 69
3.4. Limitazione delle finalità ............................. . 69
3.5. Minimizzazione dei dati .............................. . 70
3.6. Precisione ...................................... . 71
3.7. Limitazione dell’archiviazione .......................... . 72
3.8. Integrità e riservatezza .............................. . 72
3.9. Accountability .................................... . 73
CAPITOLO 4
IL PRINCIPIO DI ACCOUNTABILITY
di Enzo Maria Tripodi
1. Premessa: pochi cenni sulla compliance ......................... . 75
INDICE SOMMARIO
VI
2. L’accountability: definizione ............................... . 76
3. L’accountability nel GDPR ................................ . 79
4. La prova dell’accountability ................................ . 82
5. Accountability privacy e compliance d.lgs. n. 231/2001: assonanze e divergenze . . . 84
6. Conclusioni (del tutto sommarie): verso una compliance integrata .......... . 86
CAPITOLO 5
L’APPROCCIO “RISK BASED†di Giovanni di Noia
1. L’approccio “Risk Based†................................. . 88
1.1. Il rischio e le opportunità ............................. . 88
1.2. Definizioni ..................................... . 89
1.3. Come gestirli? ................................... . 89
1.4. Campo d’azione del “Risk Based†........................ . 90
1.5. Gli strumenti del “Risk Based†......................... . 90
1.6. La serie ISO 31000 - Analisi del Rischio .................... . 91
1.7. Esempi di altre metodologie ........................... . 91
2. ISO 27701:2019 - Per la gestione dei Dati Personali ................. . 93
2.1. La necessità di uno standard sulla protezione dei dati personali ....... . 96
2.2. Il principio di accountability............................ . 97
3. ISO 9001:2015 ....................................... . 99
4. ISO 27001:2013 ...................................... . 101
CAPITOLO 6
LA DOCUMENTAZIONE DEL SISTEMA DI GESTIONE DELLA PRIVACY
di Annalisa Vigentini
1. Accountability e documentazione ............................ . 106
2. Sistema di gestione documentale ed ispezioni dell’Autorità Garante per la Protezione
dei Dati Personali ..................................... . 108
3. Tipologia e natura dei documenti da registrare .................... . 111
CAPITOLO 7
LA PROTEZIONE DEI DATI NELL’ECOSISTEMA AZIENDALE
di Serena Contu e Giovanni De Gregorio
1. Introduzione ........................................ . 116
2. Ecosistemi aziendali di trattamento dei dati personali nell’era digitale ....... . 117
3. Elementi costitutivi di un sistema di compliance data protection ........... . 120
4. Le nuove sfide del digitale: la compliance data protection delle tecnologie algoritmiche . 134
5. Conclusioni ......................................... . 141
INDICE SOMMARIO
VII
CAPITOLO 8
IL RAPPORTO TRA SISTEMA DI GESTIONE PRIVACY
E SICUREZZA INFORMATICA
di Cristian Ercolano
1. Premessa .......................................... . 144
2. Una definizione di sicurezza informatica e la “connessione†con il GDPR .... . 144
3. Quali (e quante) misure tecniche di sicurezza da implementare? Una domanda di non
facile soluzione ....................................... . 146
4. Le (poche) indicazioni in merito delle Autorità competenti ............. . 148
5. Una possibile soluzione nelle indicazioni di altre Autorità , Agenzie e Centri di
competenza ......................................... . 151
5.1. Il ruolo di AgID e le principali linee guida emanate in materia ....... . 152
5.2. Il ruolo di ENISA e le principali linee guida emanate in materia ...... . 158
Sezione II
LE FUNZIONI DI MONITORAGGIO
CAPITOLO 9
METODOLOGIA DEL MONITORAGGIO E AMBITI PRINCIPALI
di Denise Amram
1. Introduzione ........................................ . 161
2. Controllo svolto dai dirigenti/funzionari ........................ . 163
3. Controllo sull’Amministratore di sistema ........................ . 165
4. Controllo svolto dal RPD/DPO ............................. . 167
5. Controllo sui fornitori ................................... . 168
6. Qualche osservazione di sintesi ............................. . 169
CAPITOLO 10
GESTIONE DEGLI STRUMENTI DI MONITORAGGIO
di Elio Guarnaccia, Giulia Campo, Adriano Tribulato e Fabrizio Traina
1. Il registro dei trattamenti ................................. . 173
2. Il registro delle violazioni ................................. . 175
3. Il registro delle richieste di esercizio dei diritti da parte degli interessati ...... . 178
4. Elenco degli accordi di contitolarità ........................... . 179
5. Elenco generale dei responsabili esterni ........................ . 182
6. Elenco generale delle nomine a responsabile ricevute dal titolare .......... . 185
7. Audit, report e relazioni periodiche eseguite dal RPD/DPO ............. . 186
8. La periodica revisione del sistema ............................ . 188
CAPITOLO 11
IL TRATTAMENTO DEI DATI PERSONALI IN RELAZIONE
AL RAPPORTO DI LAVORO
di Giulia Adotti
1. Profili normativi ...................................... . 192
INDICE SOMMARIO
VIII
2. Il trattamento del dato nelle fasi di selezione ed assunzione del personale ..... . 196
3. Il trattamento dei dati del dipendente attraverso i mezzi messi a disposizione dal
datore di lavoro (telefono, internet, e-mail, pc, tablet, smartphone) ........ . 198
4. Il trattamento dei dati del dipendente attraverso gli apparati di videosorveglianza . 200
5. Il trattamento dei dati del dipendente attraverso l’utilizzo, raccolta e trattamento di
dati biometrici ....................................... . 202
6. Il trattamento dei dati del dipendente attraverso l’utilizzo del badge con tecnologia
RFID ............................................ . 203
7. Il trattamento dei dati del dipendente attraverso la geolocalizzazione dei mezzi dei
lavoratori e dei devices del lavoratore .......................... . 205
8. Il trattamento dei dati del dipendente in occasione del Lavoro Agile (Smartworking
- l. n. 81/2017) ....................................... . 207
Sezione III
GLI AUDIT DELLA PRIVACY
CAPITOLO 12
DEFINIZIONI
di Beatrice Giubilei e Giovanni Di Noia
1. Premessa .......................................... . 211
2. Differenza tra Audit e Assessment ............................ . 216
3. Le linee guida Uni e ISO per gli audit dei sistemi di gestione ............ . 217
4. L’approccio basato sul rischio .............................. . 220
CAPITOLO 13
TIPOLOGIE DI AUDIT
di Beatrice Giubilei e Giovanni Di Noia
1. Tipologie di Audit ..................................... . 224
2. Soggetti e compiti dell’Audit ............................... . 227
3. Gli Audit privacy - Audit sul titolare del trattamento ................. . 231
4. Gli Audit privacy - Audit sul responsabile del trattamento .............. . 239
5. Gli Audit privacy - Audit sulla gestione informatica e telematica dei dati (in particolare: sull’Amministratore di sistema) .......................... . 241
6. Gli audit privacy - Audit sui trasferimenti internazionali dei dati .......... . 247
7. La verifica del mantenimento della qualificazione del DPO sulla base della norma
UNI 11697 ......................................... . 249
CAPITOLO 14
PROGRAMMAZIONE DELL’AUDIT E MODALITÀ DI SVOLGIMENTO
di Giovanni Di Noia
1. Programmazione dell’Audit e modalità di svolgimento ................ . 254
INDICE SOMMARIO
IX
2. Privacy Checklist ...................................... . 255
3. Conclusioni delle attività di Audit e azioni successive ................. . 258
Sezione IV
GLI AUDIT SVOLTI DAL DPO
CAPITOLO 15
LA VERIFICA DI REGISTRI ED INFORMATIVE
di Michele Ferrazzano
1. Introduzione ........................................ . 265
2. La verifica delle procedure ................................ . 267
3. La verifica delle procedure di gestione dei data breach ................ . 273
4. La verifica sull’Amministratore di Sistema ....................... . 278
5. Le verifiche sui log ..................................... . 288
6. La verifica dei sistemi di videosorveglianza ....................... . 289
7. La verifica dei sistemi di sicurezza per la protezione dei dati ............ . 292
8. La verifica rispetto all’adozione della pseudonimizzazione .............. . 297
CAPITOLO 16
AMBITI DI VERIFICA DA PARTE DEL DPO
di Donato Eugenio Caccavella
1. Area risorse umane: curricula e fascicoli dei dipendenti ............... . 300
2. Segue: controlli a distanza, dati biometrici e telelavoro ................ . 303
3. Segue: sui trattamenti dei dati biometrici dei lavoratori ................ . 306
4. Segue: sul telelavoro (smart working) .......................... . 308
5. Segue: sui controlli di tipo sanitario effettuati dal datore di lavoro ......... . 309
6. Segue: sui trattamenti di dati particolari ........................ . 311
7. Area marketing: profilazione e decisioni automatizzate ................ . 313
8. Segue: attività promozionali ................................ . 317
8.1. Marketing diretto ................................. . 317
8.2. Marketing indiretto ................................ . 320
9. Area business intelligence: Big data Analytics ...................... . 320
10. Area amministrativa: accesso ai documenti ....................... . 326
11. Segue: le Binding Corporate Rules, le clausole standard UE e le clausole negoziali . 328
12. Altre aree: diritto di cronaca e di critica. Diritto all’oblio .............. . 334
Sezione V
COMPLIANCE E RESPONSABILITÀ PER VIOLAZIONI DELLA PRIVACY
SECONDO I PRINCIPI EUROPEI
CAPITOLO 17
I DIRITTI FONDAMENTALI DI FONTE EUROPEA IN MATERIA DI PRIVACY
di Giulio Chiarizia
1. Premessa .......................................... . 339
INDICE SOMMARIO
X
2. I diritti fondamentali di fonte europea in materia di privacy ............. . 339
3. L’estensione alle sanzioni amministrative delle garanzie in materia penale ..... . 343
4. Il principio europeo di legalità delle sanzioni ..................... . 346
5. Il principio europeo di proporzionalità delle sanzioni ................ . 348
6. Il principio europeo del ne bis in idem ......................... . 350
Parte III
LA TRASPARENZA
Sezione I
TRASPARENZA, INFORMAZIONE E PARTECIPAZIONE
CAPITOLO 18
TRASPARENZA AMMINISTRATIVA: PARTECIPAZIONE E PUBBLICITÀ
di Leo Stilo
1. Il ruolo della trasparenza nella compliance della Pubblica Amministrazione .... . 357
2. La difficile definizione di una metafora in continua evoluzione ........... . 360
3. Le crepe democratiche di un diritto amministrativo dal DNA autoritario ..... . 361
4. L’avvento dell’amministrazione digitale tra privacy e trasparenza .......... . 364
5. L’amministrazione algoritmica e il valore della sua irrinunciabile trasparenza ... . 367
6. La trasparenza nella PA: à ncora di una funzione “modesta†del potere amministrativo . 372
CAPITOLO 19
L’ACCESSO ALLE INFORMAZIONI: IL SISTEMA DELLA
COMUNICAZIONE ISTITUZIONALE E LE RELAZIONI CON IL PUBBLICO
di Alfonso Contaldo
1. L’organizzazione della comunicazione istituzionale. .................. . 374
2. L’ambito dell’attività di comunicazione pubblica e la legge n. 150/2000 ...... . 378
3. Il rinvio alle potestà regolamentari per la puntualizzazione della disciplina .... . 380
4. Le disposizioni normative peculiari degli URP ..................... . 383
Sezione II
ACCESSO, PUBBLICITÀ, TRACCIABILITÀ
CAPITOLO 20
L’ACCESSO PROCEDIMENTALE NELLA LEGGE 7 AGOSTO 1990, N. 241
di Alfonso Contaldo
1. L’accesso procedimentale: profili introduttivi ..................... . 391
2. I presupposti per l’esercizio del diritto di accesso procedimentale ......... . 395
3. L’oggetto dell’istanza di accesso ai documenti nel fascicolo procedimentale .... . 398
4. I limiti all’accesso procedimentali: cenni introduttivi ................. . 400
INDICE SOMMARIO
XI
4.1. L’accesso documentale e riservatezza: un difficile equilibrio fra due diritti . 402
CAPITOLO 21
L’ACCESSO CIVICO
di Leo Stilo
1. Accesso civico: aspetti introduttivi e sistematici di un sistema di garanzie ..... . 410
2. Accesso civico tra forme e sostanza ........................... . 413
3. Accesso civico “sempliceâ€: aspetti introduttivi e definitori .............. . 413
4. Accesso civico “generalizzatoâ€: aspetti introduttivi e definitori ........... . 414
5. Legittimazione soggettiva nel diritto di accesso civico: una puntualizzazione ... . 416
6. Ambito soggettivo di applicazione ............................ . 418
7. Trasmissione dell’istanza di accesso ........................... . 420
8. La “portata†dell’identificazione dei documenti e il contenuto oggettivo del diritto di
accesso civico ........................................ . 421
9. L’interesse egoistico non esclude il diritto di accesso civico ............. . 424
10. Motivazione dell’istanza e irrilevanza della presenza di un interesse diretto, attuale e
concreto del richiedente ................................. . 424
11. Il “regime dei costi†.................................... . 425
12. Controinteressati: finalità , definizione, obbligo e modalità della comunicazione . . . 428
13. La conclusione del procedimento: il termine ...................... . 430
14. Le eccezioni all’accesso generalizzato: assolute e relative ............... . 432
15. Riesame ........................................... . 435
CAPITOLO 22
OBBLIGHI DI PUBBLICITÀ E TRASPARENZA NEL D.LGS. N. 33/2013
di Alfonso Contaldo
1. Il d.lgs. n. 33/2013 come Codice della trasparenza: prime note ........... . 441
2. Gli obblighi di pubblicazione previsti dal d.lgs. n. 33/2013 ............. . 442
3. Il principio di trasparenza nel d.lgs. n. 33/2013 .................... . 446
4. La trasparenza con i suoi limiti applicativi come contrasto alla corruzione .... . 450
5. La comunicazione interna e la comunicazione esterna istituzionale ......... . 457
CAPITOLO 23
LE LIMITAZIONI ALL’UTILIZZO DEL DENARO CONTANTE
E LA TRACCIABILITÀ DEI FLUSSI FINANZIARI
di Enzo Maria Tripodi
1. Premessa .......................................... . 461
2. Le limitazioni all’uso del contante ............................ . 462
3. Segue: un mero cenno alle criptovalute ......................... . 466
4. Alcune deroghe alle limitazioni ............................. . 467
5. La comunicazione delle infrazioni ............................ . 468
6. I pagamenti nella Pubblica amministrazione ...................... . 469
7. La tracciabilità nei contratti pubblici .......................... . 470
INDICE SOMMARIO
XII
Sezione III
L’AMMINISTRAZIONE DIGITALE
CAPITOLO 24
LA P.A. DIGITALE. LA PROTEZIONE DEI DATI
NELLA PUBBLICA AMMINISTRAZIONE
di Michele Iaselli e Vittorio Iaselli
1. Il processo di digitalizzazione della P.A. ........................ . 485
1.1. L’e-Government ................................... . 486
1.2. L’Agenda Digitale ................................. . 487
1.3. Il CAD ....................................... . 488
1.4. Il documento elettronico ............................. . 490
1.5. La gestione elettronica documentale ...................... . 493
2. La protezione dati nella Pubblica Amministrazione .................. . 497
2.1. La gestione dei dati personali da parte degli enti pubblici: i principali
adempimenti .................................... . 498
2.2. Privacy e trasparenza nella P.A. ......................... . 505
2.3. La sicurezza dei dati nella P.A. ......................... . 509
2.4. Protezione dati ed emergenza sanitaria ..................... . 517
CAPITOLO 25
IL RESPONSABILE DELLA TRANSIZIONE DIGITALE
di Michele Iaselli e Vittorio Iaselli
1. Nascita e compiti della figura del responsabile della transizione digitale ...... . 524
1.1. Il Piano triennale per l’informatica nella P.A. ed il ruolo del RTD ..... . 527
1.2. Il Piano per la digitalizzazione del nostro paese ................ . 529
CAPITOLO 26
LE DECISIONI AUTOMATIZZATE (IA E PA)
di Enzo Maria Tripodi
1. Introduzione ........................................ . 534
2. L’Impiego dell’Intelligenza artificiale (IA) o comunque di algoritmi “decisionali†. 536
3. Le decisioni amministrative “automatizzate†...................... . 537
4. Cenni sulle decisioni giudiziarie “automatizzate†................... . 540
5. I rischi “informatici†dell’IA ............................... . 542
6. Le problematiche in tema di trattamento di dati personali .............. . 544
7. La proposta dell’Unione europea di Regolamento sull’IA .............. . 548
CAPITOLO 27
TUTELA DEI DATI PERSONALI NELLA GESTIONE
E CONSERVAZIONE DOCUMENTALE
di Enzo Maria Tripodi e Filippo Loré
1. Premessa .......................................... . 557
INDICE SOMMARIO
XIII
2. La fisiologica “connessione†della gestione documentale con il trattamento di dati
personali .......................................... . 558
3. Gestione e conservazione documentale: una ricostruzione minimale ........ . 560
4. Le Linee guida AgID sulla formazione, gestione e conservazione dei documenti
informatici ......................................... . 563
5. Segue: in particolare, qualche nota sulla conservazione documentale ........ . 565
6. Selezione e scarto dei documenti ............................ . 566
7. Il documento informatico dal punto di vista della tutela del trattamento di dati
personali .......................................... . 568
8. Un cenno alle situazioni particolari: archiviazione nel pubblico interesse o di ricerca
storica ............................................ . 573
9. Segue: il Fascicolo Sanitario Elettronico ........................ . 576
10. I pareri del Garante sulle Linee guida AgID ...................... . 579
Parte IV
L’ANTICORRUZIONE
Sezione I
L’AMBITO PUBBLICO
CAPITOLO 28
LA DISCIPLINA NORMATIVA
di Riccardo Giovannetti e Luigi Bottone
1. Inquadramento ....................................... . 585
2. Evoluzione del quadro normativo ............................ . 589
3. Gli attori dell’anticorruzione e trasparenza ....................... . 595
3.1. L’ANAC - Autorità Nazionale Anticorruzione ................. . 595
3.2. Il Responsabile della prevenzione della corruzione e della trasparenza ... . 596
3.3. L’organo di indirizzo politico-amministrativo ................. . 598
3.4. I dirigenti e i responsabili delle unità organizzative .............. . 598
3.5. Gli Organismi indipendenti di Valutazione .................. . 599
3.6. Altri soggetti .................................... . 599
4. Piano Nazionale Anticorruzione (PNA) e i Piani Triennali di prevenzione della
corruzione e trasparenza (PTPCT) ........................... . 600
5. Gli strumenti per la gestione del rischio di corruzione ................ . 602
6. L’attuazione del Piano della prevenzione della Corruzione e della Trasparenza . . . 606
CAPITOLO 29
LE AREE DI RISCHIO: ESEMPI APPLICATIVI CON RIFERIMENTO
ALLE AREE OBBLIGATORIE
di Riccardo Giovannetti e Luigi Bottone
1. Premessa .......................................... . 608
INDICE SOMMARIO
XIV
2. Le Aree di rischio: acquisizione e gestione del personale ............... . 614
3. Segue: contratti pubblici ................................. . 616
4. Segue: provvedimenti ampliativi della sfera giuridica dei destinatari privi di effetto
economico diretto ed immediato per il destinatario .................. . 622
5. Segue: provvedimenti ampliativi della sfera giuridica dei destinatari con effetto
economico diretto ed immediato per il destinatario .................. . 626
CAPITOLO 30
IL SISTEMA DELLA VIGILANZA
di Giuseppe Miceli
1. Il sistema di vigilanza in materia di anticorruzione. .................. . 629
2. Il codice di comportamento dei dipendenti pubblici ................. . 636
3. Linee guida in materia di Codici di comportamento delle amministrazioni pubbliche . . 637
4. Le responsabilità , le sanzioni ed il risarcimento dei danni .............. . 642
CAPITOLO 31
GLI STRUMENTI DI SUPPORTO ALLA PREDISPOSIZIONE
DI UN PIANO ANTICORRUZIONE
di Riccardo Giovannetti e Luigi Bottone
1. Premesse operative a partire dalla l. n. 190/2012 e dal PNA 2013 ......... . 648
2. Risk management, un punto di vista operativo ..................... . 650
3. I primi aggiornamenti e modifiche del PNA ...................... . 652
4. PNA 2019 e indicazioni operative per i nuovi P.T.P.C.T. .............. . 657
5. Un caso di studio: il Comune di Lissone ........................ . 667
Sezione II
L’AMBITO PRIVATO (SECONDO ISO 37001)
CAPITOLO 32
PRESENTAZIONE DELLA ISO 37001
di Cristian Ercolano
1. Introduzione alla ISO 37001 ............................... . 673
2. L’attuale diffusione della ISO 37001 in Italia ..................... . 678
3. La ISO 37001 nell’ordinamento italiano ........................ . 679
3.1. La ISO 37001 nel Codice dei contratti pubblici ................ . 679
3.2. La ISO 37001 nei PNA e nelle linee guida ANAC in materia di anticorruzione . 682
3.3. La ISO 37001 nei provvedimenti di altre Autorità .............. . 683
3.4. La ISO 37001 nella giurisprudenza di merito ................. . 684
4. Le potenzialità della ISO 37001 ............................. . 685
4.1. L’integrazione tra sistemi di gestione e controllo ............... . 685
4.2. Il contributo alla responsabilità sociale d’impresa ............... . 688
INDICE SOMMARIO
XV
CAPITOLO 33
IMPLEMENTAZIONE DELLA ISO 37001
di Cristian Ercolano
1. Premessa: la struttura della ISO 37001 ......................... . 690
2. Campo di applicazione .................................. . 691
2.1. La definizione di corruzione e le fattispecie della corruzione ........ . 691
2.2. Il perimetro di implementazione dell’ABMS .................. . 696
3. Ruoli e responsabilità ................................... . 697
3.1. Leadership, impegno e responsabilità ...................... . 697
3.2. Funzione di conformità per la prevenzione della corruzione ......... . 700
4. Analisi del contesto e dei rischi per la corruzione ................... . 702
4.1. Analisi del contesto (esterno ed interno) .................... . 703
4.2. L’analisi dei rischi ................................. . 706
4.3. Due diligence .................................... . 708
5. Procedure e controlli ................................... . 710
5.1. Controlli finanziari ................................. . 710
5.2. Controlli non finanziari .............................. . 713
5.3. Regali, ospitalità , donazioni, sponsorizzazioni e benefici simili ........ . 717
6. Consapevolezza, formazione e comunicazione ..................... . 719
7. Monitoraggio e riesame complessivo del sistema e delle performance ........ . 720
7.1. Flussi informativi ed indicatori di anomalia .................. . 721
7.2. Segnalazioni di casi sospetti ........................... . 722
7.3. Audit ed indagini ................................. . 727
7.4. Obiettivi, indicatori e performance ........................ . 728
Sezione III
ANTICORRUZIONE E GESTIONE DELLA PRIVACY
CAPITOLO 34
L’EQUILIBRIO TRA PROTEZIONE DATI E TRASPARENZA:
LE LINEE GUIDA DEL GARANTE DELLA PROTEZIONE
DEI DATI PERSONALI E DELL’ANAC
di Filippo Lorè
1. Premesse per un inquadramento giuridico ....................... . 731
2. Obblighi, limiti e possibilità nell’attività di pubblicazione di dati e documenti delle
amministrazioni pubbliche ................................ . 735
2.1. Il trattamento illecito effettuato dall’Ente pubblico in relazione alla pubblicazione di atti e documenti online ......................... . 740
2.2. Considerazioni conclusive ............................. . 741
3. L’esigenza di tutela dei dati personali nell’esercizio dell’accesso civico generalizzato . 743
CAPITOLO 35
IL SISTEMA DI GESTIONE DELLA PROTEZIONE DATI E DI PREVENZIONE
DELLA CORRUZIONE PER LE SOCIETÀ CONTROLLATE,
PARTECIPATE E IN HOUSE DELLA PA
di Silvia Borri e Samuele Grimani
1. Introduzione ........................................ . 751
INDICE SOMMARIO
XVI
2. Le società pubbliche e la privacy ............................. . 755
3. Rapporti in tema di protezione dei dati personali tra le società pubbliche e le
amministrazioni socie ................................... . 757
4. Le società pubbliche e il sistema di prevenzione della corruzione .......... . 758
5. Le società a controllo pubblico ............................. . 762
6. Le società a partecipazione pubblica (non di controllo) ............... . 768
7. I controlli .......................................... . 769
8. Alcuni casi spinosi ..................................... . 769
CAPITOLO 36
L’ANALISI DEL RISCHIO PRIVACY E PUNTI DI CONTATTO
CON QUELLA DEL RISCHIO CORRUTTIVO
di Silvia Borri e Samuele Grimani
1. L’approccio basato sul rischio .............................. . 774
2. I quattro modelli di gestione del rischio nel GDPR .................. . 777
3. Come si misura il rischio di un trattamento? Il metodo ENISA ........... . 778
4. Alcune criticità dell’analisi dei rischi secondo la metodologia ENISA ....... . 780
5. Quando è necessaria l’analisi dei rischi? ........................ . 781
6. Soggetti obbligati e ruolo del RPD ........................... . 782
7. I rischi “per i diritti e le libertà †delle persone fisiche ................ . 783
8. Il problema del concetto di “persone fisiche†..................... . 785
9. Il problema del concetto di “rischio elevato†..................... . 786
10. Le ipotesi di “rischio elevatoâ€: i nove criteri dell’EDPB ............... . 787
11. Le ipotesi di “rischio elevatoâ€: il provvedimento del Garante dell’11 ottobre 2018, n.
467 .............................................. . 792
11.1. Il parere 12/2018 dell’EDPB ........................... . 792
11.2. L’elenco del Garante ............................... . 794
12. Il concetto di “rischio elevato†secondo le autorità di controllo ........... . 796
12.1. Impariamo dagli elenchi delle altre autorità di controllo ai sensi dell’art. 35,
par. 4, GDPR ................................... . 796
12.2. Segue: impariamo dagli elenchi delle altre autorità di controllo ai sensi dell’art.
35, par. 5, GDPR ................................. . 797
13. Osservazioni conclusive .................................. . 799
14. I punti di contatto con l’analisi del rischio Anticorruzione .............. . 801
14.1. Premessa ...................................... . 801
14.2. I tempi di aggiornamento degli strumenti ................... . 803
14.3. I soggetti coinvolti ................................. . 803
14.4. Mappatura dei processi e gestione del rischio ................. . 805
14.5. Segue: la valutazione del rischio ......................... . 807
14.6. Punti di contatto e punti di discontinuità . Alcune note conclusive ..... . 810
15. Le misure adeguate di trattamento dei rischi tra privacy e anticorruzione ..... . 811
15.1. Cenni introduttivi ................................. . 811
15.2. Misure tecniche e misure organizzative per la protezione dei dati personali . 812
15.3. Segue: e per la prevenzione della corruzione .................. . 816
15.4. Pubblicità delle misure adottate ......................... . 821
15.5. Efficacia delle misure adottate .......................... . 821
INDICE SOMMARIO
XVII
15.6. Conseguenze della mancata adozione delle misure (adeguate) ........ . 822
16. Rapporti tra il Responsabile della Prevenzione della Corruzione e della Trasparenza
(RPCT) e il Responsabile della protezione dei dati (RPD) .............. . 823
16.1. Inquadramento generale ............................. . 823
16.2. I compiti e le funzioni che accomunano il RPCT e il RPD ......... . 823
16.3. Compatibilità di ruoli e compiti in capo a un unico soggetto ........ . 827
16.4. Alcune ulteriori osservazioni ........................... . 829
Parte V
L’ANTIRICICLAGGIO
Sezione I
QUESTIONI GENERALI
CAPITOLO 37
IL RICICLAGGIO. DISCIPLINA INTERNAZIONALE E COMUNITARIA
di Carla Secchieri
1. Il riciclaggio: concetto e tecniche. ............................ . 837
2. I reati di riciclaggio e autoriciclaggio .......................... . 840
2.1. Il reato di riciclaggio ............................... . 840
2.2. Il reato di autoriciclaggio ............................. . 844
2.3. Il delitto di riciclaggio e il rapporto con le altre figure delittuose limitrofe . 846
3. La lotta al riciclaggio. Disciplina internazionale e comunitaria ............ . 847
3.1. Il panorama internazionale ............................ . 847
3.2. Il GAFI - Gruppo di Azione Finanziaria Internazionale ........... . 849
3.3. La disciplina comunitaria ............................. . 849
4. La lotta al riciclaggio: la disciplina nazionale ...................... . 851
5. Le autorità pubbliche di vigilanza ............................ . 852
CAPITOLO 38
LE PUBBLICHE AMMINISTRAZIONI. ALTRI SOGGETTI OBBLIGATI
di Carla Secchieri
1. I soggetti obbligati ..................................... . 856
2. Le Pubbliche Amministrazioni .............................. . 858
3. Le modalità dei controlli e l’analisi dei rischi ..................... . 860
3.1. L’approccio basato sul rischio .......................... . 860
3.2. L’autovalutazione del rischio ........................... . 862
4. Le verifiche sulla clientela e le persone politicamente esposte (PEPs) ....... . 865
4.1. L’adeguata verifica ordinaria ........................... . 865
4.2. L’adeguata verifica semplificata ......................... . 870
4.3. L’adeguata verifica rafforzata ........................... . 871
4.4. Le persone politicamente esposte (PEPs) .................... . 873
INDICE SOMMARIO
XVIII
5. La segnalazione e la comunicazione di operazioni sospette ............. . 875
CAPITOLO 39
LE SANZIONI PENALI E AMMINISTRATIVE
di Carla Secchieri
1. Il nuovo regime sanzionatorio della Direttiva UE 849/2015 ............. . 880
2. Il sistema sanzionatorio nella nuova Legge Antiriciclaggio (d.lgs. n. 90/2017) ... . 883
3. Gli illeciti penali ...................................... . 885
4. Le sanzioni amministrative ................................ . 888
5. Le misure ulteriori ..................................... . 892
6. Le “fattispecie qualificate†delle violazioni degli obblighi antiriciclaggio e lo speciale
trattamento sanzionatorio ................................. . 892
7. I criteri per l’applicazione delle sanzioni ai sensi dell’art. 67 e cumulo giuridico . . 894
8. L’applicazione della sanzione in misura ridotta (art. 68) ............... . 896
9. Successioni di leggi nel tempo: favor rei e abolitio criminis (art. 69) ........ . 897
10. Il procedimento sanzionatorio (art. 65) ......................... . 898
Sezione II
LA COMPLIANCE
CAPITOLO 40
LA COMPLIANCE IN MATERIA DI ANTIRICICLAGGIO
di Maurizio Arena
1. La normativa italiana per il contrasto del riciclaggio ................. . 901
1.1. L’adeguata verifica della clientela ........................ . 903
1.1.1. Contenuto degli obblighi di adeguata verifica ............ . 904
1.2. La conservazione delle informazioni acquisite ................. . 904
1.2.1. Modalità di conservazione delle informazioni ............ . 905
1.3. La segnalazione di operazioni sospette ..................... . 906
1.3.1. L’ambito oggettivo dell’obbligo .................... . 906
1.4. L’obbligo di astensione .............................. . 907
1.5. La prevenzione dei reati di riciclaggio ai sensi del d.lgs. n. 231/2001 ... . 908
1.5.1. I modelli organizzativi ......................... . 909
1.5.2. Il codice etico e di condotta ...................... . 910
1.5.3. Il sistema sanzionatorio del modello e del codice etico ...... . 911
1.5.4. La segnalazione di potenziali illeciti (c.d. whistleblowing) ..... . 912
1.5.5. L’organismo di vigilanza ........................ . 913
1.5.6. La formazione del personale ...................... . 914
CAPITOLO 41
LE DISPOSIZIONI IN MATERIA DI ORGANIZZAZIONE,
PROCEDURE E CONTROLLI
di Maurizio Arena
1. Il principio di proporzionalità e l’approccio basato sul rischio ........... . 917
INDICE SOMMARIO
XIX
2. Le declinazioni dei provvedimenti attuativi ...................... . 918
3. Il sistema di controllo interno .............................. . 920
4. I macro-contenuti del sistema di prevenzione del riciclaggio ............. . 922
4.1. L’autovalutazione del rischio (self assessment antiriciclaggio) ........ . 922
5. Set essenziale di misure organizzative .......................... . 924
5.1. La funzione antiriciclaggio ............................ . 925
5.2. Il responsabile antiriciclaggio ........................... . 927
5.3. Il responsabile della segnalazione di operazioni sospette ........... . 929
5.4. L’Internal audit (revisione interna) ....................... . 931
5.5. L’Organismo di vigilanza ............................. . 932
6. Gli obblighi degli organi di controllo .......................... . 933
7. Sistemi interni di segnalazione delle violazioni ..................... . 935
8. La formazione del personale ............................... . 937
9. Il controllo sui collaboratori esterni ........................... . 938
10. La compliance nei gruppi ................................. . 940
CAPITOLO 42
LA COMPLIANCE NEI GRUPPI DI IMPRESE
di Giuseppe Miceli
1. La compliance: definizione e peculiarità ......................... . 943
2. Il gruppo di imprese: definizione e aspetti caratterizzanti .............. . 944
3. Profili di responsabilità nei Gruppi di imprese. Cenni ................ . 949
4. I poteri di controllo in materia di compliance Antiriciclaggio ............ . 950
5. La compliance nei gruppi di imprese .......................... . 952
5.1. Compliance Antiriciclaggio: la funzione del documento di presidio AML . . 953
5.2. Compliance Antiriciclaggio: il ruolo dell’Organismo di Vigilanza ...... . 956
CAPITOLO 43
LA COMPLIANCE DEI PROFESSIONISTI
di Giuseppe Miceli
1. La compliance dei professionisti ............................. . 958
2. I professionisti “Soggetti obbligati†ai sensi dell’art. 3 d.lgs. n. 231/2007 e il ruolo
degli Organismi di autoregolamentazione ........................ . 959
3. Obblighi Antiriciclaggio a carico dei professionisti .................. . 960
3.1. Obblighi di identificazione e adeguata verifica della clientela tenendo conto dei
casi in cui si dovranno applicare le misure rafforzate o quelle semplificate . . 961
3.2. Esternalizzazione di funzioni e adempimento degli obblighi ......... . 962
3.3. Obbligo astensione ................................ . 963
3.4. Obblighi di conservazione dei documenti, i dati e le informazioni ..... . 964
3.5. Obbligo di Segnalazione delle Operazioni Sospette (SOS) .......... . 965
3.6. Obbligo di comunicazione al Ministero dell’economia e delle finanze delle
infrazioni per il superamento della soglia di spendibilità del contante ... . 967
3.7. Obbligo di formazione Antiriciclaggio ..................... . 968
INDICE SOMMARIO
XX
Sezione III
ANTIRICICLAGGIO E TRATTAMENTO DEI DATI PERSONALI
CAPITOLO 44
ANTIRICICLAGGIO E PRIVACY: L’APPROCCIO “RISK BASED†di Franco Pozzoli
1. La compliance normativa e l’approccio “risk based†.................. . 969
2. L’approccio “risk based†nella normativa sull’antiriciclaggio ............. . 972
3. L’approccio “risk based†nella normativa sulla protezione dei dati personali .... . 978
4. La compliance integrata: le connessioni tra la prevenzione dell’antiriciclaggio e la
protezione dei dati personali ............................... . 981
CAPITOLO 45
LA CONSERVAZIONE DEI DATI, DEI DOCUMENTI
E DELLE INFORMAZIONI ACQUISITI AI FINI ANTIRICICLAGGIO
di Alessio Baldi e Davide Mula
1. Interconnessione tra normativa antiriciclaggio, privacy e protezione dei dati personali . . 986
2. Obblighi di conservazione ................................ . 988
3. Conservazione dei dati personali e dei documenti ................... . 991
3.1. Conservazione presso soggetti terzi ....................... . 994
3.2. Particolari obblighi di conservazione ...................... . 995
CAPITOLO 46
TRATTAMENTO DEI DATI CONNESSI AGLI ADEMPIMENTI ANTIRICICLAGGIO:
TRA INTERESSE PUBBLICO E TUTELA DEI DATI PERSONALI
di Maddalena Valli, Francesco Caccamo e Davide Mula
1. Introduzione ........................................ . 1004
2. Obblighi ai sensi della normativa antiriciclaggio. Profili generali .......... . 1005
2.1. Il divieto di anonimato e il principio del c.d. know your customer...... . 1006
2.2. L’obbligo del cliente di fornire le informazioni richieste ........... . 1008
2.3. L’adeguata verifica della clientela: le modalità e l’indagine sul cliente ... . 1008
2.4. L’attribuzione del rischio riciclaggio ...................... . 1009
2.5. Il controllo costante nel corso del rapporto .................. . 1009
2.6. La conservazione dei dati nel Decreto Antiriciclaggio ............ . 1010
2.7. La segnalazione di operazioni sospette (SOS) ................. . 1011
2.8. Il titolare effettivo ................................. . 1012
2.9. Le persone politicamente esposte (PEP) .................... . 1013
3. Il trattamento dei dati connesso alle operazioni antiriciclaggio: liceità , correttezza e
trasparenza nella gestione dei dati e principio di minimizzazione .......... . 1013
3.1. Analisi del trattamento dati connesso agli obblighi in materia antiriciclaggio . 1016
4. La raccolta dei dati e la loro gestione: il nesso fra le norme privacy e le disposizioni
antiriciclaggio ........................................ . 1017
4.1. Informazioni da rendere all’interessato ..................... . 1018
INDICE SOMMARIO
XXI
4.2. Le misure di sicurezza ............................... . 1018
4.3. Limitazioni ai diritti dell’interessato ....................... . 1019
4.4. Obblighi Antiriciclaggio e privacy risk assessment: valutazione d’Impatto e c.d.
DPIA ........................................ . 1020
5. Il trattamento dei dati antiriciclaggio in una prospettiva sistemica ......... . 1021
Parte VI
LA RESPONSABILITÀ DEGLI ENTI
Sezione I
QUESTIONI GENERALI
CAPITOLO 47
I REATI PRESUPPOSTO E LA VALUTAZIONE DEI RISCHI DI REATO.
IL MODELLO ORGANIZZATIVO E GESTIONALE
di Carlo Pecoraro
1. La responsabilità amministrativa da reato degli enti .................. . 1025
2. I reati presupposto .................................... . 1026
3. Il modello di organizzazione, gestione e controllo ................... . 1036
4. La struttura del modello ................................. . 1040
5. La valutazione dei rischi di reato ............................ . 1043
CAPITOLO 48
L’ORGANISMO DI VIGILANZA (ODV)
di Carlo Pecoraro
1. La composizione dell’Organismo di Vigilanza: i requisiti soggettivi ......... . 1048
2. Segue: la scelta dei componenti. ............................. . 1051
3. La nomina ......................................... . 1054
4. Funzioni ed obblighi ................................... . 1055
5. Le connessioni tra l’Organismo di Vigilanza e il sistema dei controlli interno ... . 1058
Sezione II
LA COMPLIANCE NELLE AZIENDE E NEI GRUPPI
CAPITOLO 49
IL RISK ASSESSMENT DELLA COMPLIANCE
di Ranieri Razzante
1. Il risk assessment della compliance: la necessaria premessa definitoria ....... . 1063
2. La funzione compliance e le relazioni con l’internal audit e risk management.... . 1070
3. Modello accentrato e decentrato ............................. . 1073
INDICE SOMMARIO
XXII
CAPITOLO 50
COME RENDERE EFFETTIVA LA COMPLIANCE. IL RUOLO DI PROCEDURE E PROTOCOLLI
di Giulia Escurolle e Dario Moncalvo
1. Introduzione ........................................ . 1083
1.1. Le procedure e i protocolli nel sistema della responsabilità degli enti ... . 1085
2. Le procedure nelle operazioni con parti correlate ................... . 1089
2.1. L’impianto definitorio del Regolamento OPC ................. . 1091
2.2. Gli obblighi procedurali nelle operazioni con parti correlate ........ . 1092
3. Protocolli e procedure nel trattamento delle informazioni segrete e riservate (Internal
Dealing) ........................................... . 1099
Sezione III
SISTEMA DI PIANIFICAZIONE/VALUTAZIONE DEI RISCHI
E SISTEMA DI GESTIONE PRIVACY
CAPITOLO 51
IL SISTEMA DI GESTIONE PRIVACY
di Marco Martorana
1. Introduzione ........................................ . 1105
2. Il progetto, la gap analysis e il registro del trattamento ................ . 1109
3. Analisi del rischio privacy: il modello ENISA ..................... . 1114
4. La Valutazione d’Impatto Privacy ............................ . 1118
5. Pianificazione e Governance privacy ........................... . 1125
CAPITOLO 52
I PUNTI DI CONTATTO TRA ILLECITI NEL CONTESTO DI DATA PROTECTION
E REATI PRESUPPOSTO DEL D.LGS. N. 231/2001
di Marco Martorana
1. Introduzione ........................................ . 1130
2. Compliance nel contesto di data protection e nel contesto 231 ............ . 1132
3. I rapporti tra l’Organismo di Vigilanza e il Data Protection Officer ......... . 1134
Parte VII
LA COMPLIANCE TRIBUTARIA
CAPITOLO 53
I REATI TRIBUTARI TRA I REATI PRESUPPOSTO
DELLA RESPONSABILITÀ AMMINISTRATIVA DEGLI ENTI
di Mirea Bovone (parr. 1, 4) e Maria Fretto (parr. 2, 3)
1. Introduzione ........................................ . 1141
INDICE SOMMARIO
XXIII
2. I reati tributari presupposto della responsabilità amministrativa degli enti ..... . 1143
3. Le sanzioni tributarie e il problema del rispetto del bis in idem ........... . 1145
4. Il cd. “Modello 231†................................... . 1147
CAPITOLO 54
COOPERATIVE COMPLIANCE, LA TAX COMPLIANCE D’IMPRESA
di Paola Milioto
1. La compliance in Italia nella gestione del rapporto fiscale .............. . 1151
2. L’influenza internazionale sulla pianificazione fiscale, sullo scambio di informazioni e
sulla trasparenza ...................................... . 1156
3. La tax compliance d’impresa ............................... . 1158
3.1. Il regime della cooperative compliance ...................... . 1158
3.1.1. La disciplina attuativa del regime di cooperative compliance .... . 1163
3.1.2. I benefici della cooperative compliance e l’impatto sul sistema sanzionatorio .................................. . 1167
3.1.3. Interpello sui nuovi investimenti ................... . 1170
3.2. Interpello internazionale (o accordi preventivi per le imprese con attivitÃ
internazionale) ................................... . 1174
4. Il 2015 quale anno di svolta nel rapporto Fisco-contribuente in ambito nazionale? . 1175
Parte VIII
SICUREZZA, SALUTE E TUTELA DELL’AMBIENTE
CAPITOLO 55
SALUTE E SICUREZZA SUI LUOGHI DI LAVORO
di Alfonso Contaldo e Giovanni Crea
1. Introduzione ........................................ . 1179
2. Princìpi di rango costituzionale e l’art. 2087 c.c. ................... . 1180
3. Salute, sicurezza e rispetto dell’ambiente ........................ . 1183
CAPITOLO 56
I REATI SULLA SICUREZZA E LA SALUTE NELL’AMBITO DEL D.LGS. N. 231/2001
di Gianpiero Uricchio
1. Introduzione del Modello Organizzativo ai sensi del d.lgs. n. 231/2001 e del Modello
ai sensi del d.lgs. n. 81/2008 ............................... . 1186
1.1. Disposizioni del d.lgs. n. 81/2008 ........................ . 1187
1.2. Violazione alle norme ............................... . 1189
2. Differenze tra modello adottato del datore di lavoro e modello imposto dal d.lgs. n.
81/2008 ........................................... . 1192
2.1. Il Modello di Organizzazione gestione e controllo .............. . 1194
3. Sicurezza del Modello di organizzazione gestione e controllo ............ . 1197
INDICE SOMMARIO
XXIV
3.1. Ruoli e responsabilità previste per la tutela e la prevenzione della salute e
sicurezza sul lavoro ................................ . 1200
4. Il caso dei gruppi di imprese: cosa cambia? ...................... . 1203
5. Organismo di vigilanza .................................. . 1207
CAPITOLO 57
STANDARD INTERNAZIONALI IN MATERIA DI GESTIONE AMBIENTALE:
LA NORMA ISO 14001 ED IL REGOLAMENTO COMUNITARIO EMAS
di Ilaria Ricci
1. Il sistema di gestione ambientale EMAS e la norma ISO 14001: inquadramento
generale ........................................... . 1216
2. Origine ed evoluzione del sistema EMAS e della norma ISO 14001 ........ . 1218
2.1. I primi programmi comunitari di azione per l’ambiente e il regolamento (CEE)
n. 1836/93 (EMAS I) ............................... . 1218
2.2. Lo standard internazionale ISO 14001 e il Regolamento (CE) n. 761/2001
(EMAS II) ..................................... . 1220
2.3. Il sesto programma d’azione per l’ambiente, il Regolamento n. 1221/2009
(EMAS III) e alcuni strumenti successivi in ambito ambientale ....... . 1223
3. Il Regolamento EMAS: principi fondamentali e rapporto con la norma ISO 14001 . 1224
3.1. La registrazione EMAS .............................. . 1224
3.2. Le prescrizioni della norma EN ISO 14001: 2015 e il sistema EMAS ... . 1225
3.3. L’analisi ambientale nel sistema EMAS ..................... . 1226
3.4. Le prescrizioni della norma ISO 14001 applicabili al sistema EMAS .... . 1226
3.5. Gli obblighi delle organizzazioni registrate EMAS .............. . 1230
3.6. I compiti dei verificatori ambientali nel sistema EMAS ............ . 1231
3.7. Il ruolo degli Stati membri rispetto al sistema EMAS ............. . 1232
4. Considerazioni conclusive ................................. . 1234
Parte IX
ANTITRUST COMPLIANCE
CAPITOLO 58
LA COMPLIANCE ANTITRUST
di Carlo Edoardo Cazzato, Marta Bianchi, Marco Ingiulla e Davide Cirotti
1. Premessa .......................................... . 1239
2. Le Linee Guida AGCM: la ratio e le origini ...................... . 1240
3. Il contenuto del programma di compliance ....................... . 1242
4. La valutazione del programma di compliance ...................... . 1243
5. La compliance in sede sanzionatoria ........................... . 1245
6. Specifiche casistiche .................................... . 1246
7. La compliance consumeristica .............................. . 1247
8. Poteri ispettivi dell’AGCM e della Commissione ................... . 1251
8.1. Segue: Direttiva ECN+ e il suo recepimento nell’ordinamento italiano ... . 1255
INDICE SOMMARIO
XXV
CAPITOLO 59
COMPLIANCE CONTRATTUALE E CONDOTTE COMMERCIALI SLEALI
NELLA FILIERA AGRO-ALIMENTARE
di Raffaele Torino
1. Introduzione ........................................ . 1257
2. Breve storia dell’evoluzione del sistema giuridico italiano in materia di contrasto alle
pratiche commerciali sleali nella filiera agro-alimentare ................ . 1260
3. I contratti di cessione ................................... . 1262
3.1. I principi generali dei contratti di cessione ................... . 1263
3.2. La forma scritta dei contratti di cessione .................... . 1264
3.3. Gli elementi essenziali dei contratti di cessione ................ . 1264
3.4. Gli accordi quadro ................................ . 1265
3.5. Mediazione e risoluzione alternativa delle controversie ............ . 1266
4. Le pratiche commerciali sleali vietate: il nuovo sistema ................ . 1267
4.1. Le pratiche commerciali sleali vietate ...................... . 1267
4.2. Le pratiche commerciali vietate se non concordate .............. . 1270
4.3. Le buone pratiche commerciali ......................... . 1271
5. La disciplina dei pagamenti ............................... . 1271
6. Le vendite sottocosto di prodotti agricoli ed alimentari ............... . 1273
7. La vigilanza sulla compliance ............................... . 1273
7.1. Le denunce ..................................... . 1274
7.2. Il sistema sanzionatorio .............................. . 1276
7.3. Termini per l’adeguamento ............................ . 1278
Parte X
IL WHISTLEBLOWING
CAPITOLO 60
LA DISCIPLINA DEL WHISTLEBLOWING
di Francesco d’Amora e Giuseppe Fera
1. La disciplina del whistleblowing. ............................. . 1281
1.1. L’emanazione della normativa italiana ..................... . 1283
1.2. Ambito di applicazione della disciplina ex l. n. 179/2017 .......... . 1286
1.3. La disciplina speciale ............................... . 1290
1.4. Art. 3, l. n. 179/2017, l’obbligo di segreto d’ufficio, aziendale, professionale,
scientifico e industriale .............................. . 1293
2. Le indicazioni dell’ANAC ................................ . 1294
2.1. Le linee guida dell’ANAC ............................ . 1296
CAPITOLO 61
LE PROCEDURE
di Francesco d’Amora e Giuseppe Fera
1. Le procedure di segnalazione .............................. . 1301
INDICE SOMMARIO
XXVI
1.1. Le procedure ex art. 54-bis, d.lgs. n. 165/2001: gli organi coinvolti e le loro
funzioni ....................................... . 1303
1.2. Segue: le fasi della procedura ........................... . 1312
1.3. Le procedure ex art. 6, d.lgs. n. 231/2001 ................... . 1315
2. Gli esiti delle procedure: archiviazione, procedimento disciplinare, procedimento
penale. ............................................ . 1322
2.1. L’archiviazione. .................................. . 1322
2.2. Il procedimento disciplinare. ........................... . 1323
2.3. Il procedimento penale .............................. . 1324
3. Le segnalazioni all’ANAC. ................................ . 1327
CAPITOLO 62
IL RISARCIMENTO DEI DANNI
di Francesco d’Amora e Giuseppe Fera
1. Il risarcimento dei danni ................................. . 1332
1.1. Il risarcimento dei danni nei confronti del dipendente: il licenziamento . . . 1333
1.2. Altre ipotesi di risarcimento dei danni nei confronti del dipendente .... . 1338
1.3. Il risarcimento dei danni nei confronti del segnalato ............. . 1342
CAPITOLO 63
IL WHISTLEBLOWING NEL D.LGS. N. 231/2001 E NELLA
NORMATIVA ANTIRICICLAGGIO
di Alessandro Adotti
1. Considerazioni introduttive ................................ . 1345
2. Le previsioni nell’ambito del d.lgs. n. 231/2001 .................... . 1347
3. Le previsioni nel settore del contrasto al riciclaggio .................. . 1353
4. Conclusioni ......................................... . 1356
Parte XI
LA COMPLIANCE NELLA CYBERSECURITY
CAPITOLO 64
DALLA DIRETTIVA NIS AL PERIMETRO
DI SICUREZZA NAZIONALE CIBERNETICA
di Davide Maniscalco
1. La cybersecurity ....................................... . 1361
1.1. Evoluzione europea della cybersecurity...................... . 1361
1.2. Il ruolo ed il mandato dell’ENISA ....................... . 1364
1.3. La Strategia per uno spazio cibernetico aperto e sicuro ........... . 1364
1.4. Difesa, deterrenza e resilienza .......................... . 1365
2. European Cybersecurity Strategy .............................. . 1366
2.1. La European Cybersecurity Strategy 2020 .................... . 1366
INDICE SOMMARIO
XXVII
2.2. Il Partenariato Pubblico-Privato ......................... . 1369
2.3. La Direttiva europea NIS ............................. . 1370
2.4. La procedura di follow up della Direttiva ................... . 1372
2.5. Il piano di risposta agli incidenti informatici su larga scala ......... . 1374
3. La governance ........................................ . 1377
3.1. La governance italiana della cybersecurity .................... . 1377
3.2. Un framework nazionale per il quinto dominio ................ . 1378
4. Nuove frontiere ...................................... . 1386
4.1. Il Nuovo Ecosistema della sicurezza: Digital Single Market e nuove sfide . . 1386
4.2. Completamento della strategia europea per la cybersecurity .......... . 1386
4.3. Il sistema di sicurezza europeo by design .................... . 1387
4.4. Il Nuovo mandato dell’ENISA .......................... . 1390
4.5. Conclusioni e roadmap per il futuro ....................... . 1393
Indice analitico .......................................... . 1399