Privacy: scade il termine per la redazione del Documento programmatico sulla sicurezza

Scade oggi, 31 marzo, il termine previsto dal D.Lgs. 196/03 per la redazione del Documento programmatico per la Sicurezza, secondo le modalità indicate alla regola 19 dell’allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza":

Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

Linee guida per la stima dei costi della sicurezza

Segnalato da Consic srl.

Sono disponibili, tra i documenti nella colonna di destra, le "Linee guida per la stima dei costi della sicurezza nei contratti pubblici di forniture o servizi" predisposte dalla "Conferenza delle Regioni e delle Provincie Autonome" il 20 marzo 2008 e pubblicate il 28 marzo 2008.

La Pronuncia delle Sezioni Unite sul concetto di profitto sul caso rifiuti di Napoli

L'avv. Grassi ci segnala il comunicato stampa sulla pronuncia delle Sezioni Unite di ieri sul caso rifiuti di Napoli , che ridefinisce il concetto di "profitto":

Si rende noto che in data odierna la Corte Suprema di Cassazione a Sezioni Unite Penali ha accolto il ricorso presentato contro l’ordinanza del Tribunale del Riesame di Napoli in merito al sequestro preventivo disposto nell’ambito dell’inchiesta sui rifiuti nella regione Campania.
La Corte Suprema di Cassazione ha disposto l’annullamento dell’ordinanza e il rinvio al Tribunale del Riesame di Napoli.
La Corte Suprema di Cassazione ha pertanto diffuso l’informazione provvisoria n. 7, che si riporta di seguito:
“Questione esaminata: Come debba configurarsi il “profitto del reato” nel sequestro preventivo funzionale alla confisca, ai sensi degli artt. 19 e 53 d.lgs. 8 giugno 2001 n. 231.
Soluzione adottata: Deve intendersi per “profitto del reato” di cui agli artt. 19 e 53 d.lgs. n. 231 del 2001 il vantaggio economico di diretta e immediata derivazione causale dal reato, che va determinato tenendo conto dell’utilità eventualmente conseguita in concreto dal danneggiato.
Riferimenti normativi: c.p.p., art.321; c.p., artt. 240 e 640, comma secondo; d.lgs. 8 giugno 2001, n. 231, artt.6, comma quinto, 9, 15, comma quarto, 16 e 53”.
La determinazione dell’importo oggetto del sequestro preventivo sarà effettuata dal Tribunale del Riesame di Napoli secondo la soluzione adottata dalla Corte Suprema.

Riforma del Codice Penale e Responsabilità degli Enti

Lo schema di disegno di legge delega per la riforma del Codice Penale (c.d. Bozza Pisapia) inserisce la responsabilità degli enti nel nuovo Codice Penale.

di Giovanni Battisti.
*****

Si sono conclusi il 21 marzo scorso i lavori della Commissione di studio per la riforma del codice penale, istituita nel luglio 2006 e presieduta da Giuliano Pisapia. Lo schema di disegno di legge delega, approntato dalla Commissione, che struttura la riforma della parte generale del codice è stato presentato al guardasigilli Luigi Scotti.
(Scarica il Testo e la relazione del progetto di disegno di legge.)

Lo schema di disegno di legge delega prevede che la responsabilità degli enti sia inserita nel Codice Penale, come era già emerso nella relazione al disegno di legge:

"La Commissione è stata, fin dall’inizio dei propri lavori, concorde nel ritenere che la responsabilità degli enti dovesse essere inserita nel codice penale. Infatti, con l’entrata in vigore del decreto legislativo 8 giugno 2001 n. 231 (disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica) l’inedita forma di responsabilità degli enti è entrata a tutti gli effetti a far parte del nostro ordinamento penale."
"Nell’ambito del processo penale potranno, quindi, sulla base della direttiva predisposte dalla Commissione (art.56), essere chiamati a rispondere gli enti, le società, le associazioni (anche non riconosciute) e gli enti pubblici nei limiti in cui esercitano attività economica."
"Alla normativa sulla responsabilità degli enti, che sarà prevista anche in caso di reati in materia di sicurezza del lavoro e di reati ambientali, si applicheranno, in quanto compatibili, tutte le disposizioni del codice penale, ivi comprese quelle che prevedono misure di attenuazione o esclusione delle sanzioni in caso di condotte riparatorie."

Riportiamo, di seguito, il testo dello schema di disegno di legge delega e della relazione per la parte che interessa la responsabilità degli enti:

Articolo 56 (Responsabilità degli enti)
Prevedere la responsabilità dell’ente per fatti di reato, recependo la disciplina attualmente prevista dal decreto legislativo 8 giugno 2001, n. 231, con gli adeguamenti che seguono:
a) escludere la qualifica della responsabilità come «amministrativa»; escludere altresì la denominazione delle sanzioni come «amministrative»;
b) chiarire che rispondono del reato tutti gli enti, società, associazioni anche non riconosciute, nonché gli enti pubblici in quanto esercitino attività economica e nei limiti della stessa. Sono esclusi lo Stato, le Regioni, gli altri enti pubblici territoriali, le Autorità indipendenti e gli enti di piccole dimensioni, salvo quelli aventi personalità giuridica ;
c) perfezionare l’adeguamento dei criteri di imputazione al principio di personalità, chiarendo, in particolare, che la persona giuridica risponda soltanto dei reati commessi nel suo interesse;
d) stabilire che la responsabilità delle persone giuridiche si perfezioni solo se il reato sia stato reso possibile da una lacuna organizzativa ascrivibile alla stessa o dalla carenza di sorveglianza o controllo ovvero sia stato commesso su indicazione dei vertici organizzativi o gestionali dello stesso;
e) estendere il novero dei reati per i quali la persona giuridica debba rispondere se commessi nel suo interesse, in particolare includendovi i reati in materia di sicurezza del lavoro e ambientale;
f) prevedere l’applicazione nella specifica materia delle disposizioni del Codice Penale, in quanto compatibili, provvedendo ad ogni opportuno coordinamento anche con riferimento a misure di attenuazione o esclusione della sanzione in caso di condotte riparatorie.

Relazione, paragrafo "XXX. Responsabilità degli enti"
La Commissione è stata, fin dall’inizio dei propri lavori, concorde nel ritenere che la responsabilità degli enti dovesse essere inserita nel codice penale. Infatti, con l’entrata in vigore del decreto legislativo 8 giugno 2001 n. 231 (disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica) l’inedita forma di responsabilità degli enti è entrata a tutti gli effetti a far parte del nostro ordinamento penale.
Pur in presenza di dubbi sulla compatibilità di una responsabilità penale o parapenale dell’ente a fronte del principio di “personalità” consacrato dall’art. 27 Cost., l’Italia non poteva sottrarsi alla direttiva prevista dall’art. 2 della Convenzione O.C.S.E. sulla corruzione, sottoscritta a Parigi nel dicembre 1997, che prevede la diretta responsabilità degli enti collettivi per i reati consumati nel loro interesse o collegati a tali enti da un rapporto funzionale. Già da tempo, del resto, anche nel nostro Paese si era sviluppata una autorevole opinione della dottrina favorevole a prevedere forme di responsabilità per le persone giuridiche, anche al fine di contrastare più efficacemente il sempre più diffuso fenomeno della criminalità d’impresa. Invero, come è stato autorevolmente affermato, si è venuta creando una “realtà che si esprime e agisce attraverso i propri rappresentanti persone fisiche, nell’ambito di un rapporto di immedesimazione organica e non già di alterità”.
In questo contesto, l’inserimento della normativa sulla responsabilità degli enti nel codice penale, pur non condivisa da tutti, si pone anche quale elemento di garanzia, non potendo, la relativa disciplina, discostarsi da alcuni princìpi fondanti previsti dalla parte generale del codice.
La Commissione aveva iniziato ad elaborare alcune specifiche direttive di delega. Poiché però, nel corso dei lavori, è stata istituita presso il Ministero altra Commissione con il compito, tra l’altro, di proporre modifiche al decreto legislativo 8 giugno 2001, si è deciso di limitarsi a indicare, sul tema, alcuni punti ritenuti qualificanti.
Peraltro, ad avviso della Commissione, la responsabilità per reato di enti e persone giuridiche - che si è ritenuto di non dover più definire “amministrativa” - è assolutamente indispensabile per la coerenza preventiva del sistema, specie alla luce della quantità di reati compiuti non già nell’interesse specifico della persona fisica che opera nell’ambito di un soggetto giuridico, bensì nell’interesse dei soci o degli associati. Solo attraverso una specifica penalizzazione che colpisca anche i soggetti giuridici – nei casi, evidentemente, in cui il reato risulti compiuto nel loro interesse e non sia dimostrata una credibile attivazione rivolta al suo impedimento - e, dunque,
solo evitando che soci ed associati possano obiettivamente beneficiare dei vantaggi di un reato compiuto nell’interesse dell’ente o della associazione, sarà possibile attivare una dinamica preventiva realistica, stimolando l’interesse e la disponibilità all’autocontrollo da parte dei soggetti giuridici.
Nell’ambito del processo penale potranno, quindi, sulla base della direttiva predisposte dalla Commissione (art.56), essere chiamati a rispondere gli enti, le società, le associazioni (anche non riconosciute) e gli enti pubblici nei limiti in cui esercitano attività economica. Inizialmente si era prevista l’esclusione della responsabilità – oltre che per lo Stato, le Regioni, altri enti pubblici territoriali e le Autorità indipendenti – anche per “gli enti di piccola dimensione”: sia perché, in caso di reato commesso nell’interesse di enti di piccole dimensioni, normalmente la responsabilità penale è attribuita direttamente a chi ha una posizione apicale, sia per evitare il rischio di un sempre maggiore ingolfamento dei Tribunali. A seguito di alcuni rilievi emersi nel corso del Seminario di Siracusa, la Commissione ha ritenuto di limitare tale esclusione agli enti di piccola dimensione che non abbiano personalità giuridica. Alla normativa sulla responsabilità degli enti, che sarà prevista anche in caso di reati in materia di sicurezza del lavoro e di reati ambientali, si applicheranno, in quanto compatibili, tutte le disposizioni del codice penale, ivi comprese quelle che prevedono misure di attenuazione o esclusione delle sanzioni in caso di condotte riparatorie.

Il 28 marzo, a Roma, si parla di sicurezza sul lavoro

Attenzione: questo evento non è più attivo!

La FIRAS-SPP ha organizzato, per il 28 marzo 2008, un incontro aperto a tutti gli RSPP e ASPP d'Italia.

L'evento sarà l'occasione per discutere del ruolo dei RSPP e ASPP, e delle novità che il nuovo Testo Unico per la Sicurezza dovrebbe portare nel settore.

Il programma è disponibile on-line; per l'iscrizione scrivere a organizzazione (at) firas-spp.it

Newsletter n. 303 del Garante per la Privacy

Nella newsletter n. 303 del 21 marzo 2008 il Garante per la tutela dei dati personali affronta i seguenti temi:

• Privacy in albergo: vietato "spiare" i gusti dei clienti - Anche quando raccolgono via web, a fini di marketing, informazioni su gusti abitudini o preferenze dei clienti, le catene alberghiere devono richiedere uno specifico consenso per poter utilizzare quei dati. Per le finalità di marketing e di promozione commerciale la richiesta di consenso deve essere chiaramente distinta dal resto della scheda normalmente utilizzata per la raccolta dei dati ai fini della fornitura del semplice servizio alberghiero.


• Preiscrizioni universitarie a prova di privacy - Parere favorevole sullo schema di decreto per le preiscrizioni universitarie (presentato dal Ministero dell'Università e della Ricerca) che disciplina le modalità di raccolta dei dati personali (dati anagrafici, codice fiscale, indirizzo ecc.) forniti dagli studenti all'atto della compilazione del modello di preiscrizione. Il modulo, destinato agli iscritti all'ultimo anno della scuola secondaria superiore che intendono accedere ai corsi di laurea nell'anno accademico 2008/2009, è scaricabile dal sito internet del Ministero assieme all'informativa sulla finalità e modalità di trattamento dei dati sottoscritti dagli studenti.


• Informazioni creditizie e fallimenti - I dati relativi alle procedure fallimentari possono essere trattati dalle "centrali rischi" private (Sic, sistemi di informazione creditizia) purché conservati in un archivio distinto dalle altre informazioni creditizie gestite.


• Per la Corte Costituzionale tedesca "perquisizioni" on line solo in casi eccezionali - La Corte costituzionale tedesca ha ritenuto incostituzionale la legge di un Land che prevedeva la possibilità di effettuare accessi occulti ai sistemi informatici degli utenti per monitorarne i contenuti e di raccogliere dati sulla navigazione in Internet. A giudizio della Corte, le norme in questione non prevedono adeguate garanzie per i cittadini e violano il diritto a vedere garantita la riservatezza e l'integrità dei sistemi telematici, che rappresenta un'espressione del diritto fondamentale alla personalità.

Testo Unico sulla Sicurezza e oneri per la sicurezza negli appalti pubblici

Nonostante le indicazioni della L. 123/01, art. 1, nel nuovo Testo Unico sulla Sicurezza in discussione non sono previste modifiche all'attuale art. 86 del D.Lgs. 163/06.

di Giovanni Battisti.
*****

Con riferimento agli oneri per la sicurezza negli appalti pubblici, è interessante notare che nel nuovo Testo Unico sulla sicurezza (nella versione diffusa il 9 marzo) non sono previste modifiche all’art. 86 del codice dei contratti pubblici relativi a lavori, servizi e forniture (D.Lgs. 163/2006), che rimane quindi quello introdotto dall’art. 8 della L.123/07 (con tutti i noti dubbi interpretativi):

"3-bis. Nella predisposizione delle gare di appalto e nella valutazione dell'anomalia delle offerte nelle procedure di affidamento di appalti di lavori pubblici, di servizi e di forniture, gli enti aggiudicatori sono tenuti a valutare che il valore economico sia adeguato e sufficiente rispetto al costo del lavoro e al costo relativo alla sicurezza, il quale deve essere specificamente indicato e risultare congruo rispetto all'entità e alle caratteristiche dei lavori, dei servizi o delle forniture. Ai fini del presente comma il costo del lavoro è determinato periodicamente, in apposite tabelle, dal Ministro del lavoro e della previdenza sociale, sulla base dei valori economici previsti dalla contrattazione collettiva stipulata dai sindacati comparativamente più rappresentativi, delle norme in materia previdenziale ed assistenziale, dei diversi settori merceologici e delle differenti aree territoriali. In mancanza di contratto collettivo applicabile, il costo del lavoro è determinato in relazione al contratto collettivo del settore merceologico più vicino a quello preso in considerazione.
3-ter. Il costo relativo alla sicurezza non può essere comunque soggetto a ribasso d'asta".

E questo nonostante la L. 123/07, nel definire il contenuto della delega al governo per il riassetto della normativa sulla sicurezza, prevedesse (art. 1, co. 2, let. s, p.to 3) –con una formulazione molto più chiara- di “modificare la disciplina del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163, prevedendo che i costi relativi alla sicurezza debbano essere specificamente indicati nei bandi di gara e risultare congrui rispetto all'entità e alle caratteristiche dei lavori, dei servizi o delle forniture oggetto di appalto”.

I costi per la sicurezza negli appalti pubblici

La Determinazione n.3/2008 dell'Autorità per la vigilanza sui contratti pubblici di lavori, servizi e forniture ha cercato di fare un po' di chiarezza in merito alla gestione dei costi della sicurezza negli appalti pubblici.

di Giovanni Battisti.
*****

La Determinazione dell'Autorità per la vigilanza sui contratti pubblici di lavori, servizi e forniture n. 3/2008 del 5 marzo 2008 (pubblicata sulla G.U. n. 64 del 15 marzo 2008) ha cercato di fornire alcuni chiarimenti in merito alla determinazione dei costi della sicurezza negli appalti pubblici.

La materia è stata, infatti, profondamente innovata dalla L. 123/07 che, all’art.8, ha modificato il comma 3 bis dell’art. 86 del D.Lgs. 163/06 (Codice dei contratti pubblici) come segue:

“Nella predisposizione delle gare d’appalto e nella valutazione dell’anomalia delle offerte nelle procedure di affidamento di appalti di lavori pubblici, di servizi e forniture, gli enti aggiudicatori sono tenuti a valutare che il valore economico sia adeguato e sufficiente rispetto al costo del lavoro e al costo relativo alla sicurezza, il quale deve essere specificatamente indicato e risultare congruo rispetto all’entità e alle caratteristiche dei lavori, dei servizi o delle forniture”.

Il citato articolo 8 ha inoltre introdotto il comma 3 ter dell’art. 86 del codice dei contratti pubblici:

“Il costo relativo alla sicurezza non può essere comunque soggetto a ribasso d’asta”.

Poichè, quando si parla di costi relativi alla sicurezza, si può fare riferimento a due diversi tipi di costi:

A) costi della sicurezza afferenti all’esercizio dell’attività svolta da ciascuna impresa;
B) costi della sicurezza necessari per l’eliminazione dei rischi da interferenze;

la norma non chiarisce, soprattutto nella pratica operativa:

1) se la stazione appaltante deve indicare i costi della sicurezza nei bandi di gara e, in caso di risposta affermativa, quale tipologia di costi della sicurezza deve essere valutata ed indicata nei bandi di gara;
2) la tipologia di costi della sicurezza per i quali è richiesta la valutazione di congruità;
3) la tipologia di costi “non soggetti a ribasso d’asta”.

A questo proposito, la citata Determinazione precisa che:

• la stazione appaltante deve stimare ed indicare nei bandi di gara i costi della sicurezza necessari per l’eliminazione dei rischi da interferenze;
• la stima di tali costi dovrà essere congrua, analitica per singole voci, riferita ad elenchi prezzi standard o specializzati, oppure basata su prezziari o listini ufficiali vigenti nell'area interessata, o sull'elenco prezzi delle misure di sicurezza del committente;
• in assenza di interferenze si ritiene comunque necessario indicare nella documentazione di gara (bandi, inviti e richieste di offerta) che l’importo degli oneri della sicurezza è pari a zero. In tal modo, infatti, si rende noto che la valutazione dell’eventuale esistenza di interferenze è stata comunque effettuata, anche se solo per escluderne l’esistenza.

Inoltre, tali costi:

• devono essere tenuti distinti dall’importo a base d’asta;
• non sono soggetti a ribasso;
• in fase di verifica dell’anomalia non sono oggetto di alcuna verifica essendo stati quantificati e valutati a monte dalla stazione appaltante.

L’appaltatore deve invece indicare nell’offerta i costi della sicurezza specifici afferenti all’esercizio dell’attività svolta dalla propria impresa; la stazione appaltante dovrà valutare, anche in quei casi in cui non si procede alla verifica delle offerte anomale, la congruità dei costi indicati rispetto all’entità e alle caratteristiche del lavoro, servizio o fornitura.


Forse ti possono interessare anche questi altri articoli:

• Determinazione dei costi per la sicurezza negli appalti pubblici
• Linee guida per la stima dei costi della sicurezza

Business and IT Continuity: Overview and Implementation Principles

di Agatino Grillo. Fonte: agatinogrillo.it.

Il 4 marzo 2008 la European Network and Information Security Agency (ENISA) ha pubblicato un rapporto dedicato ai temi dalla Continuità del servizio da punto di vista IT: si tratta di "Business and IT Continuity: Overview and Implementation Principles" (pdf, 2.2 M, 179 pp) che sintetizza ed illustra i principali standard per la gestione di rischi dei processi aziendali critici.

Perchè la business continuity è importante?
"A fronte di eventi distruttivi" ha sottolineato Andrea Pirotti direttore esecutivo di ENISA "quali attacchi IT o perdita di dati le aziende devono esser in grado di continuare a garantire i prorpi servizi critici; il business continuity plan è un passo verso la corretta direzione e ciò rappresenta anche un beneficio economico perché elemento di valutazione positiva sia da parte delle compagnie assicuratrici sia da parte degli stakeholder."

FAQ sulla Business Continuity
ENISA ha anche predisposto un documento relativo alle domande più frequenti (frequently asked questions) sulla Business e IT Service Continuity (pdf, 31 K, 3 pp).

Determinazione dei costi per la sicurezza negli appalti pubblici

E' stata pubblicata sulla G.U. n. 64 del 15 marzo 2008 la Determinazione n. 3/2008 del 5 marzo 2008 emanata dall'Autorità per la vigilanza sui contratti pubblici di lavori , servizi e forniture.

La determinazione approfondisce gli aspetti relativi alla predisposizione del documento unico di valutazione dei rischi (DUVRI) e determinazione dei costi della sicurezza – L. n.123/2007 e modifica dell’Art. 3 del D.Lgs. n.626/1994, e Art. 86, commi 3-bis e 3-ter, del D.lgs n.163/2006.

Link:

• Il sito dell'Autorità per la Vigilanza sui Contratti Pubblici di Lavori, Servizi e Forniture

Privacy: no al monitoraggio sullo scambio di file

Privacy: Le società private non possono svolgere attività di monitoraggio sistematico per individuare gli utenti che si scambiano file musicali o giochi su Internet.
di Matteo Colombo.

Le società private non possono svolgere attività di monitoraggio sistematico per individuare gli utenti che si scambiano file musicali o giochi su Internet.

Il Garante per la Privacy, con un provvedimento che ha visto come relatore Mauro Paissan, ha chiuso l'istruttoria avviata sul "caso Peppermint", la società discografica che aveva svolto, attraverso una società informatica svizzera (utilizzata anche dalla società Techland con riferimento a software relativi a giochi), un sistematico monitoraggio delle reti peer to peer (P2P).

Tramite l'utilizzo di software specifici, le società avevano individuato numerosissimi indirizzi IP (che identificano i computer collegati ad Internet) relativi a utenti ritenuti responsabili dello scambio illegale di file: erano poi risaliti ai nomi degli utenti, anche italiani, al fine di potere ottenere un risarcimento del danno.

Il Garante ha ricordato che la direttiva europea sulle comunicazioni elettroniche vieta ai privati di poter effettuare monitoraggi, ossia trattamenti di dati massivi, capillari e prolungati nei riguardi di un numero elevato di soggetti. E' stato, poi, violato il principio di finalità: le reti P2P sono finalizzate allo scambio tra utenti di dati e file per scopi personali.

L'utilizzo dei dati dell'utente può avvenire, dunque, soltanto per queste finalità e non per scopi ulteriori quali quelli perseguiti dalle società Peppermint e Techland (cioè il monitoraggio e la ricerca di dati per la richiesta di un risarcimento del danno).

Infine non sono stati rispettati i principi di trasparenza e correttezza, perché i dati sono stati raccolti ad insaputa sia degli interessati sia di abbonati che non erano necessariamente coinvolti nello scambio di file. Le società che hanno effettuato il monitoraggio dovranno ora cancellare, entro il 31 marzo, i dati personali degli utenti che hanno scambiato file musicali e giochi attraverso il sistema P2P.

Fonte: Sito del Garante Privacy.

Testo Unico sulla Sicurezza e Decreto Legislativo 231 del 2001

Prime riflessioni sulle novità che il nuovo Testo Unico sulla Sicurezza, una volta definitivamente approvato e pubblicato, porterà nella disciplina della responsabilità amministrativa delle società e in materia di Modelli di organizzazione, gestione e controllo.
di Giovanni Battisti.

Lo schema di decreto legislativo per l’attuazione dell'articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e sicurezza nei luoghi di lavoro -che d'ora in avanti chiameremo, per amore di brevità, Testo Unico sulla Sicurezza- introdurrà alcune novità rilevanti anche per chi si occupa di responsabilità amministrativa di impresa.

Già dall'agosto 2007, la legge n. 123 ha introdotto due nuovi reati-presupposto nella disciplina del D.Lgs. 231/01, vale a dire i reati di "Omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell'igiene e della salute sul lavoro" (art. 25 septies).

Ora il Testo Unico sulla Sicurezza, all' art. 30 (riportato in calce), si preoccupa di approfondire le caratteristiche che deve possedere il Modello di organizzazione, gestione e controllo (adottato dall'azienda ai sensi del D.Lgs. 231/01) per avere efficacia esimente.
E questa è la prima novità: fino ad oggi, il legislatore si era preoccupato di definire il contenuto "minimo" dei Modelli di organizzazione, che venivano poi adottati "sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti" (D.Lgs. 231/01, art. 6, co. 3). Ora l'art. 30 , pur non arrivando ovviamente a definire la struttura dei Modelli, ne articola dettagliatamente il contenuto e l'ambito di estensione.

La seconda novità (al momento principalmente un dubbio) riguarda la facoltà di adottare, o meno, tali Modelli: l’adozione del Modello di organizzazione e gestione è prevista dal D.Lgs. 231/01 in termini di facoltatività, ma il testo dell'art. 30 recita: "Il modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica di cui al decreto legislativo 8 giugno 2001, n. 231, deve essere adottato ed efficacemente attuato [...]".
Non è chiaro, al momento, se quel "deve essere adottato" si riferisca (A) ad un obbligo di adozione dei Modelli, o sia da intendersi come (B) "per aver efficacia esimente il Modello deve essere adottato ed efficacemente attuato".
Onestamente sembra preferibile la seconda interpretazione (B), più in linea con lo spirito e con il dettato del D.Lgs. 231/01; ricordiamo tuttavia che la bozza di decreto diffusa ad inizio gennaio 2008 prevedeva, per specifiche tipologie di aziende e comunque per i datori di lavoro che occupano più di 1000 lavoratori, l'adozione obbligatoria dei Modello di organizzazione (art. 30, co. 6, dello schema di decreto legislativo ai sensi della legge 3 agosto 2007, n. 123 diffuso in bozza il 10 gennaio 2008).

Terzo aspetto degno di nota è relativo all'efficacia esimente dei Modelli. Secondo Bellinazzo (il Sole 24 ore):

"Per la prima volta dall'introduzione della responsabilità amministrativa, però, nelle ipotesi di violazione di norme antinfortunistiche sarà "garantita" alle imprese una via d'uscita. Mentre infatti, di solito, spetta al giudice valutare l'efficacia dei modelli organizzativi scelti dall'impresa per decretarne l'esonero dalle sanzioni, nel caso della sicurezza, la forza "esimente" dei modelli è sancita direttamente dalla legge. In altre parole, se le imprese adotteranno le misure "standard" indicate nello schema di decreto, atteso ora al vaglio del Parlamento per i pareri, avranno la certezza di sfuggire agli effetti della «231»."

Di diverso avviso l'avv. Arena (www.reatisocietari.it):

"Premesso che la forza esimente dei modelli risiede per definizione nel d.lg. 231/2001, va rilevato che il Giudice penale potrà essere vincolato, al limite, nella valutazione dell’idoneità in astratto del Modello aziendale rispondente alle normative tecniche indicate.
Resta in ogni caso necessaria, ai fini della concreta operatività dell’esimente di cui all’art 6 d.lg. 231, la verifica dell’effettiva attuazione del Modello “cartaceo”.
In altri termini nessun “bollino blu” può, allo stato vincolare la valutazione del Giudice penale sull’effettiva attuazione del Modello organizzativo.
Quanto appena detto ridimensiona ma non sminuisce, tuttavia, l’importanza del “tentativo” di fornire alle imprese maggiori certezze sui benefici della prevenzione."

Personalmente, e per quanto può valere, condivido l'opinione dell'avv. Arena.


-----
art. 30 - Modelli di organizzazione e di gestione
Il modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica di cui al decreto legislativo 8 giugno 2001, n. 231, deve essere adottato ed efficacemente attuato, assicurando un sistema aziendale per l’adempimento di tutti gli obblighi giuridici relativi:
a) al rispetto degli standard tecnico-strutturali di legge relativi a attrezzature, impianti, luoghi di lavoro, agenti chimici, fisici e biologici;
b) alle attività di valutazione dei rischi e di predisposizione delle misure di prevenzione e protezione conseguenti;
c) alle attività di natura organizzativa, quali emergenze, primo soccorso, gestione degli appalti, riunioni periodiche di sicurezza, consultazioni dei rappresentanti dei lavoratori per la sicurezza;
d) alle attività di sorveglianza sanitaria;
e) alle attività di informazione e formazione dei lavoratori;
f) alle attività di vigilanza con riferimento al rispetto delle procedure e delle istruzioni di lavoro in sicurezza da parte dei lavoratori;
g) alla acquisizione di documentazioni e certificazioni obbligatorie di legge;
h) alle periodiche verifiche dell’applicazione e dell’efficacia delle procedure adottate.
2. Il modello organizzativo e gestionale di cui al comma 1 deve prevedere idonei sistemi di registrazione dell’avvenuta effettuazione delle attività di cui al comma 1.
3. Il modello organizzativo deve in ogni caso prevedere, per quanto richiesto dalla natura e dimensioni dell’organizzazione e dal tipo di attività svolta, un’articolazione di funzioni che assicuri le competenze tecniche e i poteri necessari per la verifica, valutazione, gestione e controllo del rischio, nonché un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
4 Il modello organizzativo deve altresì prevedere un idoneo sistema di controllo sull’attuazione del medesimo modello e sul mantenimento nel tempo delle condizioni di idoneità delle misure adottate. Il riesame e l’eventuale modifica del modello organizzativo devono essere adottati, quando siano scoperte violazioni significative delle norme relative alla prevenzione degli infortuni e all’igiene sul lavoro, ovvero in occasione di mutamenti nell’organizzazione e nell’attività in relazione al progresso scientifico e tecnologico.
5. In sede di prima applicazione, i modelli di organizzazione aziendale definiti conformemente alle Linee guida UNI-INAIL per un sistema di gestione della salute e sicurezza sul lavoro (SGSL) del 28 settembre 2001 o al British Standard OHSAS 18001:2007 si presumono conformi ai requisiti di cui ai commi precedenti per le parti corrispondenti. Agli stessi fini ulteriori modelli di organizzazione e gestione aziendale possono essere indicati dalla Commissione di cui all’articolo 6.

Privacy: il codice deontologico per il marketing

Comunicato stampa del 10 marzo 2008 del "Garante per la protezione dei dati personali".

Riprendono i lavori preparatori del codice deontologico per il settore del marketing. Le associazioni che raggruppano gli operatori del settore nonché le associazioni dei consumatori sono chiamate a fornire il loro contributo in vista dell'adozione del codice che disciplinerà l'uso dei dati personali trattati per l'invio di materiale pubblicitario, vendita diretta, ricerche di mercato o comunicazione commerciale interattiva.

Con un provvedimento pubblicato nella Gazzetta ufficiale n. 59 del 10 marzo 2008 il Garante ha invitato tutti i soggetti pubblici e privati appartenenti alle categorie interessate e che ritengano di avere titolo, in base al principio di rappresentatività, a sottoscrivere il codice a comunicare la loro adesione o a confermarla se già espressa a seguito dell'invito formulato a suo tempo dall'Autorità.
Gli organismi che intendono partecipare alla redazione del codice dovranno comunicare inoltre, gli eventuali mutamenti intervenuti nel loro ambito e ogni notizia e documentazione utili ai fini della valutazione della loro rappresentatività. Ai lavori sono stati invitati anche tutti gli altri soggetti che siano in grado di dimostrare il proprio interesse alla materia (es. associazioni di consumatori).

Ai fini dell'ammissione ai lavori, il Garante, oltre a valutare la effettiva appartenenza alle categorie interessate alla sottoscrizione del codice, verificherà, in particolare, l'organizzazione e l'articolazione sul territorio dei soggetti che si ritengono rappresentativi, le attività da loro svolte in concreto anche con riferimento alla protezione dei dati personali, il numero dei soggetti effettivamente rappresentati in rapporto alla categoria.

Comunicazioni e documentazione potranno essere inoltrate, entro il 31 marzo 2008, al Garante per la protezione dei dati personali all'indirizzo di posta elettronica: codicemarketing@garanteprivacy.it.

Roma, 10 marzo 2008

Testo completo del nuovo testo Unico sulla sicurezza sul lavoro

E' disponibile il testo completo dello schema di decreto legislativo per l’attuazione dell'articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e sicurezza nei luoghi di lavoro (file zip, 199 kb).

Attenzione: il provvedimento non è immediatamente precettivo.

Questo l’indice del nuovo Testo Unico sulla sicurezza sul lavoro, che sostituirà (una volta completato l'iter di verifica) il Decreto Legislativo n. 626 del 1994:

• Titolo I: Disposizioni generali
• Titolo II: Luoghi di lavoro
• Titolo III: Uso delle attrezzature di lavoro e dei Dispositivi di Protezione Individuale
• Titolo IV: Cantieri temporanei o mobili
• Titolo V: Segnaletica di salute e sicurezza sul lavoro
• Titolo VI: Movimentazione manuale dei carichi
• Titolo VII: Attrezzature munite di videoterminali
• Titolo VIII: Agenti fisici (rumore, vibrazioni meccaniche, campi elettromagnetici, radiazioni ottiche)
• Titolo IX: Sostanze pericolose (agenti chimici, cancerogeni e mutageni, amianto)
• Titolo X: Esposizione ad agenti biologici
• Titolo XI: Protezione da atmosfere esplosive
• Titolo XII: Disposizioni diverse in materia penale e di procedura penale
• Titolo XIII: Disposizioni finali

Testo unico sulla sicurezza sul lavoro: approvato il decreto di attuazione

Il Consiglio dei Ministri del 6 marzo 2008 ha approvato uno schema di decreto legislativo che attua la delega conferita al Governo dalla legge 123/07 in materia di salute e sicurezza del lavoro. Ora il testo passa alle Commissioni Parlamentari e alla Conferenza Stato-Regioni, per poi tornare in Consiglio dei Ministri per l'approvazione definitiva.

Attenzione: il provvedimento non è immediatamente precettivo.

Il Consiglio dei Ministri del 6 marzo 2008 ha discusso e approvato uno schema di decreto legislativo che dà attuazione alla delega conferita al Governo dall'art. 1, legge 3 agosto 2007, n. 123, in materia di salute e sicurezza del lavoro. Il provvedimento dovrà ora ricevere il parere delle commissioni parlamentari competenti e della Conferenza Stato-Regioni, per poi tornare in Consiglio dei Ministri per l'approvazione definitiva.

Il provvedimento ridisegna, in oltre 300 articoli, la materia della salute e sicurezza sul lavoro le cui regole – fino ad oggi contenute in una lunga serie di disposizioni succedutesi nell’arco di quasi sessanta anni – sono state rivisitate e collocate in un’ottica di sistema.
I titoli principali del nuovo Testo Unico sulla Sicurezza riguardano i luoghi di lavoro, la attrezzature e i DPI, i cantieri temporanei e mobili, la segnaletica, la movimentazione manuale dei carichi, i videoterminali, gli agenti fisici (rumore, vibrazioni meccaniche, campi elettromagnetici, radiazioni ottiche, ecc.), le sostanze pericolose (agenti chimici, cancerogeni, mutageni, ecc.), gli agenti biologici e le atmosfere esplosive.

Tra le principali novità contenute nel testo si segnalano:
- l’ampliamento del campo di applicazione delle disposizioni in materia di salute e sicurezza, ora riferite a tutti i lavoratori che si inseriscano in un ambiente di lavoro, senza alcuna differenziazione di tipo formale (c.d. principio di effettività della tutela che implica la tutela di tutti coloro, a qualunque titolo, operano in azienda) e ai lavoratori autonomi, con conseguente innalzamento dei livelli di tutela di tutti i prestatori di lavoro;

- il rafforzamento delle prerogative delle rappresentanze in azienda, in particolare di quelle dei rappresentanti dei lavoratori territoriali (destinati a operare, su base territoriale o di comparto, ove non vi siano rappresentanti dei lavoratori per la sicurezza in azienda), e la creazione di un rappresentante di sito produttivo, presente in realtà particolarmente complesse e pericolose (ad esempio, i porti);

- la rivisitazione e il coordinamento delle attività di vigilanza, in un’ottica di ottimizzazione delle risorse, eliminazione delle sovrapposizioni e miglioramento dell’efficienza degli interventi. Viene creato un sistema informativo, pubblico ma al quale partecipano le parti sociali, per la condivisione e la circolazione di notizie sugli infortuni, sulle ispezioni e sulle attività in materia di salute e sicurezza sul lavoro, utile anche a indirizzare le azioni pubbliche;

- il finanziamento delle azioni promozionali private e pubbliche, con particolare riguardo alle piccole e medie imprese, tra le quali l’inserimento nei programmi scolastici e universitari della materia della salute e sicurezza sul lavoro;

- l’istituzione del libretto sanitario e di rischio personale per ogni lavoratore;

- la revisione del sistema delle sanzioni.
In base ai criteri indicati dalla legge delega 123/2007 è stata prevista la pena dell’arresto da sei a diciotto mesi per il datore di lavoro che non abbia effettuato la valutazione dei rischi cui possono essere esposti i lavoratori in aziende che svolgano attività con elevata pericolosità. Nei casi meno gravi di inadempienza, il decreto legislativo prevede, invece, che al datore di lavoro si applichi la sanzione dell’arresto alternativo all’ammenda o della sola ammenda, con un’attenta graduazione delle sanzioni in relazione alle singole violazioni.
Per favorire l’adeguamento alle disposizioni indicate dal decreto legislativo, al datore di lavoro che si metta in regola non è applicata la sanzione penale ma una sanzione pecuniaria. Nella stessa logica, il datore di lavoro che cominci ad eliminare concretamente le conseguenze della violazione o che adempia, pur tardivamente, all’obbligo violato ottiene, nel primo caso, una riduzione della pena, nel secondo caso la sostituzione della pena con una sanzione pecuniaria che va da un minimo di 8.000 euro a un massimo di 24.000. Ovviamente tale possibilità è esclusa quando il datore di lavoro sia recidivo o si siano determinate, in conseguenza della mancata valutazione del rischio, infortuni sul lavoro con danni alla salute del lavoratore.
Restano, naturalmente, inalterate le norme del codice penale - estranee all’oggetto della delega - per l’omicidio e le lesioni colpose (articolo 589 e 590) causate dal mancato rispetto delle norme in materia di sicurezza sul lavoro.
In caso di colpa dell'azienda in un infortunio con feriti (gravi) o morti, vengono applicati ai responsabili sanzioni amministrative fino a 1.500.000 euro e la sospensione dell'attività. Scattano inoltre le altre sanzioni previste dal D.Lgs. 231/01: l'interdizione alla collaborazione con le P.A. e alle partecipazioni ai pubblici appalti e gare d'asta.
Rimangono in vigore le norme già previste sulla sospensione dell'attività imprenditoriale in caso di violazioni gravi o quando risultino in nero oltre il 20% dei lavoratori. La sospensione termina con la regolarizzazione dei lavoratori in nero e l'eliminazione delle situazioni di rischio. E il datore di lavoro che non ottempera al provvedimento di sospensione è punito con l'arresto fino ad un anno.

- l’eliminazione o la semplificazione degli obblighi formali, attraverso la riduzione del numero e del peso per le aziende degli adempimenti di tipo burocratico, in quanto non incidenti sulle condizioni di salute e sicurezza negli ambienti di lavoro.



Link consigliati:

• Comunicato stampa del Consiglio dei Ministri del 6 marzo 2008;
• "Testo Unico sulla Salute e Sicurezza nei Luoghi di Lavoro", sito a cura dell'Associazione Ambiente e Lavoro.

D. Lgs. 231/01: la valutazione della rischiosità di un processo

La valutazione del livello di rischio di commissione di uno dei reati previsti dal D. Lgs. 231/01 è una fase fondamentale del processo di adeguamento del modello di organizzazione, gestione e controllo ai requisiti del D.Lgs. 231/01; è quindi indispensabile avere ben chiara la differenza e tra “rischio lordo” di commissione del Reato e “rischio netto”.

di Giovanni Battisti.
*****

La valutazione del livello di rischio di commissione, nell’ambito dei processi aziendali, di uno dei reati previsti dal Decreto Legislativo 231/01 (c.d. “rischio-reato”) è una fase fondamentale del processo di adeguamento del modello di organizzazione, gestione e controllo ai requisiti del D.Lgs. 231/01.

In linea con le indicazioni fornite da Confindustria, “le metodologie possibili (per la valutazione del “rischio-reato”, N.d.R.) sono sostanzialmente due: - valutazione da parte di un organismo aziendale che svolga questa attività con la collaborazione del management di linea; - autovalutazione da parte del management operativo con il supporto di un tutore/facilitatore metodologico.” [1].
Quale che sia la metodologia adottata, è indispensabile che chi conduce il processo di valutazione abbia ben chiara la differenza tra “rischio lordo” di commissione del Reato e “rischio netto”.

La probabilità di commissione di un Reato deve, infatti, essere valutata ipotizzando anzitutto una situazione di assoluta “assenza di controlli” sul processo (ovvero, il rischio lordo). Si devono poi dettagliatamente indicare, per ciascun processo-reato, le attività di controllo esistenti opportunamente distinte per tipologia [2]; solo a questo punto può essere definito il “rischio netto” di commissione di ciascun Reato, il rischio cioè che le “fattispecie di reato possono essere attuate rispetto al contesto operativo interno ed esterno in cui opera l’azienda” (Confindustria, op. cit.).

Il perché della necessità di identificare e valutare separatamente il “rischio lordo” (cioè, lo ribadiamo, il rischio di commissione di un Reato in un’ipotetica situazione di assenza di controlli) dal “rischio netto” (ovvero, il rischio di commissione del reato nel reale contesto operativo in cui opera l’azienda) è evidente: ragionando sul solo “rischio netto” si sottostimerebbe la rischiosità del processo e si potrebbe essere indotti a sottostimare (o a trascurare) l’importanza del corretto funzionamento del sistema di controllo.

La distinta valutazione del rischio lordo, del sistema dei controlli e del conseguente rischio netto, per ciascun processo-Reato, è invece indispensabile per orientare l’azione di vigilanza dell’organo di controllo interno il quale, dopo aver pianificato gli interventi necessari per colmare gli eventuali gap del sistema di controllo, dovrà focalizzarsi anzitutto sui processi con il più elevato rischio lordo.

Proviamo a esemplificare. L’azienda X può avere due processi sensibili, A e B. Ad entrambi questi processi è stato assegnato, in sede di analisi, un livello di rischio netto basso; tuttavia, il rischio lordo del processo “A” è basso, mentre il rischio lordo del processo “B” è alto. È il corretto disegno e funzionamento del sistema di controlli esistente che ha permesso di assegnare, anche al processo B, un rischio di commissione del reato (nella concreta situazione lavorativa) basso.

Tuttavia, è evidente che il non corretto funzionamento del sistema di controllo del processo B può avere conseguenze assai più gravi che per il processo A: il processo B richiederà pertanto una più puntuale vigilanza da parte dell’organo di controllo sulla corretta attuazione delle procedure definite nel Modello e sul corretto funzionamento dei presidi di controllo progettati.


-----
[1] Confindustria, “Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ex d. lgs. n. 231/2001”, maggio 2004, cap. I “Individuazione dei rischi e protocolli”, par. 3 “Passi operativi per la realizzazione di un sistema di gestione del rischio”.
[2] Una possibile classificazione delle attività di controllo può essere la seguente:
politiche e linee guida; assetto organizzativo; sistema di deleghe e procure; procedure e regolamenti; autocontrollo e supervisione; monitoraggio indipendente; know-how, competenze e formazione; comunicazione e informazione.

D.Lgs. 231/01: le Linee Guida di Confindustria estese all'art. 25 septies e 25 octies

Le Linee Guida di Confindustria per la costruzione dei modelli organizzativi sono state inviate al Ministero della Giustizia alla fine del mese di febbraio 2008, per la relativa procedura di valutazione d'idoneità (30 giorni).

Confindustria ha integrato le proprie Linee Guida per la costruzione dei modelli organizzativi ai reati introdotti dall'art. 25 septies e 25 octies del D.Lgs. 231/01 (rispettivamente "omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell'igiene e della salute sul lavoro" e "Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita").

Le Linee Guida sono state inviate al Ministero della Giustizia alla fine del mese di febbraio 2008, per la relativa procedura di valutazione d'idoneità (30 giorni).
La loro pubblicazione avverrà a seguito della intervenuta approvazione - senza osservazioni o rilievi - da parte ministeriale (orientativamente entro la fine di questo mese).
Nel caso di richieste di osservazioni da parte del Ministero i tempi sono destinati ad allungarsi, dovendo decorrere nuovamente il termine di 30 giorni per le dovute verifiche del documento.

Aggiornamento: clicca qui per leggere i commenti sulle nuove Linee Guida di Confindustria e per scaricare il nuovo testo.

Banca d'Italia: disposizioni di vigilanza in materia di organizzazione e governo societario delle banche

di Cristina Cellucci. Fonte: ComplianceNet.

Il 4 marzo 2008 la Banca d’Italia ha emanato le nuove disposizioni di vigilanza in materia di organizzazione e governo societario delle banche (pdf, 575 K, 16 pp). Le disposizioni delineano un quadro normativo organico e integrato con i recenti interventi che attribuiscono all’organizzazione un ruolo centrale nella definizione delle strategie aziendali e delle politiche di gestione e controllo dei rischi tipici dell’attività bancaria e finanziaria.

Obiettivi
Gli obiettivi generali perseguiti sono:

• la chiara distinzione delle funzioni e l’appropriato bilanciamento dei poteri;
• l’equilibrata composizione degli organi;
• un sistema dei controlli integrato ed efficace;
• meccanismi di remunerazione coerenti con le politiche di gestione del rischio e le strategie di lungo periodo;
• flussi informativi idonei a consentire scelte gestionali consapevoli.

Le disposizioni fanno riferimento alle funzioni – di supervisione strategica, di gestione e di controllo – che assumono rilievo ai fini di vigilanza; esse devono essere ripartite tra gli organi aziendali, o all’interno degli stessi, in modo che siano chiaramente definiti i rispettivi compiti e sia possibile instaurare una costruttiva dialettica e corrette dinamiche di controllo. In particolare, quando le funzioni di supervisione strategica e di gestione siano assegnate al medesimo organo, viene richiesto un adeguato bilanciamento di poteri tra la componente esecutiva e non esecutiva dell’organo stesso e la valorizzazione del presidente quale figura di riferimento, non direttamente coinvolta nella gestione e in posizione dialettica rispetto ai soggetti a questa preposti.
Le banche e i gruppi bancari dovranno verificare la coerenza dei propri assetti di governo con le nuove disposizioni e realizzare gli eventuali interventi correttivi entro il termine del 30 giugno 2009. La Vigilanza seguirà con attenzione le iniziative di attuazione della disciplina. Le scelte organizzative dovranno essere calibrate sulle caratteristiche dimensionali, strutturali e operative di ciascun intermediario, secondo il criterio guida della proporzionalità, e illustrate in un apposito progetto di governo societario.

Link
Banca d'Italia: disposizioni di vigilanza in materia di organizzazione e governo societario delle banche (pdf, 575 K, 16 pp).