Privacy e sperimentazioni cliniche di medicinali

Con provvedimento a carattere generale del 24 luglio 2008, il Garante per la Privacy ha adottato in via definitiva le "Linee guida per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche di medicinali" e il modello di riferimento per l'informativa e la manifestazione del consenso al trattamento dei dati personali.

Il documento identifica gli accorgimenti e le misure che i promotori degli studi devono adottare per il trattamento dei dati personali dei partecipanti a sperimentazioni cliniche da parte dei promotori degli studi; le misure indicate dal documento devono inoltre essere prese in considerazione da tutti gli altri titolari di trattamenti di dati personali effettuati a fini di sperimentazione clinica, quali promotori diversi dalle società farmaceutiche, organizzazioni di ricerca a contratto e centri di sperimentazione.

Il documento pubblicato il 24 luglio 2008 recepisce alcuni commenti e osservazioni raccolti nella fase di consultazione pubblica, avviata lo scorso 29 novembre 2007 con la pubblicazione della deliberazione n. 62 contenente le "Linee guida per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche di medicinali".

Differenze di ambito e ruolo tra Internal Audit e Compliance

di Giovanni Battisti.

E’ finalmente disponibile on-line il paper "Le funzioni di Internal Audit e di Compliance: ruoli responsabilità e ambiti di rispettiva competenza", elaborato da un gruppo di studio congiunto dell'Associazione Italiana Internal Auditors e dell'Associazione Italiana Compliance e presentato a Milano lo scorso 2 luglio.

Il documento –che fa specifico riferimento al settore finanziario- si propone di chiarire le responsabilità e gli ambiti operativi delle Funzioni di Compliance e di Internal Audit; l’introduzione nel settore finanziario della Funzione di Compliance (o Funzione di Conformità, come viene definita dalle Disposizioni di Vigilanza di Banca d’Italia del 10 luglio 2007) rende infatti necessario riconsiderare l’organizzazione del sistema dei controlli interni, e valutare le integrazioni di tale funzione con la funzione di Internal Auditing.
La ricerca di sinergie tra funzioni ed organi aziendali preposti al controllo è oggi particolarmente sentita nel mondo finanziario, ed il documento AiiA Aicom si rivolge proprio a tale settore, ma –in seguito all’ampliarsi degli interventi normativi che influenzano le attività e l’organizzazione aziendale- è una riflessione che coinvolgerà a breve anche il mondo dell'industria e del commercio.

La distinzione di ruoli tra Internal Audit e Compliance viene tracciata ricordando le loro diverse finalità, "con la Funzione di Compliance focalizzata sul rispetto della normativa e l’Internal Audit sul monitoraggio del complessivo Sistema dei controlli Interni" (Le funzioni di Internal Audit e di Compliance: ruoli responsabilità e ambiti di rispettiva competenza , AiiA-Aicom, aprile 2008, pag. 5).
Partendo da questa premessa, il documento approfondisce ruoli e responsabilità delle Funzioni di Compliance e di Internal Audit nel settore finanziario, distinguendo tra attività svolte in ambito di consulenza e attività svolte nell’ambito dei servizi di assurance.

Attività di consulenza
"L’Internal Audit … finalizza la propria attività di Consulenza prevalentemente sulla proposta di soluzioni idonee a garantire il superamento dei punti di debolezza del Sistema dei Controlli Interni. La sua attività si esplica sia nel momento in cui emergono disallineamenti tra il Sistema dei Controlli Interni e il modello di business e di governo adottato dall’azienda, sia nella fase di impianto/revisione di processi e procedure, con l’obiettivo di garantire coerenza e linearità all’intero impianto dei controlli a presidio dei rischi" (op. cit. p. 18).
"Nel caso della Funzione di Compliance, l’oggetto dell’attività di Consulenza, riguardando la rispondenza dei processi ai dettami normativi, ai principi e ai valori promossi dall’azienda, è rappresentato dalla legittimità stessa delle procedure aziendali" (op. cit. , p. 19).

Assurance – assetto organizzativo
"l’Audit valuta l’adeguatezza dell’assetto organizzativo relativamente ai requisiti previsti per il ‘buon funzionamento’ della … azienda" (op. cit., p. 21)
"la Funzione di Compliance ne verifica la conformità … alla normativa di riferimento, con l’obiettivo, in particolare, di presidiare il conflitto di interessi eventualmente emergente nei compiti attribuiti alle singole unità organizzative" (op. cit., p. 21).

Assurance – sistema delle deleghe e dei poteri
L’Internal Audit valuta la corrispondenza del sistema delle deleghe e poteri "a quanto statuito dalle specifiche delibere del Consiglio di Amministrazione ovvero dalle direttive della Capogruppo e verifica che la distribuzione dei ruoli e delle responsabilità non determini duplicazioni, sovrapposizioni od omissioni di compiti" (op. cit., p. 22).
La Funzione di Compliance "valutare che l’allocazione delle deleghe e dei poteri garantisca l’esercizio delle responsabilità attribuite dalle normative di riferimento a specifici soggetti/funzioni aziendali nonché un idoneo presidio dei conflitti di interesse, sia riferiti alle risorse all’interno delle diverse unità organizzative, sia in relazione ai singoli esponenti aziendali" (op. cit., p. 23).

Assurance – sistema dei controlli interni
La Funzione di Internal Audit "analizza ... l’adeguatezza del sistema stesso, relazionando periodicamente all’Alta Direzione e agli Organi Societari sugli esiti delle attività svolte e proponendo soluzioni di miglioramento; a tal fine provvede a valutare il funzionamento di tutti gli attori del Sistema dei Controlli Interni, tra cui la Funzione di Compliance" (op. cit., p. 23).
La Funzione di Compliance "ha in primo luogo il compito di effettuare e aggiornare periodicamente la mappatura dei rischi di non conformità e reputazionali emergenti dai processi/prodotti, con stretto riferimento all’evoluzione del modello di business aziendale, all’introduzione di nuove normative e all’aggiornamento di quelle vigenti, nonché all’adozione di norme di autoregolamentazione e di codici di condotta" (op. cit., p. 23).

Assurance – modelli di gestione del rischio
"L’attività di Assurance dell’Internal Audit si focalizza su tutti i modelli di gestione del rischio adottati dall’azienda allo scopo di verificarne il corretto ed efficace funzionamento ... ivi incluso quello di Compliance, con lo scopo di assicurare che quanto adottato consenta al management un’efficace gestione dei rischi" (op. cit., p. 24).
"la Funzione di Compliance progetta e provvede all’aggiornamento" del modello di gestione del rischio "relativo ai rischi di non conformità e reputazionali, adottato coerentemente con le strategie e l’operatività aziendale. La Funzione di Compliance valuta, inoltre, l’aderenza alla normativa, anche degli altri modelli di gestione dei rischi adottati dalla società" (op. cit., p. 24).

Assurance - processi
"L’attività di Assurance svolta dall’Internal Audit ... è sistematicamente rivolta al miglioramento dell'efficacia e dell'efficienza dell’organizzazione attraverso la valutazione dei processi aziendali. Obiettivo dell’attività di Internal Audit è fornire al management una valutazione di affidabilità sul Sistema di Controllo" (op. cit., p. 24).
"La Funzione di Compliance ... identifica costantemente le norme applicabili, ne valuta la loro integrazione nei processi e procedure aziendali, garantendone la corretta applicazione e valutandone l’impatto. La Funzione di Compliance svolge tale attività di Assurance nel continuo" (op. cit., p. 25).

Assurance – procedure aziendali
"l’Internal Audit svolge un ruolo attivo nelle fasi di disegno delle procedure aziendali, fornendo expertise nell’applicazione dei principi di controllo e nell’analisi dei processi e dei rischi (ma in base agli Standard Professionali non può essere chiamato alla redazione delle procedure aziendali, ndr). Inoltre, a seguito di interventi di verifica, la funzione può raccomandare azioni di miglioramento sui presidi di controllo formalizzati nelle procedure aziendali" (op. cit., p. 25).
La Funzione di Compliance "garantisce che le procedure organizzative contengano i presidi necessari a prevenire la violazione di norme di eteroregolamentazione ... ed autoregolamentazione" (op. cit., p. 25).

Assurance – sistemi aziendali di reporting e informativa
La Funzione di Internal Audit valuta "il livello di adeguatezza dei sistemi informativi aziendali e l’affidabilità delle informazioni disponibili rispetto alla complessità del contesto operativo, alla dimensione e all’articolazione territoriale dell’impresa" e "verifica l’adeguatezza dei presidi organizzativi adottati dalla società per la sicurezza fisica, logica e organizzativa del sistema informativo aziendale" (op. cit., p. 26).
La Funzione di Compliance valuta "la conformità del reporting e dell’informativa aziendale con riferimento alla sua idoneità a rispondere ai requisiti normativi vigenti o alle disposizioni interne stabilite dall’azienda, anche in termini di contenuti e tempistica", "identifica le norme applicabili alla società e si assicura del corretto recepimento delle stesse nelle procedure aziendali di reporting e di produzione dell'informativa" (op. cit., p. 26).

Assurance – attività di controllo e di verifica
La Funzione di Internal Audit esplica le proprie attività di verifica "mediante specifici interventi sul sistema dei controlli, mirati a valutare la rischiosità intrinseca di particolari aree di attività" (op. cit., p. 27).
La Funzione di Compliance "è chiamata a svolgere attività di monitoraggio nel continuo sui presidi esistenti nei processi e nelle procedure di mitigazione dei rischi di non conformità e reputazionali" (op. cit., p. 27).

Linee guida per la sicurezza dei dati del traffico telefonico e telematico

Con provvedimento a carattere generale del 24 luglio 2008 il Garante per la protezione dei dati personali ha apportato alcune modifiche al provvedimento generale del 17 gennaio 2008, che prescrive, ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, l'adozione di specifici accorgimenti e misure a garanzia dei dati di traffico conservati sia per finalità di accertamento e repressione di reati, sia per finalità ordinarie.

Tali modifiche recepiscono le novità di carattere normativo [1] [2] riguardanti la durata della conservazione dei dati; il provvedimento del 17 gennaio 2008 resta immutato per ogni altro profilo.

-----
[1] Legge 18 marzo 2008, n. 48, di ratifica della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001.
[2] Decreto legislativo 30 maggio 2008, n. 109, di recepimento della direttiva 2006/24/Ce del Parlamento europeo e del Consiglio del 15 marzo 2006 riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/Ce.

Modelli per la sicurezza nelle aziende sanitarie ed ospedaliere

di Giovanni Battisti.

Un lettore (rimasto anonimo) ha posto la seguente domanda:

“Gradirei un vostro commento in merito all'efficacia dell'adozione di un modello organizzativo, naturalmente in linea con il dettato dell'art. 30, per le aziende sanitarie e ospedaliere. Secondo alcune fonti interpretative, queste aziende non rientrerebbero nel campo di applicazione dell'articolo suddetto. Per cui l'eventuale adesione avverrebbe solo su base volontaria.”

Come già precisato ("I modelli per la sicurezza sono obbligatori?"), l’adozione di un modello organizzativo idoneo "ad avere efficacia esimente della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica di cui al decreto legislativo 8 giugno 2001, n. 231" -come recita il testo dell’art. 30 del d.lgs. 81/08- avviene sempre su base volontaria.

Nonostante la probabilmente infelice formulazione usata dal legislatore ("Il modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa … di cui al decreto legislativo 8 giugno 2001, n. 231, deve essere adottato ed efficacemente attuato …") l’art. 30 del d.lgs. 81/08 non sancisce un obbligo di adozione dei modelli previsti dal D.Lgs. 231/01, la cui adozione è pertanto rimessa alla libera scelta dell’organo dirigente dell’ente (sul punto si veda anche "Obbligatorietà dei modelli organizzativi ex dlgs 231/01, considerazioni").

Il punto di partenza non è pertanto rappresentato dall’art. 30 del d.lgs. 81/01, ma dall’art. 25-septies del d.lgs. 231/01 (relativo ai reati di "Omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell'igiene e della salute sul lavoro"): se l’azienda ritiene di essere potenzialmente esposta al rischio di commissione di tali reati (che hanno, è utile ricordarlo, natura colposa e non dolosa) è opportuno che integri adeguatamente il proprio modello di organizzazione, gestione e controllo.
Il dubbio, sino al 9 aprile 2008, era su cosa si dovesse intendere per "adeguatamente": ora, invece, sappiamo che "adeguatamente" è da intendersi come "conformemente al dettato dell’art. 30 del d.lgs. 81/08".

Per inciso, non vedo perché tale articolo non dovrebbe applicarsi alle aziende sanitarie ed ospedaliere, non rientrando queste aziende tra quelle espressamente escluse –all’art. 3- dall’ambito di applicazione del decreto. Se su questo aspetto mi sfugge qualcosa, vi prego di segnalarmelo.

Ringrazio l'anonimo lettore per la domanda posta.

II Forum Audit Compliance e Corporate Governance

Attenzione: questo evento non è più attivo!

Si terrà a Milano, il prossimo 25 settembre 2008, il "II Forum Audit Compliance e Corporate Governance".

L'incontro è l'occasione per discutere delle prospettive future e del ruolo delle funzioni di Internal Auditing e di Compliance, e della opportunità di sviluppare un modello di Compliance integrato in linea con le ultime disposizioni normative e con le esigenze del management.

Nel corso del forum sarà anche presentata, in anteprima, la ricerca sul tema dell'Economist Intelligence Unit e verranno discusse le risposte degli Internal Audit e dei Compliance Manager in relazione agli ultimi interventi normativi (nuovi reati introdotti nel D.lgs. 231/2001, Legge risparmio 262/2005, Testo Unico sulla Sicurezza, Antiriciclaggio, Sox, Risk Management).

Maggiori informazioni sul programma, i relatori e le modalità di iscrizione sono disponibili sul sito di Business International.

Compliance e Sistema dei Controlli Interni nelle Assicurazioni

Attenzione: questo evento non è più attivo!

Business International ha organizzato per il prossimo 30 settembre 2008 (a Milano) un seminario dedicato alla "Compliance e Sistema dei Controlli interni nelle Assicurazioni: Novità contenute nel Regolamento Isvap n. 20 del 26/03/08 e modifiche ai modelli organizzativi".

L'obiettivo del seminario è di approfondire il Regolamento Isvap n.20/2008 per gli aspetti relativi a il sistema dei controlli interni nelle compagnie di assicurazione, la funzione di compliance e i rapporti con l’internal audit, l’esternalizzazione delle funzioni e gli obblighi delle comunicazioni all’Isvap.

Maggiori informazioni sul programma, i relatori e le modalità di iscrizione sono disponibili sul sito di Business International.

Privacy, le linee guida del Garante per periti e consulenti tecnici dei magistrati

Sono state pubblicate sulla Gazzetta Ufficiale n. 178 del 31 luglio 2008 le "Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero" emanate dal Garante per la Privacy (deliberazione n. 46 del 26 giugno 2008).

Le linee guida forniscono le indicazioni per la gestione delle informazioni raccolte e per la gestione degli archivi dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero che, operando su incarico di autorità giudiziaria, talvolta più di una e per giudizi differenti, vengono a conoscenza e accumulano una grande quantità di dati personali:

"Nell'espletamento delle relative incombenze, il consulente e il perito di regola vengono a conoscenza e devono custodire, contenuti nella documentazione consegnata dall'ufficio giudiziario, anche dati personali di soggetti coinvolti a diverso titolo nelle vicende giudiziarie ..., e possono acquisire altre informazioni di natura personale nel corso delle operazioni ... . L'attività dell'ausiliario comporta quindi il trattamento di diversi dati personali, talvolta di natura sensibile o di carattere giudiziario ..., di uno o più soggetti, persone fisiche o giuridiche."

Gli ambiti considerati dalle linee guida sono:

• Trattamento dei dati. Il consulente e il perito possono raccogliere e trattare lecitamente dati personali nei limiti in cui è necessario per adempiere all'incarico ricevuto e solo nell'ambito dell'accertamento demandato. Le relazioni e le informative fornite al magistrato ed eventualmente alle parti non devono né riportare dati, "specie se di natura sensibile o di carattere giudiziario o comunque di particolare delicatezza", non pertinenti all'oggetto della perizia, né contenere informazioni personali di soggetti estranei al procedimento.
• Conservazione e cancellazione dei dati. Una volta espletato l'incarico, al di fuori delle ipotesi stabilite per legge o da specifiche autorizzazioni del magistrato, il consulente e il perito non possono, quindi, conservare, in originale o in copia, in formato elettronico o su carta, le informazioni personali raccolte nel corso dell'incarico.
• Comunicazione delle informazioni. Eventuali comunicazioni di dati a terzi, se ritenute indispensabili per le finalità dell'indagine, devono rispettare quanto stabilito per legge o essere preventivamente autorizzate dal magistrato.
• Misure di sicurezza. Fino al momento della consegna al giudice o al pubblico ministero delle risultanze dell'attività svolta, consulenti e periti sono obbligati ad adottare misure tecniche ed organizzative per evitare una indebita divulgazione delle informazioni o alla loro perdita o distruzione.

(Leggi anche il comunicato stampa del Garante Privacy).

Responsabilità delle persone giuridiche per reati di frode agli interessi finanziari dell'Unione europea e per crimini informatici

Il Centro Studi di Diritto Penale Europeo organizza, per il 29-30-31 gennaio 2009 un convegno sul tema "Responsabilità delle persone giuridiche per reati di frode agli interessi finanziari dell'Unione europea e per crimini informatici".
Il convegno si terrà a Milano, presso il Salone Valente, Via Freguglia 14.

Il programma sarà reso noto, nella prima metà di settembre, sul sito web del Centro Studi di Diritto Penale Europeo e su quello del Consiglio dell'Ordine degli Avvocati di Milano, sul quale sarà possibile iscriversi on-line entro il 16.12.2008.

Il Codice Antimafia di Italcementi

Italcementi ha presentato nei giorni scorsi ai dirigenti della Banca d'Italia ed agli organi dirigenti di Confindustria la bozza del proprio "Codice Antimafia", una proposta di governance aziendale per le imprese del settore del calcestruzzo.
Il documento, che potete scaricare anche dalla sezione "documenti" del nostro sito, fornisce una serie di regole ed indicazioni per prevenire i rischi di infiltrazione della criminalità organizzata nelle aziende operanti nelle aree a rischio del nostro Paese.

Italcementi ha avviato la predisposizione del documento nel dicembre del 2007, "a supporto della complessa attività di rielaborazione e consolidamento delle regole di governo aziendale, ma anche per ribadire senza riserve una linea di rifiuto di qualsivoglia compiacenza con fenomeni di criminalità organizzata" (Comunicato stampa del 30 gennaio 2008).

Alla redazione del "codice antimafia" hanno collaborato Pier Luigi Vigna (magistrato; dal 1997 al 2005 ha ricoperto l’incarico di Procuratore Nazionale Antimafia), Giovanni Fiandaca (professore ordinario di Diritto penale presso l’Università degli Studi di Palermo) e Donato Masciandaro (professore ordinario di Economia Politica e titolare della Cattedra di Economia della Regolamentazione Finanziaria presso l’Università Bocconi di Milano).

Ringrazio l'avv. A. Barletta per la segnalazione.