Audit Dlgs 231/2001: necessario un approccio integrato per coprire sia le esigenze di privacy che quelle sulla responsabilità amministrativa delle imprese
L’applicazione del Dlgs 231/2001 richiede come noto attività di controllo in capo all’Organismo di Vigilanza (OdV). Tra gli strumenti di indagine l’audit comporta rilevanti problematiche in termini di protezione dei dati personali indagando e raccogliendo evidenze appartenenti a domini quali la salute e sicurezza dei lavoratori, il sistema sanzionatorio, il whistleblowing, ecc…
Come ampiamente noto, l’audit ha l’obiettivo, facendo ricorso a tecniche a campione, di confrontare i criteri di audit (le regole) con le evidenze ovvero registrazioni che contengono dati che dovrebbero essere congruenti con i criteri stessi.
In questo articolo si affronta il tema di come bilanciare due esigenze contrapposte che devono affrontare gli auditor, nel corso della conduzione di tale attività:
- raccogliere evidenze adeguate e riproducibili;
- mantenere la riservatezza dei soggetti che in modo diretto o indiretto sono oggetto di audit.
La raccolta delle evidenze - Le evidenze possono essere raccolte da un team di audit formato dagli stessi membri dell’Organismo di vigilanza o da soggetti che agiscono su mandato di tale organo.
Ovviamente i concetti espressi possono essere estesi a tutti gli audit che prevedono di indagare dati personali come ad esempio quelli sul sistema di gestione della salute e sicurezza - basati sulla UNI EN ISO 45001:2023 e ancora sulla parità di genere – basati sulla UNI/PdR 125:2022. Nell’ambito della raccolta di dati afferenti alla salute e sicurezza (come ad esempio quelli relativi agli infortuni, all’idoneità sanitaria, ecc.) il tema trattato assume una particolare rilevanza.
Buone pratiche in sede di audit - Le buone pratiche in sede di audit possono, essere suddivise tra quelle a sistema e quelle operative che gli auditor devono mettere in atto nel corso dell’audit.
Buone pratiche a sistema - Di seguito alcune buone prassi di carattere operativo da attuare per il sistema di gestione degli audit:
- Verificare che nell’incarico agli auditor (se soggetti esterni all’Organizzazione) o nella loro descrizione di responsabilità/job description (se soggetti interni) o in altri documenti (istruzioni) sono state fornite le indicazioni sulla gestione dei dati personali di cui, nel corso del processo, vengono a conoscenza.
- Fargli sottoscrivere un “non disclosure agreement” (NDA)
- Formare gli auditor sulle misure da mettere in atto nel corso dell’audit per garantire che nel corso di tale attività sia garantita anche la protezione dei dati personali.
- Mettere in atto procedure per garantire che i dati raccolti o comunque trattati nel corso del processo siano protetti nel corso di tutto il “ciclo di vita dell’audit” dalla raccolta alla presentazione all’OdV sino alla loro archiviazione e successiva distruzione. In altri termini per garantire la loro minimizzazione dei dati, limitazione dell’accesso e conservazione sicura.
- Integrare l’informativa agli interessati indicando tra le finalità anche la verifica da parte di soggetti terzi autorizzati (es. Membri dell’Organismo di Vigilanza e del Collegio dei Sindaci, auditori).
Buone pratiche operative in campo - Di seguito alcuni accorgimenti di carattere operativo da seguire per garantire il rispetto della protezione dei dati personali trattati durante l’attività di audit.
Campionamento – limitare l’accesso ai documenti a quanto indispensabile. Es. è necessario verificare l’organizzazione dei certificati del casellario giudiziale laddove un’organizzazione fosse obbligata a conservarla (ad esempio per il personale che ha contatti con i minori – come previsto dal Dlgs 39/2014 a sua volta compreso nel perimetro del Dlgs 231/2001), ma al contempo non vi è alcuna necessità in audit di accedere a tutta la documentazione, ma è sufficiente campionare alcuni casi.
Appunti di audit – riportare, ai fini di una completa trasparenza e riproducibilità del processo:
- nome, cognome per esteso e ruolo delle “persone coinvolte” nel corso dell’audit e nello specifico quelle presenti alle riunioni (iniziale, finale ed eventuali intermedie) e quelle contattate e intervistate nel corso dell’audit e quelle che ricoprono posizioni significative rispetto al processo auditato (es. Responsabile della funzione Risorse Umane, Amministratore di sistema). Es. “intervistata Marina Bianchi Responsabile HR”, “intervistato Mario Rossi addetto amministrazione”
- ruolo delle “persone osservate” ovvero di quelle di cui nel corso dell’audit si osserva il comportamento al fine di verificare il rispetto delle procedure e/o istruzioni, ma che non vengono intervistate direttamente. In questo caso la raccolta delle informazioni personali non è necessaria e può essere limitata ad una indicazione del ruolo ricoperto. Es. “visto addetto alla pressa che non indossava i DPI”, “osservato magazziniere che verificava la portata della scaffalatura”;
- limitarsi alle iniziali delle “persone citate nelle registrazioni esaminate” ovvero di quelle personae indicate nelle osservazioni esaminate nel corso dell’audit; in alternativa riportare una parte dei dati del n. di matricola Es. “verificata documentazione relativa all’infortunio occorso il 10.12.02xx a P.T.”, “analizzata documentazione provvedimento disciplinare del 10.07.20xx nei confronti matricola 2..7 per mancato uso dei DPI in dotazione” e ancora “verificata documentazione di partecipazione alla gara per il Comune di Rovigo del 12.12.20xx e relativa documentazione dei carichi pendenti del membri del CDA come richiesto dal bando” senza riportare alcun riferimento in merito ai contenuti della documentazione esaminata.
(Nella foto: l'Ing. Monica Perego)
Raccolta ed analisi di evidenze in campo - Nel corso dell’audit è importante effettuare un approfondimento sui rischi che un'azienda deve valutare: incidenti sul lavoro, mancata formazione, mancanza di attrezzature adeguate, e come questi possano portare a responsabilità amministrativa all’interno del perimetro del Dlgs 231/2001. Ulteriori dati possono essere raccolti per le aziende del settore edile considerando la patente a punti di recentissima introduzione per il comparto delle costruzioni. Tutte le evidenze raccolte in campo devono limitarsi a quelle strettamente necessarie ai fini dell’obiettivo della verifica. Per cui in una Residenza socio sanitaria accreditata che ha implementato un modello Dlgs 231/2001 non è necessario verificare il contenuto della documentazione sanitaria di un ospite. È sufficiente limitarsi a verificare che questa sia conservata e sottoscritta in accordo con i requisiti vincolanti dell’accreditamento posti dalla Regione che a sua volta contribuisce con una quota al pagamento delle rette.
Documentazione allegata al Rapporto di audit - limitare quanto più possibile la documentazione che viene allegata (compresi file e delle fotocopie) al Rapporto limitandosi ad indicare nella check-list e/o nel medesimo Rapporto di audit i riferimenti alla documentazione.
Conclusioni - Anche il processo di audit in campo deve rispettare la normativa in materia di protezione dei dati personali e gli auditor in primis devono comportarsi in campo in modo integerrimo per non dar adito ad alcuna lamentela a segnalazione. Nel caso in cui gli auditor a loro volta fanno parte di un organo di controllo quale l’OdV o operano su mandato di tale organo, tale vincolo se possibile diventa ancora più stringente.
In sintesi, un approccio integrato, che copra simultaneamente le esigenze di conformità legate alla protezione dei dati personali e alla responsabilità amministrativa delle aziende è un elemento di serietà ed a beneficio della credibilità di entrambi i sistemi.