1. PREMESSA
L’emergenza epidemiologica attualmente in corso ha costretto le imprese a ridefinire la propria organizzazione interna, al fine di adattarla alle misure imposte dai vari provvedimenti normativi emanati nonché alle nuove esigenze volte a ridurre la diffusione del contagio.
Come noto, infatti, dall’inizio della pandemia derivante dal Covid-19 sono stati emanati diversi provvedimenti volti a contrastare la diffusione del virus anche negli ambienti di lavoro.
Tra questi – da ultimo – vanno menzionati il “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” sottoscritto in data 14 marzo 2020 ed integrato il 24 aprile 2020 (di seguito anche il “Protocollo”), nonché il Decreto del Presidente del Consiglio dei Ministri pubblicato il 26 aprile 2020 che forniscono – tra l’altro – indicazioni operative volte ad aiutare le imprese nell’adozione di efficaci misure precauzionali idonee a contenere e contrastare l’epidemia di Covid-19.
I diversi provvedimenti normativi e la necessità di ridurre il rischio di contagio hanno dunque portato le imprese a dover gestire e regolamentare ex novo diversi aspetti della organizzazione delle attività lavorative, mediante - ad esempio - l’utilizzo o l’ampliamento dei nuovi sistemi di smartworking, implementando nuovi strumenti di tutela della privacy della popolazione aziendale, la diffusione di istruzioni circa il corretto e lecito utilizzo degli strumenti informatici aziendali e non, l’adozione di nuove e più appropriate misure per garantire la sicurezza sul lavoro e la tutela della salute.
Tale ultimo aspetto costituisce una delle principali problematiche che le imprese devono gestire nel contesto emergenziale, considerato che tra gli obblighi specifici del datore di lavoro, in virtù di quanto disposto dalla previsione generale contenuta nell’art. 2087 cod. civ., nonché dalla normativa speciale contenuta nel D.Lgs. 81/2008, rientra la tutela dell'integrità fisica e della personalità morale dei prestatori di lavoro.
Ne deriva, pertanto, la necessità per le imprese di adottare misure organizzative e presidi di controllo adeguati anche in ottemperanza al Protocollo e alle disposizioni governative.
Da un punto di vista generale, tuttavia, è opportuno che le aziende non limitino le proprie azioni e che estendano le proprie valutazioni anche ai profili di responsabilità amministrativa ai sensi del D.lgs. 231/2001, strettamente collegati.
In tale ambito, nel presupposto che le società abbiano già adottato ed efficacemente attuato un proprio modello di organizzazione, gestione e controllo ai sensi del D.lgs. 231/2001, assume un ruolo fondamentale l’Organismo di Vigilanza che entra a pieno titolo in quel sistema di controlli volti a prevenire e indirizzare la gestione del rischio di contagio da Covid-19 nelle aziende .
2. I RISCHI LEGATI AL D.LGS. 231/2001
Il sistema introdotto dal D.lgs. 231/2001 prevede una responsabilità cosiddetta “amministrativa” delle persone giuridiche nel caso in cui soggetti in posizione apicale o soggetti sottoposti alla direzione o vigilanza di questi ultimi commettano – nell’interesse o a vantaggio dell’ente – uno dei reati indicati espressamente nel testo del D.lgs. 231/2001 (i cd. “reati presupposti”).
Ai fini dell’esonero della responsabilità è necessario che (i) l’ente abbia adottato ed efficacemente attuato un proprio modello di organizzazione, gestione e controllo idoneo a ridurre il rischio di commissione dei reati presupposti, (ii) che sia stato costituito un organismo di vigilanza deputato a verificare la tenuta e il rispetto dei modelli organizzativi e che lo stesso non ometta di svolgere o svolga in maniera insufficiente la propria attività di vigilanza, e (iii) che il reato sia stato commesso eludendo fraudolentemente il modello organizzativo. In questo contesto, pertanto, si inserisce l’attività dell’Organismo di Vigilanza.
Al momento, il rischio sanitario è, senza dubbio, uno dei principali fattori da cui potrebbe derivare un coinvolgimento dell’impresa ai sensi del D.lgs. 231/2001. Ma non il solo.
2.1. SALUTE E SICUREZZA SUL LAVORO
Infatti, laddove le misure di prevenzione attuate non siano idonee - anche in ottemperanza a quanto disposto dai provvedimenti normativi applicabili - ad evitare la propagazione del coronavirus nell’ambito dell’attività lavorativa, la malattia o il decesso dei lavoratori contagiati, l’ente potrebbe subire una contestazione ai sensi dell’art. 25-septies del D.lgs. 231/2001 (“Omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro”).
Si ricorda, peraltro, che la condizione di applicabilità della norma costituita dall’interesse o dal vantaggio dell’ente in riferimento, potrebbe essere ravvisata anche nel semplice risparmio sui costi connessi all’acquisto dei dispositivi di protezione da fornire ai dipendenti. Ne deriva, pertanto, la necessità di attentamente uniformarsi alle prescrizioni imposte dai provvedimenti sinora emanati e, in particolare, al Protocollo dello scorso 24 aprile nonché al Decreto del Presidente del Consiglio dei Ministri pubblicato il 26 aprile 2020 e, quindi, di rivedere la propria organizzazione in tal senso.
2.2. RAPPORTI CON LA PUBBLICA AMMINISTRAZIONE
Le aree a rischio da attenzionare, tuttavia, riguardano anche la prevenzione di ulteriori e diversi reati, tra cui, ad esempio quelli contro la Pubblica Amministrazione (artt. 24 e 25 del D.lgs. 231/2001). Basti pensare alle aumentate occasioni di contatto tra le aziende e i diversi enti pubblici correlate, ad esempio, alle procedure straordinarie di accesso agli ammortizzatori sociali messi a disposizione delle imprese o alle eventuali ispezioni presso i luoghi di lavoro volte a verificare la corretta adozione e attuazione delle misure di prevenzione e, quindi, alla maggiore possibile produzione di documentazione e ai correlati rischio che questa contenga informazioni non veritiere ad esempio al fine di conseguire indebitamente l’erogazione del contributo da parte dello Stato; ovvero il maggior rischio di realizzazione di fenomeni corruttivi volti a evitare l’applicazione di sanzioni per il mancato rispetto delle prescrizioni normative. Tali comportamenti, potrebbero dar luogo alla realizzazione di alcuni reati presupposto quali l’indebita percezione di erogazioni a danno dello Stato (art. 316-ter c.p.) e la corruzione per un atto contrario ai doveri di ufficio (art. 319 c.p.) da cui potrebbe, altresì, derivare una responsabile amministrativa dell’ente ai sensi del D.lgs. 231/2001.
2.3. PREDISPOSIZIONE DOCUMENTI CONTABILI E DICHIARAZIONI FISCALI
Inoltre, l’esigenza di liquidità o l’eventuale stato di crisi dell’impresa, determinato dall’emergenza pandemica, potrebbe comportare l’assunzione di comportamenti aziendali poco trasparenti tesi, ad esempio, a procrastinare e occultare l’emersione del disequilibrio economico e dell’eventuale dissesto. Tale situazione potrebbe agevolare la diffusione e la pubblicazione di rendiconti finanziari non veritieri, o la predisposizione di documentazione contabile non conforme, determinando una responsabilità dell’ente in virtù dell’art. 25-ter del D.lgs. 231/2001 (vale a dire per reati societari e, in particolare, per false comunicazioni sociali).
Allo stesso modo, mediante la registrazione di fatture “false” a fini IRES o IVA (ad esempio per l’acquisto, in tutto o in parte non avvenuto, di Dispositivi di Protezione Individuale) potrebbe configurarsi uno dei reati tributari previsti dall’art. 25-quinquiesdecies del D.lgs 231/2001 (da poco inseriti nell’alveo del D.lgs. quali reati presupposto della responsabilità amministrativa degli enti).
2.4. INFILTRAZIONI CRIMINOSE E RICICLAGGIO
Parimenti, lo stato di difficoltà finanziaria, in alcuni contesti, può rendere le aziende più vulnerabili rispetto ad una potenziale infiltrazione di organizzazioni criminali.
L’inevitabile momento di recessione potrebbe infatti incentivare il ricorso a finanziamenti illeciti, aumentando al contempo il rischio di realizzazione di fenomeni corruttivi e, soprattutto, di riciclaggio (con conseguente violazione degli art. 24-ter e 25-octies del D.lgs. 231/2001).
2.5. SMARTWORKING
Il ricorso massivo alle c.d. “modalità di lavoro agile” (incentivate, tra l’altro, anche da vari decreti e dal Protocollo stesso) potrebbe facilitare la commissione di altri reati presupposto previsti dal D.lgs. 231/2001, ed in particolare dei reati legati alla violazione del diritto d’autore (art. 25-novies), nonché degli illeciti in materia di criminalità informatica (art. 24-bis).
Con riferimento ai primi, infatti, le modalità di lavoro da remoto potrebbero consentire l’installazione sui dispositivi aziendali software contraffatti e privi di licenza da utilizzare ai fini dell’attività lavorativa e, pertanto, determinarne una responsabilità ai sensi del D.lgs. 231/2001.
Per quanto attiene, invece, gli illeciti in materia di criminalità informatica, occorre sottolineare come l’utilizzo di computer personali connessi alle reti della società renda più vulnerabili i sistemi informatici aziendali, esposti ulteriormente ad attacchi informatici che potrebbero consentire un’intrusione abusiva in sistemi informatici altrui per appropriarsi indebitamente di codici di accesso e alterarne il funzionamento. Qualora, pertanto, una delle predette condotte venisse realizzata da un soggetto apicale o da un sottoposto, al fine di ottenere un ingiusto vantaggio per l’ente (mediante - ad esempio – l’acquisizione di informazioni riservate di aziende concorrenti), potrebbe configurarsi uno degli illeciti puniti dall’art. 24-bis del D.lgs. 231/2001.
2.6. FRODI IN COMMERCIO
Infine, ulteriori reati potenzialmente rilevanti ai fini del D.lgs. 231/2001 e legati all’emergenza sanitaria innescata dal Covid-19, potrebbero essere quelli contro l’industria ed il commercio (art. 25-bis.1). Al riguardo, infatti, le aziende che producono beni particolarmente richiesti nell’attuale momento storico (come ad esempio igienizzanti e mascherine), al fine di incrementare ulteriormente i loro profitti, potrebbero vendere al pubblico bene aventi qualità, origine o provenienza diversa da quella dichiarata o dettata da previsioni normative specifiche.
3. IL RUOLO DELL’ORGANISMO DI VIGILANZA
In ragione dell’ampio ventaglio di rischi che, in questo specifico e particolare mo-mento storico di emergenza sanitaria correlato alla pandemia possono assumere maggiore o diversa rilevanza ai fini del D.lgs. 231/2001, risulta evidente l’importanza di approfondire il ruolo e l’operatività dell’Organismo di Vigilanza (o anche “OdV”) in tale contesto.
In primo luogo, si evidenzia come l’art. 6, comma 1, lett. b) del D.Lgs. 231/01 che disciplina l’attività propria dell’Organismo di Vigilanza attribuendogli i compiti di curare l’aggiornamento del modello di organizzazione, gestione e controllo e di vigilare sul funzionamento e l’osservanza dello stesso non attribuisca allo stesso. alcun potere gestorio o organizzativo. Ciò nonostante, il perimetro di operatività dell’Organismo di Vigilanza con riferimento all’attuale situazione dettata dalla diffusione del Covid-19, assume, nell’ambito della prevenzione e del monitoraggio un ruolo importante.
3.1. IL COMPITO DI CURARE L’AGGIORNAMENTO DEL MODELLO ORGANIZZATIVO
L’emergenza derivante dalla diffusione del Covid-19 non implica di per sé la necessità di aggiornare il modello organizzativo già adottato da una società, aggiornato e correttamente implementato, in quanto i rischi evidenziati nei paragrafi precedenti dovrebbero essere già mitigati dall’assunzione di tutte le misure idonee e opportune per prevenire il rischio di commissione dei reati sopra descritti.
La situazione emergenziale, tuttavia, potrebbe comportare l’intensificazione o l’estensione delle attività sensibili e far sorgere la necessità o quantomeno l’opportunità di un irrobustimento dei presidi di controllo adottati. Tale ipotesi si potrebbe verificare, soprattutto, nell’ambito dei reati commessi in violazione delle norme antinfortunistiche sul luogo di lavoro di cui all’art. 25 septies del D.Lgs. 231/2001. Infatti, in tale ambito, ad oggi dovranno necessariamente essere prese in considerazione tutte le misure imposte dal Protocollo nonché dal Decreto del Presi-dente del Consiglio dei Ministri pubblicato il 26 aprile 2020; misure che – ragionevolmente – non sono state adottate da una società prima dell’emergenza epidemiologica perché a fronte di un evento non previsto né prevedibile.
Ne deriva, pertanto, un necessario maggior livello di allerta, di monitoraggio e di confronto con la società da parte che l’OdV che dovrà eventualmente evidenziare la necessità di aggiornare il modello organizzativo in considerazione della possibile eccezionale intensità e/o frequenza dei rischi già mappati. Da qui, la necessità di porre in essere specifiche attività di verifica ferma restando, poi, in capo all’azienda ogni con-seguente scelta organizzativa e gestionale finalizzata all’aggiornamento o meno del modello organizzativo ed all’implementazione/miglioramento dei presidi di controllo già adottati.
3.2. IL COMPITO DI VIGILARE SUL FUNZIONAMENTO E L’OSSERVANZA DEL MODELLO ORGANIZZATIVO
L’Organismo di Vigilanza, inoltre, deve vigilare sul corretto funzionamento e sull’osservanza del modello organizzativo con particolare riferimento a tutti i rischi evidenziati nei paragrafi precedenti anche al fine di garantire una coerenza tra i protocolli adottati e i provvedimenti emergenziali emanati dalle competenti autorità.
Con riferimento a tutti i potenziali rischi sopra individuati, la situazione emergenziale può essere considerata come un test per verificare (anche attraverso eventuali attività di audit e risk assessment mirate) l’idoneità e la tenuta del modello organizzativo nonché dei protocolli adottati rispetto alla possibile intensificazione dei predetti rischi. In considerazione delle risultanze prodotte da tali verifiche, si potrà valutare la necessità o meno di aggiornare il modello organizzativo e di rafforzare i presidi nelle aree di rischio potenzialmente rilevanti a seguito della diffusione del Covid-19 .
Con riferimento allo specifico rischio connesso in maniera diretta all’emergenza epidemiologica (i.e. il rischio afferente la salute e sicurezza sul luogo di lavoro), il compi-to di vigilare sul funzionamento e sull’osservanza del modello organizzativo si traduce – anche ai sensi dell’art. 30 del D.Lgs. 81/08 – nel verificare che il sistema azienda-le tenga conto del fenomeno epidemiologico e si conformi alle disposizioni normati-ve dettate per la gestione della situazione emergenziale.
Nell’ambito dell’attuale contesto le principali attività dell’Organismo di Vigilanza, da un punto di vista operativo, possono essere così riassunte:
i. Attività di monitoraggio e tenuta delle riunioni
Uno dei requisiti propri dell’OdV è la continuità d’azione, che assume ancora maggiore rilevanza nell’ambito dell’attuale contesto emergenziale. In particolare, la continuativa conduzione della funzione di vigilanza si realizza attraverso la tenuta di riunioni e interviste o incontri con vari soggetti anche con frequenza maggiore rispetto a quanto programmato nel piano d’azione che ogni OdV dovrebbe aver adottato. In applicazione delle prescrizioni del Governo e delle istruzioni comportamentali impartite dalle autorità competenti, le riunioni dell’Organismo di Vigilanza potranno svolgersi in video/conference call, ferma restando l’assoluta necessità di verbalizzare quanto discusso in riunione (ivi comprese tutte le informazioni ottenute in merito alle misure adottate dall’azienda).
ii. Coordinamento con i referenti aziendali e con gli organi deputati alla gestione del rischio
Un costante flusso comunicativo “nei confronti di” e “da parte di” l’Organismo di Vigilanza è già di per sé considerato fondamentale per consentire allo stesso il corretto espletamento delle proprie funzioni, ancora di più nella situazione emergenziale in atto.
Da un lato, pertanto, è necessario garantire idonei flussi informativi con:
(a) le funzioni aziendali preposte al contenimento della diffusione del virus in azienda (ad esempio, in base all’organigramma aziendale, il Responsabile dell’Ufficio HR, Responsabile dell’Ufficio Legale, Responsabile dell’Ufficio Compliance),
(b) gli organi deputati alla gestione del rischio (e.g. datore di lavoro, medico competente, RSPP, addetti al primo soccorso e alla gestione delle emergenze), nonché
(c) con il Comitato eventualmente istituito per l’applicazione e la verifica delle regole del protocollo aziendale volto a prevenire la diffusione del virus negli ambienti di lavoro.
L’Organismo di Vigilanza deve infatti essere tempestivamente informato in merito alle iniziative e alle relative misure di prevenzione adottate (e/o in corso di adozione) dalla società al fine di valutare e mitigare i rischi derivanti dal Covid-19, suggerendo – ove necessario - eventuali attività di implementazione e/o aggiornamento. In ogni caso, l’Organismo di Vigilanza deve svolgere i propri compiti in maniera proattiva. Pertanto, in caso di inerzia da parte dei referenti aziendali è l’Organismo a dover richiedere il ricevimento delle informazioni necessarie da parte dei soggetti sopra indicati nonché a stimolare le azioni necessarie per il contenimento dell’epidemia laddove la società non si stia attivando in tal senso.
Dall’altro lato è necessario altresì che sussista una sistematicità di input informativi da parte dell’OdV in merito ai provvedimenti emergenziali (con particolare riferimento ai decreti del Presidente del Consiglio dei Ministri nonché in relazione ad eventuali provvedimenti regionali), con richiesta di informazioni circa i conseguenti adempimenti da parte della società; a titolo esemplificativo e non esaustivo, la richiesta di informazioni da parte dell’OdV – volta a constatare l’effettiva implementazione dei sistemi organizzativo alla luce dell’evolversi della situazione anche e soprattutto da un punto di vista normativo – può concernere: (a) la valutazione svolta circa la sussistenza del rischio biologico da contagio Covid-19, con conseguente eventuale implementazione del Documento di Valutazione dei rischi (DVR) ; (b) le azioni mitigatorie del rischio adottate ed implementate alla luce anche dei suggerimenti contenuti nei vari provvedimenti legislativi e delle indicazioni emanate dalle Pubbliche Autorità.
iii. Attività di reporting all’organo amministrativo
L’Organismo di Vigilanza deve comunicare costantemente anche con l’organo dirigente della società sia al fine di ottenere dallo stesso eventuali informazioni ulteriori rispetto a quelle fornitegli dai referenti aziendali sia al fine di informarlo tempestivamente qualora, nell’espletamento delle proprie attività, ravvisi profili di rischio di diffusione del virus negli ambienti di lavoro (ad esempio, in caso di inerzia delle funzioni aziendali preposte all’adozione e implementazione di misure di contenimento del COVID-19).
iv. Gestione di eventuali segnalazioni
Nell’attuale contesto emergenziale, l’Organismo di Vigilanza potrebbe ricevere segnalazioni relative a circostanze legate allo stato di pandemia che, nei casi più gravi, potrebbero integrare le fattispecie dei reati presupposto del D.Lgs. 231/2001 (quali a titolo esemplificativo e non esaustivo, lesioni personali colpose di cui all’art. 590 c.p.). In tali ipotesi, l’OdV è tenuto a prendere in carico la segnalazione e, fatta salva la tutela della riservatezza dell’identità del segnalante in conformità alla normativa applicabile, coinvolgere le figure aziendali preposte nonché, se del caso, il management, supportando eventualmente la società nell’adozione e implementazione delle necessarie misure correttive.
v. Gestione di una persona sintomatica o positiva al COVID-19 in azienda
Fermi restando gli adempimenti che l’azienda e/o il dipendente devono porre in es-sere nei casi di cui in analisi, è necessario che l’Organismo di Vigilanza sia tempestivamente informato, mediante flussi di comunicazione spontanei ovvero in occasione delle riunioni periodiche, circa i casi di dipendenti risultati sintomatici o positivi al Covid-19 e aggiornato sulla gestione dell’emergenza verificatasi. L’Organismo di Vigilanza potrà richiedere evidenza delle azioni intraprese a tutela della salute dei dipendenti in ottemperanza alle disposizioni normative e regolamentari vigenti, recependo tali informazioni in apposito verbale. 4. Conclusioni In un contesto di assoluta straordinarietà dovuto all’emergenza epidemiologica, ferme restando le specifiche competenze ed i limiti operativi dei diversi ruoli nell’ambito della struttura organizzativa, appare opportuno che gli OdV, nell’espletamento dei propri compiti di vigilanza sul funzionamento e sull’osservanza dei modelli organizzativi e di cura dell’aggiornamento degli stessi, forniscano il loro importante contributo evidenziando alle aziende i potenziali rischi rilevanti sotto i profili di cui al D.lgs. 231/2001 e sollecitando, qualora necessario, l’adozione di idonee misure di prevenzione. Dall’altro lato, gli organi aziendali dovranno attentamente valutare il sistema di compliance adottato, al fine di implementare e potenziare, se necessario, i presidi di controllo nonché le misure per prevenire la commissione dei reati presupposto sopra descritti.
Avv. Francesca Rosetti e Avv. Laura Vacchiano - Fieldfisher