Società

Modello 231 e sistemi di gestione certificati

Punti di contatto tra il sistema di controllo ex d.lgs. 231 e i sistemi di gestione certificati secondo i vari standard ISO

di Vincenzo Renna*

Nel 2021 Confindustria ha aggiornato le proprie " Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo " dettate ai sensi del D.Lgs. 8 giugno 2001, n. 231 (d'ora in poi Decreto), la cui prima edizione (risalente al 2002) era stata revisionata nel 2008 e 2014.

Un lavoro di aggiornamento importante che è stato reso necessario non solo dal 'deposito alluvionale' di nuove fattispecie penali (reati-presupposto) ma anche da una rielaborazione di orientamenti su non pochi aspetti che caratterizzano l'impegno societario-aziendale, come determinato dal Decreto, nella prevenzione dei reati.

Preliminarmente, va evidenziato che le Linee Guida di Confindustria, in seguito "Linee Guida" non potranno mai assurgere a contenuto diretto di un modello organizzativo: non ne hanno - né pretendono di averne - i requisiti.

Esse assolvono però al compito rilevante di costituire un autorevole punto di riferimento, di guidare gli interpreti e gli operatori verso la migliore progettazione e definizione del suo contenuto.

In questa breve nota, anche alla luce delle nuove linee guida di Confindustria, si cercherà di individuare il punto di saldatura tra il sistema di controllo ex d.lgs. 231 e i sistemi di gestione certificati secondo i vari standard ISO: 9001-14001-45001-27001- 37001 ecc… (qualità – ambiente – sicurezza sui luoghi di lavoro – sicurezza dei dati – anticorruzione, ecc…).[1]

I sistema di gestione certificati e il Modello Organizzativo, differenze e punti di contatto

Intendendo per sistema di gestione un "insieme di procedure e di sistemi informativi tra loro interagenti per realizzare una finalità o un obiettivo attraverso una politica" risulta, già nella edizione del 2014 e in modo più chiaro nelle ultime Linee Guida, il fatto che il 'modello 231' costituisca, o meglio, dia vita ad un sistema di gestione, la cui specifica finalità è la prevenzione di alcuni reati (i c.d. "reati-presupposto").

Come meglio vedremo, la finalità lo distingue dagli altri sistemi di gestione - anche se tutti sono accomunati dalla caratteristica di costituire un "centro di regolazione dell'organizzazione e la sua espressione di volontà gestionale e realizzativa" -, ciascuno in conformità alle proprie norme di riferimento che, nel caso del modello 231, appartengono all'ordinamento giuridico (italiano), mentre per gli altri sistemi sono norme volontarie, ovvero standards internazionali redatti ed aggiornati a cura di organismi non statuali.

Natura e cogenza degli standard ISO

Le norme ISO [2] sono accettate e diffuse a livello mondiale. In Europa sono curate dal CEN (Comitato Europeo di Normazione) e in Italia dall'UNI (Ente Nazionale di Unificazione).

Le norme ISO sono pertanto rivolte alle aziende che hanno la volontà di uniformarsi ad un determinato standard di qualità in termini di organizzazione, progettazione, produzione, tutela e sostenibilità ambientale, anticorruzione ecc., a seconda dell'obiettivo prefissato dalla norma tecnica di riferimento.

I vari sistemi di gestione secondo standard ISO hanno in comune alcuni presupposti o punti cardine da definire ex ante: la definizione dei requisiti del sistema di gestione (SG), la definizione della politica di riferimento [3], la pianificazione, le modalità di attuazione e funzionamento, l'effettuazione di controlli e azioni correttive, il riesame della direzione.

Si tratta, in altre parole, di creare un'organizzazione al cui interno siano ben definiti compiti e responsabilità e di gestire un processo produttivo che, fissati determinati obiettivi di qualità, porti a raggiungere i risultati previsti.

Mediante azioni continue di monitoraggio e autocontrollo si può così intervenire su eventuali non conformità, non più alla fine del processo produttivo ma durante il suo svolgimento.

La Direzione (Organi apicali – monocratici o collegiali) dovrà provvedere alla redazione di un manuale del sistema di gestione, anche detto manuale della qualità, e di determinate procedure che definiscano CHI FA – CHE COSA – COME – QUANDO [4], dando così evidenza di un corretto standard nel proprio modus operandi [5].

Implementato un sistema di gestione secondo uno standard ISO, l'azienda si sottopone a verifica da parte di un organismo di certificazione accreditato e successivamente, in caso di esito positivo, potrà fregiarsi del "marchio di qualità" o comunque "della certificazione" che certifichi l'azienda a livello internazionale.

La certificazione sarà conseguita qualora il verificatore riconosca la rispondenza del sistema a quanto previsto dalle norme ISO, nonché la capacità dell'azienda di raggiungere i risultati prefissati.

La certificazione di qualità non viene rilasciata una tantum; l'azienda, una volta ottenuto il "marchio di qualità" resta sottoposta a verifiche periodiche da parte dell'organismo di certificazione, al fine di accertarne il mantenimento nel tempo.

Quindi si può sostenere che per standard si intende essenzialmente un metodo riconosciuto per fare qualcosa, per operare in un dato settore economico e per conseguire determinati obiettivi, economici, sociali, ecc.
Infatti, uno standard può riguardare la creazione di un prodotto, la gestione di un processo, la fornitura di un servizio o la fornitura di materiali: gli standard possono coprire una vasta gamma di attività intraprese dalle organizzazioni e utilizzate dai loro clienti.

Ogni standard è progettato per un uso volontario, quindi la scelta di utilizzarlo è autonoma ed è propria di ciascun operatore economico che intende adottarlo all'interno della propria organizzazione. Gli standard nascono come strumenti atti ad aiutare a guidare l'innovazione e aumentare la produttività e coprono una vasta gamma di argomenti, dalla costruzione alla nanotecnologia, dalla gestione dell'energia, alla salute e sicurezza.
Possono essere molto specifici, ad esempio per un particolare tipo di prodotto, o generali come le pratiche di gestione.

Lo scopo di uno standard è fornire una base affidabile affinché le persone condividano le stesse aspettative su un prodotto o servizio.

Questo aiuta a:
- fornire un framework per realizzare economie, efficienze e interoperabilità;
- migliorare la protezione e la fiducia dei consumatori;
- agevolare il controllo da parte di Autorità pubbliche all'uopo preposte.

Le organizzazioni potrebbero utilizzare:
- uno standard di gestione della qualità per lavorare in modo più efficiente e ridurre i guasti del prodotto - ISO 9001;
- uno standard di gestione ambientale per contribuire a ridurre gli impatti ambientali, ridurre gli sprechi ed essere più sostenibili - ISO 14001 - Regolamento Emas;
- uno standard di salute e sicurezza per aiutare a ridurre gli incidenti sul posto di lavoro - ISO 45001 o OHSAS 18001;
- uno standard di Responsabilità sociale - SA8000;
- uno standard per la gestione dei rischi - ISO 31000;
- uno standard di sicurezza IT per mantenere sicure le informazioni sensibili - ISO 27001;
- uno standard di sicurezza stradale ISO 39001;
- uno standard di gestione dell'energia per contribuire a ridurre il consumo energetico ISO 50001;
- uno standard di sicurezza alimentare per aiutare a prevenire la contaminazione del cibo - BRC – british retail consortium;
- uno standard di gestione anticorruzione per prevenire il rischio di condotte corruttive - IS0 37001 ecc

Significato di "norma tecnica"

Torna utile rammentare [6] che, secondo il Regolamento UE 1025/2012 e prima ancora la Direttiva Europea 98/34/CE del 22/6/1998, una norma è una specifica tecnica la cui osservanza non è obbligatoria ed è approvata da un organismo riconosciuto a svolgere attività normativa.

La norma, come abbiamo appena visto, si classifica in: norma internazionale (ISO), norma europea (EN), norma nazionale (UNI).

In estrema sintesi, le norme tecniche garantiscono sicurezza, rispetto per l'ambiente, prestazioni certe, tracciabilità dei processi, trasparenza, ecc...

Come è noto una norma diventa cogente o inderogabile quando non consente l'adozione di una regola diversa da quella prescritta. Nel diritto privato queste norme sono definite imperative.

Esse non sono suscettibili di deroga né da parte di accordi, che risulterebbero nulli se in contrasto con una norma cogente, né da parte di consuetudini "ordinarie", che andrebbero disapplicate se in contrasto con queste norme. Le specifiche tecniche possono diventare legge dello Stato e quindi si trasformano da norme volontarie a norme cogenti.

Solo quando le norme tecniche non sono recepite dal legislatore, esse non sono vincolanti e quindi la loro violazione non può costituire fonte di responsabilità giuridica per i trasgressori.

Può essere un esempio di recepimento di norme tecniche l'articolo 13 del D.P.R. n. 203 del 1988 (Attuazione delle direttive CEE nn. 80/779, 82/884, 84/360 e 85/203 concernenti norme in materia di qualità dell'aria, relativamente a specifici agenti inquinanti …) dove la dizione "applicazione della migliore tecnologia disponibile", obbliga gli imprenditori che intendono continuare le emissioni e anche le Regioni, le quali non possono rilasciare l'autorizzazione se il soggetto interessato non abbia adeguato il suo depuratore alla tecnologia in quel momento più evoluta.

Un altro esempio è dato dal D. Lgs. n. 152/2006 (Norme in materia ambientale) che disciplina diverse azioni in materia di Valutazione Ambientale Strategica e che contiene molti riferimenti alle norme UNI EN ISO 14001 (vedi artt. 209, 210 e 212) oppure alle norme UNI EN ISO 9001 (art. 229).

L'approvazione delle norme tecniche presenta le seguenti caratteristiche: consensualità (devono essere approvate con il consenso di coloro che hanno partecipato ai lavori), democraticità (tutte le parti economico/sociali interessate possono partecipare ai lavori e formulare osservazioni nell'iter che precede l'approvazione finale), trasparenza (le tappe fondamentali dell'iter di approvazione di un progetto di norma sono rese pubbliche, tenendo il progetto stesso a disposizione degli interessati), volontarietà (le norme sono un riferimento che le parti interessate si impongono spontaneamente).

La progressiva trasformazione dei mercati da nazionali ad europei ed internazionali ha portato ad una parallela evoluzione della normativa da nazionale a sovranazionale, con importanti riconoscimenti anche dal WTO (World Trade Organization). Da qui la vasta partecipazione di oltre 160 Paesi alle attività dell'ISO e l'importanza che le sue norme, pur essendo di libero recepimento da parte degli organismi di normazione, rivestono sui mercati mondiali.

Appare utile osservare che le norme non sono monadi isolate all'interno dell'ordinamento giuridico, ma spesso interagiscono e qualche volta si condizionano a vicenda, esercitando un'influenza le une sulle altre sulla base del loro ambito applicativo.

Può quindi accadere che la mancata applicazione di una norma tecnica può essere legittimamente contestata ad un soggetto sotto il profilo omissivo, in quanto l'applicazione della stessa acquisisce una valenza obbligatoria proprio in virtù della presenza all'interno dell'ordinamento di norme giuridiche che fungono da fonte, diretta o indiretta, esplicita o implicita, di tale obbligatorietà [7]  

Primo caso: rinvio formale alla norma tecnica da parte di una norma cogente

E' il primo e più evidente caso in cui l'applicazione della norma tecnica, pur avendo una natura volontaria, diviene obbligatoria in virtù del fatto che una norma cogente ne richiama l'applicazione in via obbligatoria, recependola.Il rinvio, a seconda dei casi, può essere indirizzato ad una o più specifiche norme tecniche oppure, più in generale, alle norme tecniche di un certo settore, si veda ad esempio il D.Lgs.81/08.2) 

Secondo caso: le norme tecniche quale contenuto del rinvio operato dall'articolo 2087 c.c.

Partendo dal presupposto per cui le norme tecniche riproducono il cosiddetto "stato dell'arte", esse possono essere considerate delle fonti la cui applicazione contribuisce a realizzare la cosiddetta "massima sicurezza tecnologicamente fattibile" imposta, in via obbligatoria, dall'articolo 2087 del codice civile.

Infatti, come ricorda la giurisprudenza, "poiché la responsabilità oggettiva del datore non è configurabile, l'adempimento datorile è da valutare sulla base delle regole di esperienza e la ragionevole prevedibilità degli eventi" (Cass. Civ., Sez. Lav., 2 luglio 2008, n.18107).

Ma come si può riempire di significato le espressioni generali utilizzate dall'articolo 2087 del codice civile, una disposizione cogente che prevede un vero e proprio obbligo la cui violazione può andare a rappresentare titolo di colpa specifica in sede penale? [ 8]
E qual è il collegamento tra l'articolo 2087 del codice civile e le norme tecniche? 

La risposta ci viene fornita dalla sentenza di primo grado sul caso Thyssen (Trib. Torino, Corte d'Assise, 15 aprile 2011) che, di fronte alle argomentazioni della difesa che lamentava le difficoltà legate al dare adempimento all'obbligo previsto dall'articolo 2087 c.c., dapprima premette che "la Corte non ignora una ipotizzabile difficoltà, per il datore di lavoro, di conoscere effettivamente come comportarsi […] a fronte di un dovere generale di solidarietà e di una espressione di ampio contenuto quale quella di cui all'art. 2087 c.c. …" ma poi aggiunge che "il dovere generale di tutela, derivante dalla Costituzione e dall'art. 2087 c.c., funge da - elementare, ma altrettanto fondamentale - criterio interpretativo per tutta la legislazione in materia di sicurezza e di salute dei lavoratori, a cominciare dal D.Lgs 626/94 (ora D.Lgs. 81/08) - v. nelle prioritarie enunciazioni […] "misure generali di tutela" - passando per i decreti ministeriali per giungere alle norme "tecniche" le quali ultime, riproducendo lo "stato dell'arte" (nel nostro caso, relativo alla materia di prevenzione antincendio), costituiscono il "contenuto" preciso del rinvio alle "conoscenze acquisite in base al progresso tecnico" come indicate all'art. 2087 c.c. e all'art. 3 D.Lgs 626/94" (ora art. 15 c. 1 lett c).D.Lgs. 81/08).

Da questa pronuncia si desume come - allorché ci si trovi a ragionare sulla prevedibilità o meno di un evento e quindi in ordine alle responsabilità di chi era tenuto a prevederlo e prevenirlo - la presenza o meno di norme tecniche in un certo settore o ambito possa fungere da spartiacque (o sia uno degli elementi tali da fare da spartiacque) tra ciò che è prevedibile e ciò che non lo è.

• Terzo caso: le norme tecniche volontariamente adottate e richiamate in sede ispettiva.

Appare utile annoverare un terzo caso in cui, anche se la norma tecnica viene adottata volontariamente, la legge ha predisposto uno strumento specifico - per l'organo di vigilanza - atto a garantire che il datore di lavoro la applichi correttamente.

Tale caso è contemplato dal Titolo XII del D.Lgs.81/08 (che contiene disposizioni in materia penale e di procedura penale, e che andrebbe letto unitamente al Titolo I), in particolare dall'art. 302-bis  (Potere di disposizione).

Tale norma, al comma 1, prevede che "gli organi di vigilanza impartiscono disposizioni esecutive ai fini dell'applicazione delle norme tecniche e delle buone prassi, laddove volontariamente adottate dal datore di lavoro e da questi espressamente richiamate in sede ispettiva, qualora ne riscontrino la non corretta adozione, e salvo che il fatto non costituisca reato.

La ratio dell'introduzione di questo particolare potere di disposizione corrisponde alla necessità di adottare nei confronti dell'impresa una misura che consenta il ripristino dei livelli di tutela e che privilegi l'approccio prevenzionistico rispetto a quello sanzionatorio.

Modello 231 e sistemi di gestione certificati

Il legislatore mette in contatto i due sistemi di compliance oggetto della nostra disamina, "231" e "ISO", nel campo della prevenzione in materia di salute e sicurezza nei luoghi di lavoro.

In questo ambito è possibile rilevare la formalizzazione di un pur generale e provvisorio criterio relazionale tra le Linee Guida UNI-INAIL del 2001 e la ISO 45001 ex British Standard OHSAS 18001:2007 da un lato, e modello 231 dall'altro.

L'art. 30, comma 5, del D.Lgs. 81 del 2008 ha introdotto "in sede di prima applicazione" una presunzione di idoneità del modello 231 - purché non sia soltanto "adottato" ma anche "efficacemente attuato", come chiaramente richiedono gli artt. 6, co. 1, lett. a) e 7, co. 2 del Decreto - che sia conforme alle citate norme tecniche o, più precisamente, ha stabilito una presunzione di conformità ai requisiti del modello come esplicitati nei primi 4 commi dell'art. 30.

L'ambito specifico della sicurezza sui luoghi di lavoro riconosce formalmente il punto di saldatura tra norme volontarie, come quelle relative all'attuale standard ISO 45001:18 (che ha sostituito British Standard OHSAS 18001:2007), e il Decreto 231.

Appare utile sottolineare che l'esimente della responsabilità penale, riconosciuta dal legislatore in favore dell'operatore economico in funzione dell'adozione ed attuazione dello standard ISO 45001 ovvero delle Linee Guida INAIL e del Decreto 231, sugella la necessità di entrambi i sistemi di gestione della sicurezza.

Tuttavia, non mancano altri importanti punti di contatto ed opportunità di integrazione tra le due famiglie di sistemi di compliance esaminati. In tutti i sistemi di gestione appaiono necessari ed imprescindibili queste previsioni:
- la nomina di un Responsabile di conformità del sistema, che nella legge 231 viene denominato Organismo di Vigilanza;
- analisi dei rischi [9];
- leadership;
- Attività di controllo mediante Audit, programmati e a sorpresa
- formazione specifica.

I punti di contatto si moltiplicano se l'interprete considera un altro ambito di particolare importanza per i sistemi di compliance, qual è quello relativo alla "Corruzione".

Rispetto ad esso occorre rilevare come si estenda ad alcuni soggetti, ad esempio gli enti pubblici territoriali o altri enti di rango costituzionale, normativamente esclusi dall'applicazione del Decreto 231 e tenuti, per un verso, ad applicare il sistema di prevenzione della corruzione obbligatorio ai sensi della legge 6 novembre 2012, n. 190 (Disposizioni per la prevenzione e la repressione della corruzione e dell'illegalità nella pubblica amministrazione, c.d. "Legge Severino" e leggi collegate) e, per altro verso, ad applicare su base volontaria lo standard ISO 37001:16 [10]

L'elenco dei requisiti che accomuna i vari sistemi di gestione si arricchisce con il whistleblowing [11] previsto dall'art. 83 comma 10 d.lgs. 50/16 (Codice degli appalti).

Conclusioni

Esiste una sintassi comune tra i vari sistemi di gestione e controllo, che impongono agli studiosi e agli interpreti la conoscenza delle principali ‘regole di grammatica', delle migliori prassi, anche internazionali e degli orientamenti giurisprudenziali.

L'idea di una integrazione tra i vari sistemi di compliance rappresenta una opportunità concreta di miglioramento e sviluppo.

Vedremo quale sarà la portata applicativa dei nuovi sistemi di gestione della famiglia "ISO" emanati nel 2021:

ISO 37301:2021 "Compliance Management Systems – Requirements with guidance for use".
La nuova norma sostituisce la precedente ISO 19600:2016 "Sistemi di gestione della conformità - Linee guida" , che indicava criteri e principi di carattere generale ma, in quanto linea guida, non certificabile.
La norma ISO 37301 fornisce i requisiti a cui un'organizzazione, operante nel settore pubblico o privato, deve attenersi per implementare, valutare, mantenere e migliorare un sistema di gestione per la compliance aziendale e si qualifica come standard certificabile.
La norma ISO 37301 rappresenta l'opportunità per rivedere i propri assetti organizzativi e di Governance, adottando una funzione centralizzata e rafforzando i presidi di Compliance aziendale in un'ottica nuova. -

- La ISO 37002 fornisce le "linee guida per l'attuazione, l'implementazione, la gestione, la valutazione, la manutenzione e il miglioramento di un solido ed efficace sistema di gestione del whistleblowing nell'ambito di un'organizzazione".
Lo standard internazionale non sarà specifico per settore e potrà essere utilizzato in organizzazioni di qualsiasi dimensione, dalle PMI alle multinazionali.
Lo standard ISO 37002 si basa sui principi di fiducia, imparzialità e tutela ed è finalizzato a fornire alle organizzazioni direttive su come gestire l'intero ciclo del whistleblowing.

____


*A cura dell'Avv. Vincenzo Renna – Partner 24 ORE Avvocati



[1] V. Renna "ISO 37001 la nuova frontiera dell'anticorruzione" in Amministrativ@mente n. 11/12 anno 2018 http://www.amministrativamente.com
[2] Treccani, ISO Sigla di International Standards Organization, organizzazione internazionale non governativa con sede a Ginevra. Fondata nel 1946, persegue lo sviluppo della standardizzazione, stabilendo norme comuni per la costruzione dei manufatti e per le caratteristiche qualitative delle merci, al fine di agevolare gli scambi internazionali di beni e servizi e la mutua cooperazione in campo economico, culturale, scientifico e tecnologico. Aderiscono all'ISO gli enti per la normazione nazionale, come l'UNI italiano. Dati i numerosi settori nei quali esplica attività, l'ISO conta molti comitati di esperti, i cui membri sono nominati su segnalazione degli organismi nazionali associati. Esulano dalle sue competenze solo i settori elettrico ed elettronico, che fanno capo all'IEC (International Electrotechnical Commission). L'ISO gode di status consultivo presso l'UNESCO e presso diverse organizzazioni specializzate dell'ONU.
[3] Si parla di politica ambientale nell'ipotesi dello standard ISO 14001 Sistema di gestione ambientale, di politica della sicurezza sui luoghi di lavoro nell'ipotesi dello standard ISO 45001, di politica anticorruzione nell'ipotesi dello standard ISO 37001 e cosi via.
[4] Regola delle 5 W: WHO – CHI – Quali sono i soggetti, gli stakeholder, i protagonisti, i decisori, i clienti, i responsabili? WHAT – CHE COSA – Che cosa si deve fare, è stato fatto, si deve dare o prendere? WHEN – QUANDO – Quando è avvenuto o dovrà avvenire l'evento? Si dovrà consegnare il prodotto o completare il progetto? WHERE – DOVE – Qual è il territorio, lo spazio, l'ambito in cui ci si muove? Dove siamo, da dove partiamo, dove andiamo? Dove sono gli altri? Dove vanno fatte o consegnate le cose? WHY – PERCHE' – Qual è lo scopo, la finalità di ciò che si dice, si fa, si vuole? Che cosa si vuole ottenere?
[5] Metodo PDCA c.d. ciclo di Deming - Il PDCA è un metodo per coordinare gli sforzi al fine di un continuo miglioramento nel ciclo dei processi aziendali. Questo non enfatizza solo come i programmi di miglioramento debbano iniziare attraverso una meticolosa pianificazione, ma pensa anche ai risultati delle azioni per poi applicare questi feedback allo stadio di pianificazione verso un perfetto ciclo di miglioramento.
P= PLAN = Pianificazione
Definisce cosa si desidera raggiungere, pianifica quali esigenze debbano esser svolte, stabilisce i target, fissa i metodi che permettono il raggiungimento degli obiettivi proposti.
D=DO=Fare
Mette in pratica le azioni, educa, forma, implementa, mette in atto i piani basati sugli obiettivi scelti e definisce i metodi da applicare.
C=CHECK=Controlla
Controlla i risultati delle azioni svolte, verifica costantemente se i progetti e i compiti sono stati portati a termine in accordo con le misure pianificate e implementate.
A=ACT=Agire
Effettua tutte le correzioni necessarie ai processi, mettendo in atto le azioni correttive o migliorando in caso qualche fattore sia emerso dalle azioni preventivate, in modo che i processi possano essere corretti o addirittura migliorati.
[6] Il testo unico sulla sicurezza sui luoghi di lavoro la definisce una fonte "la cui osservanza non sia obbligatoria" (art. 2 c. 1 lett. u) D.Lgs.81/08).
[7] A. Guardavilla, "Norme tecniche valore giuridico e vincolatività" in PuntoSicuro www.puntosicuro.it
[ 8] Colpa specifica quale inosservanza di leggi, regolamenti, ordini o discipline (art. 43 c.p.).
[9] L'attività di risk assessment che accomuna i vari sistemi di gestione della compliance prevede tra le altre: la individuazione dei principali processi per aree aziendali;la mappatura e identificazione dei rischi la valutazione qualitativa o quantitativa del rischio (risk scoring).L'assessment è sempre propedeutico al ‘modello organizzativo' da adottare all'interno della propria organizzazione e consente di predisporre idonee procedure, azioni e presidi atti a contenere il rischio ad un livello di ‘accettabilità'.
[10] I contenuti dell'ISO 37001 riflettono i migliori principi e linee guida già esistenti a livello internazionale "ISO 37001 builds on guidance from various organizations, such as the International Chamber of Commerce, the Organisation for Economic Cooperation and Development", l'obiettivo della norma tecnica è quello: 1) Fornire i requisiti e una guida uniforme, che riflettano la "international good practice" e siano utilizzabili in qualsiasi giudisdizione "in all jurisdictions" "An ISO International Standard represents a global consensus on the state of the art in the subject of that standard";2) Consentire la certificazione attraverso un organismo accreditato "Certification can be a useful tool to add credibility, by demonstrating that your product or service meets the expectations of your customers. For some industries, certification is a legal or contractual requirement";3) Diventare un parametro di adeguatezza in tutti i numerosi Paesi (come Italia, U.K., Spagna, Brasile, ecc.) dove la normativa prevede l'adozione di idonei sistemi di prevenzione della corruzione (es. Modello 231 in Italia, "adequate procedures" in U.K., ecc.).
[11] Il «whistleblowing» è un sistema di segnalazioni di violazioni, da parte del dipendente di un'organizzazione pubblica o privata o di un terzo interessato, che intende denunciare atti corruttivi o irregolarità di cui sia venuto a conoscenza, utilizzando canali sicuri e indipendenti per tutelare la propria identità, essendo messi al riparo da eventuali ritorsioni e discriminazioni, conseguenti alla segnalazione. L'istituto è disciplinato dalla Legge 30 novembre 2017, n. 179 «Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato». L'istituto è previsto, altresì, dall'art. 6, comma 2-bis, 2-ter e 2-quater del D.lgs. 231/01. L'istituto è stato attinto dalla normativa comunitaria, Direttiva (UE) 2019/1937 del Parlamento Europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione, recepita dalla legge 22 aprile 2021, n. 53, Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea (Legge di delegazione europea 2019-2020. (21G00063) - GU Serie Generale n.97 del 23-04-2021 entrata in vigore l'8/5/2021).].La ISO 37001:16 come, del resto, gli altri sistemi di gestione secondo lo standard "ISO" si distingue dal sistema "Severino" e dal sistema "231" per la caratteristica propria di tali standard relativa alla "Certificazione da parte di un Ente terzo – Organismo di certificazione accreditato e sottoposto alla vigilanza di un Authority: Accredia". Va anche detto che il limite, astrattamente ascrivibile al sistema di gestione "231", della sostanziale autoreferenzialità - che rimanda all'eventuale sindacato giurisdizionale la valutazione circa l'idoneità del sistema ad escludere la punibilità del fatto di reato nei confronti dell'ente nel cui interesse e vantaggio è stato commesso -, è parzialmente mitigato dalla procedura di attribuzione del Rating di Legalità da parte dell'Autorità Garante della Concorrenza dei Mercati (AGCM)[ V. Renna "La cosiddetta "certificazione etica può costituire un requisito di accreditamento per la selezione dei contraenti della P.A?" in Amministrativ@mente n. 1-2/2015


Per saperne di piùRiproduzione riservata ©