Accanto alle norme giuridiche prescrittive che esprimono divieti, impongono comportamenti o sanzionano condotte, in materia di compliance l’ordinamento europeo e quello italiano hanno adottato
– “norme-contenitore”, un perimetro di principi generali, liberando uno
– spazio di autonomia per le imprese nel definire i propri processi interni.
Esempi:
– Il d.lgs. 231/2001 impone di adottare ed attuare, prima della commissione del fatto-reato, modelli di organizzazione e di gestione idonei a prevenirlo.
– Il d.lgs. 231/2007 esige procedure e controlli adeguati alla natura e dimensione dell’obbligato per gestire rischi di riciclaggio e finanziamento del terrorismo.
– Con le linee guida sulla compliance antitrust va adottato un programma di prevenzione degli illeciti adeguato alla natura, dimensione e posizione dell’impresa nel mercato.
– Il regime di adempimento collaborativo fra contribuente ed amministrazione finanziaria (d.lgs. 128/2015) presuppone un sistema di gestione e controllo del rischio fiscale inserito nel governo aziendale e controllo interno.
– Il Regolamento (UE) 2016/679 prescrive misure tecnico/organizzative adeguate per assicurare la conformità del trattamento dei dati alla normativa, scolpendo il concetto di responsabilizzazione (“accountability”), ossia autonomia in modalità, garanzie e limiti del trattamento dei dati personali.
– La direttiva (UE) 2024/1760 (“CSDD”) richiede agli Stati Membri di far sì che le imprese integrino doveri di diligenza in materia di diritti umani ed ambiente e misure adeguate per individuare, valutare, mitigare ed arrestare gli impatti negativi causati dalla propria attività, anche attraverso la filiera.
– Il Regolamento (UE) 2023/1115 richiede l’adozione di un sistema di dovuta diligenza per garantire che determinati prodotti non siano causa di deforestazione.
– La Direttiva NIS2 (UE) 2022/2555 obbliga gli Stati Membri a far sì che i soggetti essenziali ed importanti adottino misure tecniche, operative ed organizzative adeguate e proporzionate per gestire i rischi di cybersicurezza.
– Il Regolamento (UE) 2024/1689 prescrive che per i sistemi AI ad alto rischio siano istituiti, mantenuti ed alimentati presidi di gestione dei rischi, dei dati di addestramento, della qualità, trasparenza e sorveglianza umana, conservazione della documentazione e altre misure a tutela della cybersicurezza o dei dati personali.
– Quelli fin qui sorvolati sono “contenitori”, indicano principi ma lasciano alle imprese autonomia sui singoli contenuti, su valutazioni, modelli organizzativi, procedure ed auto-limiti alla propria attività.
Questi principi ruotano attorno agli stessi perni di idoneità, adeguatezza, prevenzione e dovere di diligenza.
– Responsabilizzazione dell’impresa dinanzi ai rischi.
Identità.
In questa trama normativa si può rinvenire un criterio che riconduca le attività di compliance ad unità, a sistema?
Integrare e consolidare.
