RELAZIONE ANNUALE 2013 ESTRATTO

Transcript

1 RELAZIONE ANNUALE 2013 ESTRATTO 1

2 1. Premessa Con la presente relazione, l OdV (OdV), istituito dall ATER di Pescara in applicazione di quanto previsto dall art. 6 del Dlgs. 231/2001, intende informare circa l andamento, gli spunti e gli esiti delle attività svolte nel corso del In tal modo adempie al preciso obbligo previsto dall art. 4, c. 2, della L.R. 15/2011, a seguito della quale è stata imposta all ATER l adozione di modelli organizzativi di gestione e controllo di cui agli articoli 6 e 7 del D.Lgs n. 231/01, che prevedono, in relazione alla natura dei servizi e delle attività svolte ed alla dimensione dell organizzazione, misure idonee a garantire lo svolgimento della propria attività nel rispetto della legalità, della eticità e della trasparenza, nonché a scoprire ed eliminare preventivamente e tempestivamente eventuali situazioni a rischio. L Organo di Vigilanza agisce in piena autonomia e indipendenza ed è deputato a vigilare sulla corretta esecuzione degli Impegni. Di propria iniziativa o su segnalazione di terzi, procede alla verifica della loro eventuale violazione, comunicandola alla Regione, al Collegio Sindacale ed all Amministratore, con le modalità e i tempi previsti dal proprio Regolamento, acquisendo le informazioni e i dati necessari allo svolgimento delle proprie funzioni presso tutte le strutture dell Ente coinvolte nel processo. Il Collegio si riunisce almeno una volta ogni 2 mesi ed è tenuto ad inviare ai soggetti suindicati, con cadenza annuale, una relazione sulle attività svolte, con riferimento in particolare alle segnalazioni di anomalie e inadeguatezze riscontrate, alle eventuali attività istruttorie avviate, e ai casi di attivazioni di servizi non richiesti. L OdV ha l obbligo di documentare l attività di ispezione, di controllo, di vigilanza, e deve riferire annualmente, con relazione scritta, all Amministratore sullo stato di attuazione e di effettività del Modello, 2

3 proponendo, ove necessario, modificazioni, adattamenti ed integrazioni. Tale informativa viene altresì trasmessa al Collegio Sindacale. L Organo di Vigilanza è supportato nella sua attività dal Dott. Francesco Paci e ritiene necessario disporre di un budget annuale autonomo, nei limiti della dotazione finanziaria assegnata da Ater Pescara; tale budget, allo stato, non è stato ancora costituito ma verrà previsto in relazione alla programmazione L Organo di vigilanza svolge una funzione di verifica circa la corretta esecuzione dei dettami degli impegni e adotta, nello svolgimento delle proprie funzioni, Determinazioni e Raccomandazioni atte a stimolare una più corretta osservazione degli stessi da parte di Ater Pescara. Riceve, inoltre, i reclami degli operatori in merito a presunte violazioni da parte di Ater Pescara, inviando una segnalazione alla Regione ed al Collegio Sindacale, qualora quest ultima non abbia provveduto, nei tempi e modi previsti, a porre rimedio alle violazioni accertate. Conformemente agli obblighi di trasparenza sanciti dall articolo 4 del Regolamento, è stato creato uno specifico indirizzo mail dell Organo di vigilanza (odv@aterpescara.it), disponibile attraverso il sito istituzionale dell ente; è stato anche pubblicato il modello sempre sul sito istituzionale attraverso il quale tutti gli interessati possono accedere alle informazioni relative: i) al ruolo e al mandato; ii) alla composizione del Collegio; iii) alle procedure e modalità di segnalazione e trattazione dei reclami; iv) al contenuto delle Determinazioni e delle Raccomandazioni. Oltre al materiale documentale appena illustrato, è stata, altresì, riscontrata la continuità delle attività di formazione del personale di Ater Pescara sui temi degli impegni e, più in generale, delle attività da effettuare. L Organo di vigilanza ha avuto anche modo di seguire tramite i colloqui con i singoli dipendenti la specifica della ripartizione del lavoro di ciascuno 3

4 unitamente all esibizione della documentazione relativa; ha, inoltre, posto attenzione all area tecnica ed alla gestione dei dati sensibili. A tal riguardo, l Organo di vigilanza ha invitato più volte i responsabili di servizio a riconsiderare il processo di pianificazione degli interventi di ordinaria e straordinaria manutenzione, arricchendo con ulteriori dettagli le informazioni recate nei protocolli fino a quel punto utilizzati ciò nell ottica di favorire quanto più possibile lo sviluppo della produttività aziendale e la massima trasparenza delle informazioni. Nel corso dell anno, l Organo di Vigilanza ha avuto regolari incontri con i dipendenti, finalizzati all esame ed individuazione delle attività da sviluppare congiuntamente per evitare violazioni. Sono poi proseguiti gli incontri per approfondire taluni argomenti relativi alle diverse problematiche riscontrate, oltre gli scambi di corrispondenza connessi alle istruttorie in corso. Nel 2013 l Organo di Vigilanza ha posto particolare attenzione alla tutela dei principi di trasparenza delle informazioni e, più in generale, focalizzato le attività di verifica su quei temi ed argomenti apparsi prioritari sulla base dei riscontri avuti dai dipendenti. La presente relazione, in aderenza al Modello di organizzazione, gestione e controllo dell ente, affronterà i seguenti argomenti: a) L attività svolta b) Le eventuali criticità rilevate c) Gli interventi migliorativi suggeriti d) Le novità normative rispetto al modello approvato. La presente relazione annuale 2013 è stata approvata nella seduta dell'odv del 18/02/

5 2. L attività svolta A norma del Modello di Governance ed in attuazione del Regolamento OdV approvato in sede di riunione Odv del , allo scopo di esercitare al meglio le funzioni ispettive e di controllo, sul piano organizzativo ed operativo, l OdV deve riunirsi almeno una volta ogni tre mesi, salva l esistenza di situazioni di eccezionalità ed urgenza che impongono convocazioni immediate (v. pagg.40 del MG e pag.1 del Regolamento). Pertanto, si riporta, nel prosieguo, l elenco delle riunioni svolte con l oggetto ed in allegato copia dei relativi verbali numerati: 6. 18/02/2013 _ esame del documento di relazione annuale; colloquio con DIPENDENTE; programmazione e calendarizzazione dei successivi adempimenti con attribuzione dei compiti fra i membri dell ODV in ragione delle specifiche competenze /04/2013 _ esame del documento di relazione programmatica; colloquio con DIPENDENTE; esame e valutazione delle schede di rilevazione ed eventuali proposte da inviare agli organi dell Ente /05/2013 _ colloquio con il DIPENDENTE; esame e valutazione delle risposte alle schede di rilevazione ed eventuali proposte da inviare agli organi dell ente; verifica ed eventuali comunicazioni da e per l ODV con il Collegio Sindacale /07/2013 _ colloquio con DIPENDENTE; esame valutazione delle schede di rilevazione ed eventuali proposte da inviare agli organi dell ente /09/2013 _ colloquio con il DIPENDENTE; esame valutazione delle schede di rilevazione ed eventuali proposte da inviare agli organi dell ente; verifica flussi ODV. 5

6 11. 23/10/2013 _ colloquio con I DIPENDENTI; esame e valutazione delle schede di rilevazione ed eventuali proposte da inviare agli organi dell ente; verifica ed eventuali proposte da inviare agli organi dell Ente /11/2013 _ colloquio con I DIPENDENTI; esame e valutazione delle schede di rilevazione. **** Sotto il profilo metodologico, l OdV ha individuato nella matrice delle aree di rischio, che costituisce parte integrante del Modello Organizzativo adottato, il punto da cui partire per individuare gli aspetti da tenere sotto controllo in via prioritaria. Infatti, tale matrice identifica le aree ritenute a maggior rischio di violazione, per cui danno un preciso orientamento all Azienda in merito alle azioni di miglioramento da svolgere. Nel contempo, l OdV nel primo anno di attività ha ritenuto opportuno confrontarsi con tutti i dipendenti, in maniera da avere una panoramica completa del contesto in cui è chiamato ad operare. Con questo tipo di approccio, nel corso dell anno l OdV ha intervistato i dipendenti dell ATER come risultante dai verbali, al fine di svolgere l esame ed individuazione delle attività da sviluppare congiuntamente per evitare violazioni. Sono poi proseguiti gli incontri per approfondire taluni argomenti relativi alle diverse problematiche riscontrate, oltre gli scambi di corrispondenza connessi alle istruttorie in corso. 6

7 Attraverso i suindicati incontri con i/le responsabili delle Aree/Uffici, l'odv ha potuto verificare ed approfondire il reale grado di comprensione del Modello di Governance. Negli incontri sopra citati, l'odv ha verificato con i/le Responsabili di Area/Ufficio che il Modello di Governance fosse stato predisposto (nel corso del 2012 con l'attività di mappatura iniziale e di definizione dei processi) attraverso un percorso personalizzato e che i processi definiti fossero adatti e realmente applicabili al contesto operativo della società Ater. Nel 2013 l OdV ha posto particolare attenzione alla tutela dei principi di trasparenza delle informazioni e, più in generale, ha focalizzato le attività di verifica su quei temi ed argomenti apparsi prioritari sulla base dei riscontri avuti dai dipendenti. 3. Gli interventi migliorativi suggeriti A fronte del secondo anno di concreta applicazione sembra necessaria un'attività di adeguamento del Modello di Governance per renderlo maggiormente aderente alla realtà della società Ater ed in linea con quanto la recente dottrina e giurisprudenza ipotizzano per l'applicazione del D.Lgs. n.231/01. Si suggerisce un rafforzamento/affinamento della diffusione di conoscenza e informazioni del Mod. 231 con la predisposizione di un modulo di presa visione ed adesione degli argomenti sopra trattati che ciascun responsabile di servizio dovrà fornire ai propri sottoposti. Tale documentazione dei singoli, previa segnatura al protocollo generale, dovrà essere depositata nell archivio dell ODV in apposito fascicolo che sarà attivato con il primo deposito. Oltre che in fase di prima presa visione, i soggetti interessati procederanno alla emissione di nuovo modulo ogni qualvolta vi siano modifiche o aggiornamenti relativi allo specifico settore e reiterata la procedura. 7

8 Si suggerisce la integrale applicazione dei dettami delle vigenti normative atte a garantire la corretta gestione dei dati sensibili, rimandando alla responsabilità individuale di tutti i soggetti, secondo organigramma gerarchico e comunque quali operatori edotti sugli effetti delle conseguenze di eventuali trasgressioni. Quanto alla corretta conservazione e/o gestione dei dati sensibili informatizzati. Si suggerisce di comunicare formalmente ai dipendenti, a cura del responsabile di area con nota informativa protocollata e resa per ricevuta, l obbligo di sostituire le password secondo le tempistiche di legge e istituire, ove tecnicamente possibile, un data base contenente la cronologia, stampabile, in cui vengano registrate le movimentazioni relative al cambiamento delle password per ciascun utilizzatore dei sistemi informatici. In merito al regolare utilizzo di software finalizzati allo svolgimento delle attività aziendali. Risulta opportuna la costituzione di un elenco, a cura del responsabile di area, di software open source di possibile utilizzo per le attività aziendali. I dipendenti, in caso di necessità di utilizzo di nuovi software oltre quelli regolarmente licenziati, dovranno servirsi di quelli presenti nell elenco. Oltre all emissione a cadenza almeno annuale di circolare in cui si invitano i dipendenti a comunicare eventuali nuove installazioni di software, anche nel caso di prodotti di libero utilizzo. È opportuno che il personale sottoscriva una presa d atto, su base documentale comune, di quali siano i propri rapporti di ruolo all interno della propria area di appartenenza e in relazione ai vari servizi aziendali, formulando un organigramma congruente con le assegnazioni da mansionario e contrattuali. In merito all accesso ai dati informatici. È opportuno che vengano individuati i soggetti deputati ad ogni singola mansione concorrente all evasione dei processi e costituito un sistema di tracciabilità. 8

9 Per le modalità di accesso ai locali e agli archivi. Si suggerisce di individuare un soggetto responsabile deputato alla custodia, che siano individuati altri soggetti abilitati all apertura delle porte d entrata ai piani e all accesso al deposito chiavi di riserva. 4. le novità normative rispetto al modello approvato. La legge di conversione 15 ottobre 2013, n. 119 (contenente Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province ) ha soppresso il comma 2 dell art. 9 del d.l. 14 agosto 2013, n. 93, che inseriva tra i reati-presupposto elencati dall'art. 24 bis del d.lgs. n. 231/2001 la frode informatica aggravata dalla sostituzione dell'identità digitale, l indebito utilizzo, la falsificazione, alterazione e ricettazione di carte di credito o di pagamento di cui all'art. 55 comma 9 del d. lgs. n. 231/2007, nonché i delitti in materia di violazione della privacy previsti dal d. lgs. n. 196/2003 (cioè le fattispecie di trattamento illecito dei dati, di falsità nelle dichiarazioni notificazioni al Garante e di inosservanza dei provvedimenti del Garante). Limitatamente alle norme soppresse, il decreto ha perso efficacia sin dall inizio; di conseguenza, vive il testo dell art. 24 bis d.lgs. n. 231/2001 precedente all entrata in vigore del d.l. n. 93/2013, mentre il delitto di frode informatica (art. 640 ter c.p.), se commesso in danno dello Stato o di un ente pubblico, continua ad essere previsto dall art. 24 d.lgs. n. 231/2001. Il comma 2 dell'articolo 9 del Dl 93/2013 è stato soppresso dalla legge di conversione 119/2013; le disposizioni prevedevano l'ingresso tra i "reati presupposto" inclusi nel Dlgs 231/2001 anche dei delitti in materia di privacy (non le contravvenzioni), tra cui il trattamento illecito dei dati e le false comunicazioni al Garante. I delitti in materia di privacy dunque non ingrossano le fattispecie penali attualmente previste dalla normativa sulla responsabilità amministrativa delle 9

10 persone giuridiche per fatto di dipendenti e amministratori, tra le quali, lo ricordiamo, spiccano i diversi reati ambientali introdotti nel Dlgs 231/2001 dal Dlgs 121/2011 Durante l iter di conversione in legge del predetto decreto già le Commissioni riunite Affari costituzionali e giustizia della Camera approvavano l emendamento - sollecitato altresì dal Presidente di Confindustria - volto ad eliminare dal testo definitivo dell articolato normativo il comma 2 dell art. 9. In data 9 ottobre, la Camera approvava il disegno di legge di conversione n A, contenente il testo emendato. Il disegno di legge, così come approvato dalla Camera, è stato poi definitivamente approvato dal Senato con l atto n dell 11 ottobre scorso. Pertanto, dal testo ultimo approvato dal Parlamento, sfociato nella legge di conversione n. 119 del 2013, pubblicata sulla G.U. n. 242 del 15 ottobre 2013, è stato eliminato l art. 9, comma 2: ne deriva che i reati di frode informatica, indebito utilizzo e falsificazione di carte di credito, nonché i temuti delitti in materia di privacy, sono stati esclusi dai reati che fanno scattare la responsabilità penale delle imprese, ai sensi del D.Lgs. n. 231/ Eventuali violazioni del modello Dalle attività dell'odv e dalle informazioni pervenute non sono emerse, nel corso del 2013, violazioni del Modello di Governance adottato. Non sono emerse, altresì, attività relative alla possibile commissione di reati. 6. Giudizio finale In via di estrema sintesi, il rispetto del Modello di Governance ed il complessivo operato della Azienda, dei dipendenti e dei collaboratori è risultato mediamente in linea con le esigenze previste dal Modello stesso. 10

11 Si segnala tuttavia che l Azienda non si è mostrata particolarmente dinamica sul fronte dell adeguamento e aggiornamento del modello al fine di ridurre i rischi di reato. Infatti non risulta aver intrapreso modifiche organizzative volte ad affrontare le criticità sollevate dall OdV o già ben evidenziate nella mappatura dei rischi effettuata in sede di adozione del Modello. Pertanto, se da una parte si esprime un giudizio positivo circa il rispetto del Modello esistente, dall altra si sprona l Azienda a proseguire nel percorso virtuoso intrapreso, riflettendo sui suggerimenti offerti dall OdV e ridefinendo la propria organizzazione in maniera da ridurre i fattori di criticità. 11