Sistemi di gestione

Il sistema, per garantire la compliance alla normativa e al contempo il monitoraggio e il controllo dei rischi, si esprime in una rete di presidi (risorse, tecnologie, strumenti e competenze), in parte interconnessi fra loro a seconda degli obiettivi/rischi presidiati, e volti ad assicurare il raggiungimento degli obiettivi di controllo. 

L’evoluzione del contesto concorrenziale nei mercati in cui opera il gruppo Acea richiede una crescente attenzione al tema della conformità al diritto antitrust e alla normativa relativa alla tutela del consumatore.

Acea ritiene che la tutela della concorrenza e dei consumatori sia un valore fondante dell’attività di impresa e persegue i propri obiettivi nel rispetto delle regole che disciplinano il mercato. Coerentemente con i principi del Codice Etico, il Gruppo si astiene in particolare da pratiche collusive e abusive, e più in generale da pratiche che possano turbare il corretto funzionamento dei meccanismi di mercato e comportare un danno per i consumatori.
Acea ha quindi adottato uno specifico “Programma di Compliance Antitrust”, con l’obiettivo sia di rafforzare i presidi interni volti ad assicurare la conformità alla normativa a tutela del mercato e del consumatore, sia di favorire lo sviluppo di una cultura d’impresa orientata al rispetto dei valori del libero mercato e della concorrenza leale.
In questo ambito, il 13 dicembre 2018 il Consiglio di Amministrazione di Acea Spa ha approvato:

•  il “Manuale di Conformità alla Normativa Antitrust e Tutela del Consumatore”, che ripercorre i principali elementi della normativa e reca una serie di regole di comportamento che tutte le persone di Acea sono tenute a osservare nello svolgimento delle proprie attività;
•  il “Regolamento Organizzativo Compliance Antitrust e Pratiche Commerciali Scorrette”, che definisce l’organizzazione aziendale ai fini dell’efficace attuazione del Programma di Compliance.

Il programma di compliance, attuato in ogni società del Gruppo sotto la responsabilità del Referente Antitrust di Società, prevede una serie di attività, fra le quali:

• mappatura e identificazione delle aree di attività, delle strutture e dei processi aziendali potenzialmente esposti a un rischio Antitrust
  
• identificazione e valutazione del rischio
• definizione di sistemi di gestione dei processi a maggior rischio antitrust
• sessioni formative e di aggiornamento del personale
  
• monitoraggio costante e aggiornamento periodico del programma

I Referenti Antitrust di Società, responsabili ciascuno, nell’ambito della propria società, dell’attuazione e implementazione del Programma di Compliance Antitrust, operano, a tal fine, in stretto coordinamento con il Referente Antitrust di Holding e ricevono specifica formazione e supporto.

Modello di governance della Privacy

Alla luce dell' entrata in vigore del Regolamento europeo 679/2016 sulla protezione dei dati personali ("GDPR") lo scorso 25 maggio 2018 e della normativa italiana di recepimento (D.lgs. 101/2018 che modifica e integra il D.lgs. 196/03) intervenuta successivamente solo nel mese di settembre 2018, Acea ha avviato un programma di adeguamento al fine di individuare – in una logica di priorità su processi core - le attività da compiere per raggiungere il più alto livello di conformità possibile e, per il medesimo fine, di dotarsi di un Modello di Governance Privacy coerente, integrabile e funzionale al sistema di controllo interno già in atto.

È stato nominato un Responsabile della Protezione dei Dati (DPO) a livello di Gruppo, supportato da una struttura ad hoc (DPO Office), raggiungibile all’indirizzo privacy@aceaspa.it. Sono stati individuati inoltre alcuni soggetti, i “presidi privacy”, che fungono da punti di riferimento interni e da raccordo con il DPO Office.

Il programma di adeguamento lanciato, e in corso di affinamento, ha integrato molteplici iniziative e attività, fra le quali:

• mappatura dei processi aziendali
• redazione del Registro dei trattamenti
• definizione di un modello di analisi e valutazione dei rischi annessi ai trattamenti mappati all’interno del registro, a sostrato della metodologia e realizzazione di un primo battente di DPIA (Data Protection Impact Assessment) per i trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone fisiche
• diffusione delle istruzioni sul trattamento dei dati personali gestiti ai Process Owner e alle persone autorizzate
• implementazione di procedure standardizzate per la gestione di richieste degli interessati
• individuazione delle responsabilità ed emanazione delle procedure/istruzioni operative per la gestione di eventuali Data Breach
• definizione di strumenti e procedure per la corretta gestione dei rapporti con le terze parti e i ruoli, adempimenti e responsabilità connesse
• definizione a livello centrale di una libreria estesa di Misure di Sicurezza Tecniche e Organizzative applicabili – in varie combinazioni – a tutti i trattamenti di dati personali che si svolgono nella Società e nel gruppo
• attività di indirizzo e supporto alla piena attuazione dei principi data protection by design e by default;
  
• attività di sensibilizzazione e formazione del personale
• revisione e aggiornamento alla normativa data protection della documentazione legale, informativa e gestione dei consensi al trattamento dei dati personali
  
• approvazione di un corpus procedurale di indirizzo (Linee guida/policy) e operativo (istruzioni) a disposizione della popolazione aziendale.

Nel 2020, il Modello è stato testato, rivisto e arricchito di strumenti metodologici di analisi e valutazione dei rischi e ne è stato accompagnato il roll out nelle società controllate. I trattamenti ritenuti potenzialmente a elevato rischio per i diritti e le libertà delle persone fisiche sono stati assoggettati a Data Protection Impact Assessment. Inoltre, è sempre più capillare l’intervento in analisi, definizione e verifica delle condizioni di affidamento a terzi di attività che comportano anche trattamento di dati personali
 

Sistemi di gestione QASE

Per la sostenibilità delle proprie attività, Acea riconosce fondamentale i valori seguenti:

• promozione della cultura della qualità
• rispetto dell’ambiente e salvaguardia degli ecosistemi
• valorizzazione delle persone
• sicurezza sui luoghi di lavoro
• controllo e prevenzione delle infezioni
  
• gestione efficiente delle risorse
• valutazione dei rischi
• gestione responsabile degli impatti economici, sociali e ambientali
• dialogo con le parti interessate
• promozione della sostenibilità nella catena del valore

Per questo, a novembre 2020 il vertice di Acea ha approvato la nuova Politica dei Sistemi di Gestione e di Sostenibilità, che declina i principi, i valori e gli impegni presi dall’azienda, inquadrandoli nella cornice del perseguimento di uno sviluppo sostenibile. Questa politica è parte integrante dei Sistemi di gestione conformi alle norme ISO 9001, ISO 14001, ISO 45001 e ISO 50001. A ottobre 2020 l’Amministratore Delegato ha approvato la nuova politica di controllo e prevenzione delle infezioni in seguito alla scelta di ottenere la certificazione per il sistema di gestione per la prevenzione delle infezioni (Biosafety Trust Certification).

Per fare in modo che i sistemi di gestione siano sempre in linea con i mutamenti del contesto interno ed esterno Acea analizza il contesto e le aspettative dei propri stakeholder.

La gestione della qualità, dell’ambiente, della sicurezza e dell’energia sono aspetti centrali nelle politiche aziendali, come conferma il numero di società del Gruppo che hanno implementato i sistemi di gestione integrati certificati.