Avv. Fabrizio Arossa ORGANISMO DI VIGILANZA (D.LGS 231/01) ED ESIGENZE DI COMPLIANCE INTEGRATA.

Avv. Fabrizio Arossa

ORGANISMO DI VIGILANZA (D.LGS 231/01) ED ESIGENZE DI COMPLIANCE INTEGRATA

INDICE – CONTENUTI DELL’INTERVENTO

VERSO UNA GOVERNANCE EFFICIENTE: LA COMPLIANCE INTEGRATA LA PROLIFERAZIONE DEI CONTROLLI INTERNI E DEGLI ATTORI DELLA

COMPLIANCE: nelle società di diritto comune nelle società con azioni quotate nelle banche, assicurazioni ed altri intermediari finanziari nei gruppi internazionali

IPOTESI DI SEMPLIFICAZIONE E RAZIONALIZZAZIONE DEI CONTROLLI INTERNI

Ruolo dell’OdV affidato ad organi sociali/altre funzioni Definizione e demarcazione di ruoli e competenze Coordinamento e rapporti tra gli attori del sistema

MODELLI 231 E GRUPPI DI SOCIETA’ Estensione di responsabilità a controllante/altra società del gruppo Quanti e quali OdV nelle singole società del gruppo Coordinamento con altri compliance programs e altre indagini

IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’ DI ESERCIZIO E VINCOLI NORMATIVI

LA PROLIFERAZIONE (IL “RETICOLO”) DEI CONTROLLI INTERNI

LA NOZIONE DI CONTROLLO (NON IN SENSO PROPRIETARIO): il controllo sul merito della gestione il controllo sull’adeguatezza degli assetti organizzativi il controllo sul rispetto dei principi di corretta amministrazione il controllo di gestione e la revisione interna (internal audit) il controllo dei rischi operativi il controllo di legalità il controllo dei conti il controllo sulla adeguatezza (e la verifica) sul rispetto effettivo delle

procedure amministrative e contabili e delle altre procedure interne il controllo sul funzionamento e l’osservanza del Modello 231 (e delle

procedure di prevenzione dei reati – presupposto) i controlli in materia di salute e sicurezza sul lavoro gli altri controlli strumentali a specifici fini (es. anti-riciclaggio, Sarbanes-

Oxley, FCPA, etc.)

LA PROLIFERAZIONE DEGLI ATTORI DEI CONTROLLI INTERNI

NELLE SOCIETA’ DI DIRITTO COMUNE: Il CdA è oggi principalmente un organo di indirizzo e “sorveglianza” (con

particolare riferimento agli amministratori non esecutivi), che valuta “l’adeguatezza dell’assetto organizzativo”

Ad esso si affianca l’organo di “controllo” (Collegio Sindacale, consiglio di sorveglianza o comitato per il controllo sulla gestione), che “vigila” sull’adeguatezza dell’assetto. Organo sconosciuto agli altri ordinamenti (salvo, con connotati differenti, il Giappone e il Brasile)

All’interno della società, sono normalmente presenti le funzioni aziendali di internal audit / controllo di gestione (e di risk management) con i relativi soggetti

Il controllo contabile è generalmente affidato al revisore esterno Salvo che non sussista il rischio di reati-presupposto, ci sarà un Organismo

di Vigilanza ex D. Lgs. 231/01 (che sia onere, ovvero obbligo, della società è dibattito accademico, posto il rischio di responsabilità civilistica degli amministratori che non ne dotino la società: Trib. Milano, 13/2/2008)

Sono già cinque i “livelli”di controllo interno (o del revisore)


NELLE SOCIETA’ QUOTATE, INOLTRE: Rappresentanza di “minoranza” e dei membri “indipendenti” nell’organo

amministrativo (o consiglio di sorveglianza) ex Art. 147-ter TUF. Il CdA perde i connotati che lo vedevano quale organo interamente espresso dai soci di controllo (in senso proprietario)

Vigilanza “rafforzata” dell’organo di controllo ex Artt. 149/151-ter TUF “Dirigente preposto” ai documenti contabili societari ex Art. 154-bis TUF Comitato per il controllo interno (audit committee, di ispirazione

angloamericana, là dove, tuttavia, non esiste il Collegio Sindacale – v. Final Rule della SEC), ex 8.C.3 Codice di Autodisciplina

Amministratore esecutivo incaricato di sovrintendere al controllo interno, ex 8.C.5 Codice di Autodisciplina

Responsabile dell’internal audit/preposto al controllo interno, ex Art. 150 TUF e Criteri 8.C.6/8.C.7 Codice di Autodisciplina

Altri tre livelli di controllo interno (oltre al controllo esterno del regolatore)


NEL SETTORE BANCARIO, ASSICURATIVO E DEGLI INTERMEDIARI FINANZIARI, INOLTRE: Istruzioni di vigilanza per le banche, Titolo IV, Capitolo 11. Banche devono porre

in essere soluzioni organizzative “ in grado di identificare, misurare e gestire adeguatamente tutti i rischi” e che “stabiliscano attività di controllo a ogni livello operativo e consentano l’univoca … individuazione di compiti e responsabilità”. Il rispetto della legge (compliance) è finalità del sistema di controllo; non può esservi gestione sana e prudente là dove non sia presidiato il rischio di fatti gravi

Report on Compliance and Compliance Functions in Banks (Comitato di Basilea, aprile 2005). Il “compliance risk” (“risk of legal or regulatory sanctions… or loss to reputation a bank may suffer as a result of its failure to comply with laws, regulations, rules, related self-regulatory organisations standards and codes of conduct”) come species del rischio operativo. La “compliance function” deve essere guidata da un “compliance officer/head of compliance”, indipendente da funzioni operative, dotata di congrue risorse e raccordata con le altre funzioni di controllo (risk management e internal audit)

Direttiva 2006/48/CE (recepita il 27/12/2006). Art. 22: ciascun ente creditizio deve essere “dotato di solidi dispositivi di governo societario, … di processi efficaci per l’identificazione, la gestione, la sorveglianza e la segnalazione dei rischi … e di adeguati meccanismi di controllo interno”

NEL SETTORE BANCARIO, ASSICURATIVO E DEGLI INTERMEDIARI FINANZIARI (SEGUE)

Circolare Bankitalia n. 263 del 27/12/2006 (nuove disposizioni di vigilanza prudenziale per le banche): “più stringenti presidi organizzativi in termini di meccanismi di governo societario e di processi per l’identificazione, la gestione e il controllo del rischio”

Disposizioni di vigilanza Bankitalia sulla funzione di conformità (compliance) del 10/7/2007: CdA condivide con il Collegio Sindacale la “supervisione complessiva del

sistema di gestione del rischio di non conformità alle norme”. Non delegabilità della politica generale di gestione dei rischi; delegabilità del controllo

Funzione di compliance, “parte integrante del sistema di controlli interni”, deve essere separata da funzioni operative, indipendente, con un responsabile (compliance officer) - interlocutore diretto delle Autorità di Vigilanza – e risorse quali/quantitativamente adeguate (culpa in eligendo del CdA/alta dirigenza)

A questi va garantito “l’accesso a tutte le attività della banca … nonché a qualsiasi informazione rilevante … anche attraverso il colloquio diretto con il personale”

NEL SETTORE BANCARIO, ASSICURATIVO E DEGLI INTERMEDIARI FINANZIARI (SEGUE)

Regolamento congiunto Banca d’Italia – Consob del 29/10/2007 (attuazione della disciplina MiFID): le “idonee disposizioni organizzative” e la gestione/controllo del rischio

Disposizioni di vigilanza Bankitalia in materia di organizzazione e governo societario delle banche del 4/3/2008: le disposizioni sull’organo di controllo nei diversi modelli amministrativi

La Circolare ISVAP n. 577/D del 30/12/2005 in materia di sistema dei controlli interno e gestione dei rischi: la trasposizione dei principi IAIS/CEIOPS

Il Regolamento ISVAP n. 20 del 26/3/2008: istituzione di una specifica funzione di compliance nelle imprese (oltre alle funzioni di internal audit e risk management)

Conclusione: pur temperato dal principio di proporzionalità, è prescritto normativamente un ulteriore soggetto/funzione di controllo interno, il compliance officer (che non si può identificare con l’internal audit, alla cui “verifica” è soggetto)

LA PROLIFERAZIONE DEI CONTROLLI INTERNI E DEI RELATIVI ATTORI

La segnalazione AGCM del 2 febbraio 2009 sulla “governance di banche e assicurazioni”: opportuni “radicali cambiamenti” nella governance (anche in relazione alla “figura ambigua del c.d. amministratore indipendente”)

Nei gruppi internazionali, si rendono necessari ulteriori controlli interni, ad esempio ai fini della legge Sarbanes.-Oxley o del Foreign Corrupt Practices Act. In quest’ultimo caso, le relative verifiche ed indagini sono affidate a soggetto indipendente, normalmente un consulente professionale esterno

LA MOLTIPLICAZIONE DELLE FUNZIONI DI CONTROLLO INTERNO E DEI SOGGETTI AD ESSE DEPUTATI COMPORTA:

rischi di sovrapposizione, duplicazione e inefficienze

conflitti negativi di competenza (specialmente nelle “aree grigie”)

esigenze di raccordo e coordinamento (rimesse all’autonomia delle imprese)

incremento di costi (senza certezza di correlati benefici)

netta prevalenza di controllori indiretti/di “secondo grado” (ovvero di verifica del corretto svolgimento di procedure e dell’adeguatezza di assetti/modelli) sui controlli diretti/ “di linea” (ovvero di ispezione “sul campo”): la “piramide rovesciata” [MONTALENTI]. Se i controlli diretti dovessero fallire, l’intero sistema dei controlli risulterebbe inefficace


MA IL SISTEMA DI CONTROLLO INTERNO E’ (O DEVE ESSERE) UNICO:

non ve ne è (né vi può esserne) uno per la revisione, uno per il Modello 231, uno per la Sarbanes-Oxley, etc.

dal COSO report del 1992, aggiornato nel 2004 (COSO-ERM), alla Direttiva 2006/43/CE, si incoraggia un approccio unitario ed una visione olistica del sistema di controllo interno, che deve essere integrato, coerente, armonizzato ed efficace

E’ POSSIBILE IPOTIZZARE UNA RAZIONALIZZAZIONE/SEMPLIFICAZIONE DEL SISTEMA, CHE NON FRUSTRI LO SCOPO ESIMENTE DEL MODELLO 231?


IPOTESI DI RAZIONALIZZAZIONE E SEMPLIFICAZIONE DEI CONTROLLI INTERNI IPOTESI 1: ACCORPAMENTO DI ALCUNI ORGANI/FUNZIONI DI CONTROLLO, CON

AFFIDAMENTO DEL RUOLO DI ODV AD UN ORGANO SOCIALE/FUNZIONE AZIENDALE GIA’ ESISTENTE E’ possibile affidare i compiti dell’OdV a un organo societario esistente (p.

es., collegio sindacale, audit committee, o comitato per il controllo sulla gestione)?

Secondo taluni, no: l’espressione «organismo dell’ente» non legittimerebbe l’identificazione dell’OdV con un organo societario, dovendosi propendere per un organismo distinto, ancorché formato anche con la partecipazione di componenti di organi societari, es. sindaci o amministratori indipendenti [MONTALENTI]

La tesi non convince. Intanto, la neutralità del termine impiegato (“organismo”) sembra lasciare aperta ogni opzione sull’affidamento delle funzioni di OdV ad un organo o a un ufficio dell’impresa [GARGARELLA MARTELLI, GALLETTI]. Inoltre, la legge richiede solo che siano affidati “autonomi poteri di iniziativa e controllo” e che siano concretamente esercitati, per non incorrere in “omessa e insufficiente vigilanza”. Al requisito dell’autonomia gli interpreti (dottrina, giurisprudenza e/o linee guida di categoria) aggiungono i requisiti di professionalità/competenza, onorabilità e continuità di azione, tutti riscontrabili a nostro avviso in organi societari “di controllo” già esistenti

Si può affidare al collegio sindacale, già investito di compiti di alta vigilanza, (anche) il ruolo di OdV?

La risposta è negativa per la maggioranza degli interpreti, sul presupposto che, pur essendo “ben attrezzato” sotto il profilo della professionalità, il collegio sindacale non garantirebbe la necessaria continuità d’azione, potrebbe divenire correo (Art. 25-ter D.Lgs. 231/01) e per l’eterogenesi/eterogeneità di fini e funzioni –nell’OdV, anche propositivo/consulenziali- e la loro complessiva gravosità [GALLETTI, GARGARELLA MARTELLI, CATALANO, SANTI, Linee Guida Confindustria e ABI et alia]

Gli argomenti non convincono. La continuità d’azione non è prevista (né tanto meno disciplinata nelle sue modalità) dal D. Lgs. 231 e va verificata in concreto (si noti che l’OdV delle quotate si riunisce mediamente 6-7 volte l’anno). La correità potenzialmente riguarda qualsiasi membro “interno” dell’OdV (e, per i sindaci, non dovrebbe comportare la responsabilità amministrativa della società). E nulla osta a che si integrino statutariamente compiti e poteri del collegio sindacale [RORDORF, BARTOLOMUCCI; il collegio sindacale di Fiat ed Eni ha già i compiti ulteriori –anche consultivo/propositivi- dell’audit committee]. E la SEC sembra d’accordo…

IPOTESI DI RAZIONALIZZAZIONE E SEMPLIFICAZIONE DEI CONTROLLI INTERNI (SEGUE)


Si possono affidare i compiti dell’OdV al comitato per il controllo sulla gestione (nel modello monistico) o al comitato audit?

Per taluni, in quanto articolazione del CdA, non godrebbe di effettiva indipendenza e stabilità e non sarebbe sufficiente “contrappeso”, oltre a non avere relazione quotidiana con la struttura aziendale e forse a difettare della necessaria professionalità [GALLETTI, CATALANO, BLANDINI, GARGARELLA MARTELLI]

Anche qui la tesi non convince, già in base alla lettera dell’Art. 2409-octiesdecies, 2°, 3° e 5° co., c.c. (e della sua potenziale applicazione) e dell’Art. 151-ter TUF

Favorevoli a conferire il ruolo di OdV al comitato per il controllo interno (audit committee), che dovrebbe coincidere con il predetto comitato nel modello monistico, sono le Linee Guida di Confindustria e ABI [v. anche RACUGNO, BARTOLOMUCCI]. Due società (5%) dell’indice FTSE MIB hanno affidato i compiti dell’OdV al comitato per il controllo interno


Si può individuare l’OdV nel consiglio di sorveglianza? No, a causa della commistione di compiti di vigilanza ed alta amministrazione [ex multis, RORDORF, SANTI]: tuttavia, Intesa SanPaolo ha affidato il ruolo di OdV al comitato audit costituito all’interno del consiglio di sorveglianza

Si può affidare il ruolo di OdV ad una funzione aziendale, e.g. l’internal audit? Solo a quest’ultima, e purché siano rispettati i requisiti di autonomia/indipendenza, professionalità, onorabilità [Linee Guida Conf e ABI; FORTUNATO, BARTOLOMUCCI]. Trib Milano 17/11/2009 ha “assolto” società il cui OdV si identificava con l’internal auditor/compliance officer. Due società (5%) dell’indice FTSE MIB affidano il ruolo di OdV all’internal audit

Si possono affidare in outsourcing i compiti OdV? No, salvo in parte (v. anche Relazione al D.Lgs. 231: “una struttura che deve essere costituita al suo interno”)

Per la giurisprudenza conta che, in concreto, l’OdV abbia ed eserciti reali poteri di “iniziativa, autonomia e controllo”, senza compiti operativi, e soddisfi (nella forma e de facto) i requisiti di indipendenza, professionalità ed onorabilità con impegno effettivo (p.es., GIP Trib. Roma 4-14/4/2003 benché auspichi che non vi siano membri di organi sociali; GIP Trib. Milano 20/9/2004; GIP Trib. Napoli 26/6/2007)


Ipotesi di lavoro: la società potrebbe adottare il modello monistico e affidare al comitato per il controllo interno/comitato audit (solo con amministratori indipendenti) il ruolo di OdV, eventualmente integrandolo, per quella funzione, con un professionista esterno e con l’internal auditor o compliance officer e prevedendone statutariamente gli ulteriori compiti, stabilità e poteri

Così facendo, si accorperebbero due organi(smi) –o tre, nelle società quotate- in uno solo, che beneficia del raccordo diretto, anche informativo, con il CdA e cui si attribuirebbe un budget più elevato altrimenti ripartito. Si potranno parzialmente esternalizzare compiti specialistici, anche forensic

La soluzione sarebbe in linea con esperienze angloamericane. Abbandonare il modello “latino” (recte, italiano) si giustifica vieppiù dopo la sottrazione del controllo contabile e la condivisione del ruolo di vigilanza che ha subito negli ultimi anni il collegio sindacale, organo che raramente ha avuto un ruolo attivo nella prevenzione di irregolarità e soprattutto di reati

La tendenza attuale, tuttavia (v. allegato), è per un OdV collegiale ad hoc, composto in prevalenza da internal auditor, amministratore indipendente e membro esterno. Solo sei società (15%) dell’indice FTSE MIB hanno un OdV in maggioranza con membri esterni


IPOTESI 2: DEMARCAZIONE DEI RUOLI E COMPETENZE, PER RIDURRE SOVRAPPOSIZIONI E INEFFICIENZE

In alternativa (o in aggiunta) all’accorpamento di organi(smi), si dovrebbe cercare di ridurre il più possibile le sovrapposizioni di competenze

Ad esempio, se non si intende abolire la duplicazione di collegio sindacale e comitato audit né affidare ad uno di questi il ruolo di OdV, si potrebbe ridurre il ruolo del collegio al controllo di legalità, affidando al comitato audit il controllo sulla correttezza gestionale e sull’adeguatezza delle procedure interne ma solo all’OdV la vigilanza adeguatezza/verifica del Modello/procedure di prevenzione dei reati-presupposto (la cui continua attuazione sarebbe curata dal compliance officer, ove previsto). Adottando il modello monistico, queste competenze andrebbero riunite nel comitato per il controllo sulla gestione (oltre al compliance officer)

Quanto ai processi amministrativo-contabili, il dirigente preposto dovrebbe limitarsi a predisporre adeguate procedure per la formazione dei bilanci, la cui adeguatezza sarebbe verificata dal revisore esterno (incaricato del controllo contabile) mentre il loro rispetto effettivo andrebbe verificato dall’internal audit [MONTALENTI]

RAZIONALIZZAZIONE E SEMPLIFICAZIONE DEI CONTROLLI INTERNI (SEGUE)

Un possibile case study

CdA (approva progetto

di bilancio)

Compliance Officer (rischio di violazioni/losses)

Internal Audit(controllo procedure)

Apparenza contabile di ingenti disponibilità liquide, a fronte di indebitamento (o perdite/utili su cambi o derivati; o utili realizzati su operazioni a fine esercizio):

chi e come verifica?

OdV (vigilanza su

prevenzione reati) Società di revisione(giudizio sul

bilancio)

Collegio Sindacale(controllo di legalità)

RAZIONALIZZAZIONE E SEMPLIFICAZIONE DEI CONTROLLI INTERNI (SEGUE)

IL PROBLEMA DEL COORDINAMENTO E DELLO SCAMBIO INFORMATIVO

Con chi deve relazionarsi l’OdV? Senz’altro con internal auditor, compliance officer e comitato audit, ove istituiti, con il CdA e organi delegati e con l’organo di controllo. Il Modello dovrebbe lasciare l’OdV libero di valutare a chi riportare e a quali riunioni partecipare [GALLETTI] e attribuirgli potere di accesso a informazioni/dipendenti

Particolare coordinamento dovrà effettuarsi tra internal audit, collegio sindacale e OdV (dal piano di audit ai protocolli alla vigilanza sull’efficacia e adeguatezza del Modello 231)

Le norme si limitano ad ‘auspici’ di coordinamento e ne demandano la disciplina alle società. V. Art. 17 Reg. ISVAP 20/2008: “l’organo di controllo, la società di revisione, la funzione di revisione interna, di risk management e di compliance, l’organismo di vigilanza … e ogni altro organo e funzione cui è attribuita una specifica funzione di controllo collaborano tra loro scambiandosi ogni informazione utile … L’organo amministrativo definisce e formalizza i collegamenti tra le varie funzioni a cui sono attribuiti compiti di controllo”.

MODELLI 231 E GRUPPI DI SOCIETA’: ESTENSIONE DELLA RESPONSABILITA’? Il D.Lgs 231/01 nulla dispone sui gruppi societari ed anzi esprime una visione

atomistica: la responsabilità ex crimine deve essere riferita al singolo “ente” E’ possibile (e a quali condizioni) che la responsabilità amministrativa di una

società “risalga” alla controllante e/o si estenda/propaghi ad altre società del gruppo? Solo se le persone fisiche che hanno commesso il reato, anche in concorso tra loro, sono in rapporto qualificato (anche) con altra società del gruppo, (anche) nel cui interesse il reato è stato commesso [ANTIGA, LECIS, MONTALENTI, PISTORELLI et alia]

Trib. Milano 20/9/2004 e 20/12/2004: “limite e misura” del coinvolgimento della controllante, oltre all’individuazione di un suo interesse o vantaggio, è il criterio di imputazione del reato compiuto dalla persona fisica. La responsabilità può colpire la capogruppo “non in modo indiscriminato ma solo quando sussiste l’appartenenza qualificata all’ente” (capogruppo) della persona che ha commesso il reato. Se l’amministratore della controllante e quello della controllata concorrono nella corruzione del funzionario per ottenere un appalto a vantaggio della controllata, responsabili entrambe le società: interesse comune/della controllante, anche se non vi fosse ripartizione di utili

Principi ribaditi da Cons. stato 11/1/2005: “la responsabilità di altre società rientranti nel gruppo potrà ipotizzarsi solo quando sia dimostrato che i rispettivi soggetti in posizione apicale o i rispettivi dipendenti hanno contribuito alla commissione del reato in concorso” (dal che discende che la misura cautelare dell’interdizione non si può estendere/applicare ad altre società)

MODELLI 231 E GRUPPI DI SOCIETA’: ESTENSIONE DELLA RESPONSABILITA’? (SEGUE)

Taluni paventano che l’amministratore/dipendente della controllata possa considerarsi tra le “persone sottoposte alla direzione” dei vertici apicali della controllante, ex artt. 2497 ss. c.c., sì che la responsabilità si estenderebbe a quest’ultima anche a prescindere da un effettivo coinvolgimento dei suoi dirigenti nel reato [PISTORELLI]: ma questo contrasterebbe con il divieto di applicazione analogica. Altri paventano che si possa estendere la responsabilità alla capogruppo, anche senza il concorso attivo dei suoi soggetti apicali/dipendenti,mediante il ricorso alla categoria dell’omesso impedimento del reato altrui (art. 40, 2° co., c.p.) integrata con la figura del concorso di persone mediante omissione [SGUBBI]: ma non sussiste uno specifico e formale obbligo giuridico di impedimento dei reati commessi da soggetti delle controllate a carico dei soggetti della holding, né una posizione di “garanzia” [App. Roma 28/3/1995]

Alcuni esempi. Reato commesso “nell’interesse comune” da soggetti apicali/dipendenti della controllata e della holding in concorso attivo tra loro: responsabilità amministrativa di entrambe, anche se il vantaggio non è stato concretamente conseguito

MODELLI 231 E GRUPPI DI SOCIETA’: ESTENSIONE DELLA RESPONSABILITA’? (SEGUE) Reato commesso (solo) da soggetti apicali/dipendenti della holding

nell'interesse comune e a vantaggio di una società controllata (senza coinvolgimento di soggetti apicali/dipendenti di quest’ultima): responsabilità amministrativa della controllata solo se gli agenti del reato possono configurarsi come suoi “amministratori di fatto” (il che richiede una sistematicità della condotta gestoria)

Reato commesso (solo) da soggetti apicali/dipendenti della società controllata nell’interesse “esclusivo” della holding, senza alcun vantaggio, neppure compensativo, per la controllata (a meno che non si ritenga connaturato all’appartenenza al gruppo): ipotesi forse remota, ma in tal caso non vi sarebbe responsabilità amministrativa alcuna. Il caso opposto (interesse “esclusivo” della controllata nel reato commesso da soggetti della holding) non si può ravvisare alla luce della giurisprudenza predetta

Altra questione è se la holding possa essere responsabile verso la controllata per abuso “omissivo” dell’attività di direzione e coordinamento ex artt. 2497 ss. c.c. (ove iniziata e sussistente) per non avere dato impulso alle procedure di predisposizione, aggiornamento o verifica di funzionamento del Modello 231: si potrà ravvisare solo nei casi in cui siano assoggettate a integrazione proprio quelle funzioni implicate dalle finalità del D.Lgs 231 (p. es., ove sia allocata alla holding la funzione di supervisione e organizzazione del sistema di controllo interno) o in strutture molto integrate, in cui sostanzialmente la funzione gestoria, a livello di indirizzo,sia ubicata presso la holding [GALLETTI]

MODELLI 231, ODV E GRUPPI DI SOCIETA’ IN UNA PROSPETTIVA DI GOVERNANCE EFFICIENTE

Anche in quei casi in cui può ravvisarsi un obbligo della holding (verso le controllate) a dare impulso all’elaborazione e vigilanza sui Modelli, questi rimangono di competenza (e di valenza esimente) delle singole controllate: solo a livello periferico si può concretizzare il Modello astratto elaborato dalla capogruppo, se si vuole evitare un irrigidimento che può pregiudicare la capacità della singola società di monitorare e aggiornare il Modello e quindi la sua portata esimente [GALLETTI]

Ci può essere un OdV “di gruppo”? No, è un “organismo (interno) dell’ente” [Relaz. al D.Lgs 231] e non vi sono spazi per un’interpretazione estensiva del concetto di “ente” [GARGARELLA MARTELLI], restando fermo il principio cardine della distinta soggettività e formale indipendenza giuridica delle singole società del gruppo [Trib. Biella 17/11/2006]. L’OdV deve quindi essere stabilmente incardinato nell’organizzazione della singola società controllata (salva la supervisione della holding sul complessivo controllo interno di gruppo, nel suo interesse e avuto riguardo alla “dimensione” totale)

MODELLI 231, ODV E GRUPPI DI SOCIETA’ IN UNA PROSPETTIVA DI GOVERNANCE EFFICIENTE (SEGUE)

Si deve istituire un OdV in ogni singola società controllata? Sì, con relative attribuzioni di strumenti e competenze [SANTI, LECIS, GALLETTI, Linee Guida Conf., Trib. Roma 4/4/2003. Contra, MONTALENTI: solo nelle società più importanti]. Secondo le Linee Guida di Confindustria, nelle controllate di piccole dimensioni potrà essere “l’organo dirigente” ex Art. 6, 4° co., D. Lgs 231; ma, data l’incertezza sulla definizione di “piccole dimensioni”, meglio sarà attribuire il ruolo di OdV al comitato di controllo sulla gestione delle società controllate più piccole, “convertite” al modello monistico, per cui non varranno le residue perplessità di cui supra. Per le Linee Guida ABI, ogni banca “valuterà l’opportunità” di dotarsene e “sarà cura della capogruppo” informare le controllate degli indirizzi e criteri generali di gruppo, verificandone l’applicazione

Si possono “armonizzare” la composizione (e “coordinare” lo svolgimento dei compiti) dei singoli OdV delle società del gruppo? Con prudenza, per non pretermettere l’autonomia di ciascun OdV, che si può “coordinare” solo su un piano paritario. Il “coordinamento” non può essere ingerenza. Secondo alcuni, teoricamente, si può riproporre la stessa compagine in più di un OdV ed avere, quindi, tanti OdV identici quante sono le società del gruppo, come avviene spesso per gli organi amministrativi [LECIS]. Ma, così facendo, si comprometterebbe la continuità di azione dell’OdV, specie ove le singole società del gruppo siano “lontane” una dalle altre (geograficamente e/o per aree di business). E la giurisprudenza manifesta perplessità sull’inserimento nell’OdV di soggetti appartenenti ad altre entità del gruppo (Trib. Napoli 26/6/2007)


Si possono, invece, mettere a fattore comune all’interno del gruppo societario le esperienze di ogni OdV, anche per individuare eventuali “falle”, condividere correttivi e tecniche, scambiare informazioni su questioni di comune rilevanza. E si possono gestire in una logica di gruppo aspetti quali la formazione del personale

Può l’OdV di ogni singola società del gruppo avvalersi delle strutture della holding/controllante per compiti ispettivi, di analisi o specialistici? Sì, per tutti gli interpreti e le Linee Guida (come si riscontra nei Modelli 231 di gruppi societari di rilevante dimensione), purché in forza di specifici contratti

In conclusione (in conformità con le Linee Guida, la dottrina e la prassi più attenta e la giurisprudenza):• in ogni società controllata si dovrà istituire l’OdV con tutte le relative

attribuzioni di competenze. A seconda delle dimensioni, si potrà individuarlo in un organo sociale (quale il comitato per il controllo sulla gestione);


• l’OdV della controllata potrà avvalersi, nell’espletamento dei suoi compiti di vigilanza, delle risorse allocate presso l’OdV della capogruppo (p. es. in tema di analisi, auditing, compiti ispettivi), sulla base di un predefinito rapporto contrattuale;

• i dipendenti (o i componenti l’OdV) della capogruppo,nello svolgimento di attività per le OdV/presso le società controllate, assumono la veste di professionisti esterni (in parziale outsourcing dei compiti dell’OdV) che svolgono la loro attività nell’interesse della controllata, riportando all’OdV di quest’ultima con i vincoli di riservatezza propri del consulente esterno

La diversa composizione dei vari OdV nelle società del gruppo potrà valere da presidio rafforzato contro i rischi di estensione della responsabilità amministrativa ex crimine

MODELLI 231 E GRUPPI DI SOCIETA’. COORDINAMENTO CON ALTRE INDAGINI In caso di coesistenza (o conduzione, parallela o meno) di attività ispettive

a fini diversi, specialmente nei gruppi internazionali, converrà tener conto dei diversi effetti e obblighi rilevanti: p. es., se viene svolta anche presso la società controllata italiana un’indagine interna in relazione al Foreign Corrupt Practices Act, o altra indagine interna anche per conto della controllante estera, questa potrebbe comportare un obbligo di auto-denuncia (self-report) mentre, di norma, l’OdV non ha un obbligo generalizzato di riportare fatti penalmente rilevanti alle autorità giudiziarie. Non si potrà non tener conto delle ripercussioni in Italia

Analogamente, si deve considerare che la verbalizzazione dell’OdV potrebbe essere oggetto di discovery obbligatoria nei procedimenti civili eventualmente promossi in paesi anglo-americani per le pretese risarcitorie collegate a fatti che rientrano nell’ambito ispettivo dell’OdV

D’altro canto, alcune aree di rischio a confine tra il diritto penale e il diritto antitrust (alla luce delle recenti tendenze della magistratura, e.g. a Trento e Milano, a “criminalizzare” alcune violazioni della concorrenza, ovviamente in modo particolare nell’ambito di procedure a evidenza pubblica) possono dar luogo ad opportunità: in caso di “scoperte” di comportamenti illeciti in materia antitrust, si potrà considerare l ‘adesione a un programma di clemenza (leniency) per beneficiare di immunità o riduzioni di ammende

POTERE ISPETTIVO DELL’ODV: LIMITI E MODALITA’, IN UNA PROSPETTIVA DI GOVERNANCE EFFICIENTE

Il potere ispettivo dell’OdV si deve declinare, secondo la giurisprudenza, anche in indagini interne periodiche e “a sorpresa”. Inoltre, nello svolgimento dei suoi compiti, l’OdV deve avere “libero accesso” a tutte le funzioni e a tutti i dipendenti, senza necessità di previo consenso dei vertici aziendali e con budget finanziario adeguato

Tutti i soggetti coinvolti (dipendenti,organi sociali) hanno un obbligo informativo nei confronti dell’OdV. Per i dipendenti, l’obbligo di informare circa eventuali comportamenti contrari al Modello rientra nel più ampio dovere di diligenza e di fedeltà del prestatore di lavoro di cui agli artt. 2104-2105 c.c. [LINEE GUIDA]

Vi è da chiedersi se le “ispezioni” dell’OdV debbano avere ad oggetto il mero rispetto delle procedure e delle prescrizioni organizzative del Modello o possano estendersi alla verifica di singoli atti e comportamenti (o serie di atti). In ogni caso, i controlli “di linea” e di primo grado dovranno essere svolti (anche) dalle relative funzioni aziendali (e.g. internal auditing, compliance) e la questione da porsi è come si coordinino gli obblighi informativi dei dipendenti con le tutele apprestate dall’ordinamento in materia di controlli a distanza, privacy e tutela della corrispondenza personale

POTERE ISPETTIVO DELL’ODV: LIMITI E MODALITA’, IN UNA PROSPETTIVA DI GOVERNANCE EFFICIENTE (SEGUE)

Sarà in ogni caso opportuno organizzare l’impresa in modo da consentire all’OdV ed ai controllori “di linea” di effettuare compiutamente i controlli finalizzati all’osservanza e alla verifica del funzionamento del Modello senza violare dette norme, ad es. previo accordo sindacale, divulgazione delle policies anche in tema di accesso ai sistemi informatici e alle emails dei dipendenti, acquisizione del loro consenso anche in sede di contratto di lavoro, back up informatici e rispetto dei principi di trasparenza, correttezza e proporzionalità, come meglio descritto nelle pagine seguenti, dedicate all’approfondimento del tema


La disciplina del trattamento dei dati personali, la tutela penale della corrispondenza e lo Statuto dei Lavoratori richiedono invero un assetto organizzativo interno che metta l’azienda al riparo da potenziali violazioni normative e responsabilità

Il Garante della Privacy ha previsto (con delibera del 1 marzo 2007) specifiche Linee Guida e principi inderogabili per il trattamento della posta elettronica dei dipendenti e dei relativi accessi ad internet

I principi indicati nelle Linee Guida devono essere letti in combinato disposto con le norme sancite nello Statuto dei Lavoratori, soprattutto in materia di controlli a distanza (artt. 4 e 8).

Il Codice in materia di protezione dei dati personali (di seguito “Codice”) fa, infatti, espresso riferimento alle norme dello Statuto dei lavoratori (artt. 113 e 114)

L’analisi dei provvedimenti pronunciati dal Garante permette di individuare in maniera concreta i limiti entro cui il datore di lavoro e l’ODV possono muoversi senza che il loro operato possa essere considerato in violazione della normativa sulla privacy


Principi del Codice

Principio di necessità

I sistemi informativi ed i programmi informatici devono essere configurati, in relazione alle finalità perseguite, riducendo al minimo l’utilizzazione dei dati personali e di dati identificativi

Principio di correttezza, ispirato al canone della trasparenza

Le caratteristiche essenziali del trattamento devono essere rese note ai lavoratori. Onere del datore di indicare in maniera chiara e particolareggiata le modalità di utilizzo degli strumenti forniti e se e in che misura vengano effettuati dei controlli

Principio di pertinenza e non eccedenza del trattamento

Il datore di lavoro deve trattare i dati nella misura meno invasiva possibile. Le attività di monitoraggio devono essere svolte solo da soggetti preposti ed essere mirate sull’area di rischio, tenendo conto della normativa sulla protezione dei dati e del principio di segretezza della corrispondenza


Le Linee guida del Garante riguardano principalmente l’:

adozione e pubblicizzazione di un disciplinare interno

adozione di misure di tutela di tipo organizzativo

adozione di misure di tutela di tipo tecnologico

(i) rispetto alla “navigazione” in internet

(ii) rispetto dell’utilizzo della posta elettronica


Ulteriori prescrizioni del Garante prevedono:

un onere del datore di prefigurare e pubblicizzare una policy interna rispetto al corretto uso dei mezzi ed agli eventuali controlli

una preventiva “informativa” dei lavoratori sulle modalità e le finalità del trattamento in connessione con le specifiche esigenze organizzative, produttive e di sicurezza anche ai fini dell’esercizio dei diritti della società in sede giudiziaria, nonché sul soggetto o sull’unità organizzativa a cui i lavoratori si possono rivolgere per esercitare i propri diritti

un divieto di effettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza dei lavoratori


Presupposti di liceità del trattamento

Esercizio legittimo di un diritto in sede giudiziaria

Libero consenso al trattamento fornito dal lavoratore

Sussistenza di un legittimo interesse al trattamento in applicazione del principio del bilanciamento di interessi


Limiti dei “Controlli a distanza”

Il controllo a distanza dei lavoratori deve avvenire nel rispetto delle modalità previste dalla legge (art. 4 dello Statuto dei Lavoratori) ed è vietato dalla legge se riguarda l’attività lavorativa in senso stretto e le altre condotte personali poste in essere sul luogo di lavoro

Devono essere promosse opportune misure, organizzative e tecnologiche, per prevenire il rischio di utilizzi impropri e per minimizzare l’uso di dati riferibili ai lavoratori

A prescindere dalle eventuali responsabilità civili e penali, i dati trattati illecitamente non sono utilizzabili (art. 11 del Codice)

Cass. 17/7/2007 n. 15892 assoggetta a previo accordo sindacale (o procedura dinanzi a ufficio del lavoro) anche i controlli a distanza/su emails finalizzati all’accertamento o prevenzione di condotte illecite o fraudolente


Analisi dei provvedimenti del Garante

L’analisi dei provvedimenti del Garante ha fatto emergere:

la tendenza ad applicare in maniera rigorosa le previsioni dettate dal Codice, dallo Statuto dei lavoratori e da altre norme di settore per il trattamento dei dati dei dipendenti

la necessità del rispetto delle previsioni del Codice e dello Statuto dei Lavoratori anche ai fini del trattamento dei dati personali dei dipendenti svolto nell’ambito di controlli interni all’azienda (svolti attraverso soggetti esterni all’organizzazione aziendale o attraverso soggetti interni, incluso l’internal auditing)

la possibilità di individuare delle strategie utili al fine di evitare che l’acquisizione ed il trattamento di dati personali dei dipendenti venga dichiarata illecita

IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’ DI ESERCIZIO E VINCOLI NORMATIVIProvvedimento del Garante del 25 gennaio 2007

In un caso in cui l’attività ispettiva è stata svolta con personale interno (dell’internal auditing) nei confronti di un dipendente di una Banca, il Garante ha riconosciuto la liceità del trattamento dei dati acquisiti anche in assenza del consenso del dipendente

Quali sono le principali motivazioni su cui si fonda tale provvedimento?(i) Attività di controllo interno legittimata dalla legge e dal quadro regolamentare

che fa capo alla Banca d’Italia (ii) Previsione da parte della Banca di apposita regolamentazione delle modalità di

funzionamento dell’audit (iii) Previsione di norme di autoregolamentazione (codice interno della Banca che

prevede l’esistenza di controlli interni)(iv) Individuazione dei responsabili del trattamento dei dati acquisiti (che sono gli

stessi soggetti che hanno effettuato l’audit) che hanno operato nel corso dell’ispezione nel rispetto delle istruzioni ricevute dalla Banca

(v) Trattamento dei dati per finalità esclusivamente connesse alla sicurezza della Banca e senza eccedere il periodo strettamente necessario a garantire le necessarie verifiche

IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’ DI ESERCIZIO E VINCOLI NORMATIVIProvvedimento del Garante del 2 aprile 2008

In un caso in cui l’attività di verifica è stata svolta nei confronti del management della società, dalla società medesima e da un team investigativo esterno, il Garante ha riscontrato l’illiceità del trattamento e ha disposto l’inutilizzabilità dei dati acquisiti dal computer aziendale e dalla corrispondenza estratta dall’account di posta elettronica del dipendente

Quali sono le principali motivazioni su cui si fonda tale provvedimento? (i) Assenza di una previa e chiara informativa del dipendente sulla

possibilità e sulle modalità di controlli sull’utilizzo di strumenti aziendali in dotazione dei lavoratori (nei Manuali di Privacy dell’azienda si precisava solo che l’utilizzo dell’e-mail era strettamente riservato agli scopi di business)(ii) Assenza di una previa informativa sulle finalità e le modalità della raccolta della corrispondenza riferita al dipendente o sul possibile trattamento dei dati risultanti da tale corrispondenza(iii) Mancata individuazione del responsabile del trattamento(iv) Raccolta delle informazioni e dei dati personali con modalità preordinatamente occulte(v) Violazione dei principi sanciti dall’art. 4 dello Statuto dei Lavoratori


Possibili strategie per evitare l’illiceità dell’acquisizione e del trattamento di dati personali dei dipendenti

Previsione nel Codice etico, nel Manuale sulla Privacy, nel Modello 231 di controlli interni svolti dalla società o dall’ODV, programmati o a sorpresa, per verificare la commissione di illeciti civili, penali o amministrativi

Descrizione ragionevolmente dettagliata delle modalità di effettuazione dei controlli, con indicazione della possibilità di svolgere controlli anche in forma differente che dovranno, in ogni caso, essere eseguiti, sempre nel rispetto dei principi di correttezza, trasparenza e proporzionalità

Previsione di sistemi di backup automatico (i) dei messaggi e-mail spediti e ricevuti dai dipendenti e (ii) dei documenti inseriti nel sistema intranet o sul computer dei dipendenti

Informativa sui limiti e sulle modalità di utilizzo degli strumenti aziendali (posta elettronica, internet e computer) con espressa previsione di possibili accessi a tutti i dati creati e conservati non solo nel sistema, ma anche nel singolo computer


Segue: Possibili strategie per evitare l’illiceità dell’acquisizione e del trattamento di dati personali dei dipendenti

Preventivi accordi sindacali con le RSA/commissione interna (o ufficio del lavoro), per prevedere l’installazione di impianti e apparecchiature di controllo, richiesti in funzione delle esigenze organizzative e produttive o della sicurezza sul lavoro e dai quali possa derivare un controllo a distanza dell'attività dei lavoratori

Previsioni di procedure che permettano l’accesso, diretto o da remoto, da parte di soggetti determinati (e noti ai lavoratori) ai dati contenuti nell’account di posta elettronica del dipendente o nel suo computer

Preventiva acquisizione del consenso del dipendente, nel caso di sua assenza, per l’accesso alla sua posta elettronica o al suo computer e individuazione di un soggetto delegato all’accesso alla posta elettronica o al computer del dipendente

Individuazione dei soggetti responsabili dell’acquisizione e del trattamento dei dati personali (i cui nominativi siano noti ai dipendenti)

Indicazione di prescrizioni interne sulla sicurezza dei dati e dei sistemi e sul segreto professionale



Previsione nei messaggi di posta elettronica di un avvertimento ai destinatari circa l'eventuale natura non personale dei messaggi stessi con la precisazione che le risposte potranno essere conosciute nell'organizzazione di appartenenza del mittente e con eventuale rinvio alla predetta policy datoriale

Informazioni dell’arco temporale durante il quale i dati acquisiti dai computer o dai messaggi e-mail verranno conservati (con indicazioni delle modalità seguite per la conservazione) e potranno essere oggetto di controlli

Individuazione delle conseguenze, anche disciplinari, di eventuali comportamenti illeciti dei dipendenti

Trattamento, in assenza di espresso consenso del dipendente, solo dei dati strettamente necessari alla sicurezza o alla tutela giudiziaria della società

Conservazione dei dati (soprattutto quelli relativi alle segnalazioni di possibili illeciti) in forma anonima. Previsione, nel caso di illeciti, della possibilità di individuare il dipendente cui imputare i comportamenti illeciti



Chiara indicazione dei comportamenti tollerati rispetto alla "navigazione" in Internet (ad es., il download di software o di determinati files), oppure alla tenuta di files nella rete interna

Precisazione sulla possibilità e le modalità di utilizzo, anche per ragioni personali, dei servizi di posta elettronica o di rete

Individuazione di determinate postazioni di lavoro o caselle oppure predisposizione di sistemi di webmail per consentire ai lavoratori l’uso per ragioni personali della posta elettronica (con chiara indicazione delle modalità e dell'arco temporale di utilizzo, ad esempio, fuori dall'orario di lavoro o durante le pause)

Precisazione su quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e sul soggetto che (anche all'esterno) vi può accedere legittimamente o su quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di backup, della gestione tecnica della rete o di file di log)


I profili penali

L’attività ispettiva dell’ODV trova dei limiti anche nella disciplina dettata dal codice penale, in particolare per quanto attiene alla tutela del segreto della corrispondenza e dei documenti acquisiti nel corso delle indagini ove soggetti non destinatari della corrispondenza (quali il datore di lavoro o l’ODV), accedano a tale corrispondenza, la acquisiscano e ne rivelino il contenuto

La circostanza che la corrispondenza sia stata inviata o ricevuta tramite l’indirizzo e-mail aziendale del dipendente o si trovi salvata sul computer aziendale dello stesso potrebbe non escludere eventuali ipotesi di responsabilità penale qualora in tale corrispondenza siano contenuti dati personali del destinatario o del mittente o si tratti di corrispondenza definita espressamente come “privata” o “confidenziale”

Nelle valutazioni dei diversi profili di rischio si devono valutare le varie circostanze di fatto che possono caratterizzare la vicenda, valutando le condotte penalmente rilevanti e distinguendo se si tratta di corrispondenza “aperta” o “chiusa”


Corrispondenza chiusa – Art. 616, primo comma, c.p.

L’art. 616, primo comma, c.p. punisce:

“Chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime…”.

Per corrispondenza deve intendersi, vista la precisazione introdotta dalla L. 547 del 23 dicembre 1993, “quella epistolare, telegrafica, telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza”.


Segue: Corrispondenza chiusa – Art. 616, primo comma, c.p.

La giurisprudenza (Cass. 19 dicembre 2007, n. 47096) ha precisato con riguardo alla corrispondenza elettronica (i.e. e-mail) che:

(i) questa deve intendersi “chiusa” nei confronti di coloro che non hanno libero e legittimo accesso al sistema IT per l’invio o la ricezione dei

messaggi;

(ii) il datore di lavoro, per avere legittimo accesso alla corrispondenza del dipendente, deve aver ricevuto la specifica password dal dipendente

il quale sia stato previamente informato della possibilità che tale password venga utilizzata per accedere alla sua posta elettronica nel caso di sua assenza e/o per ragioni disciplinari

La responsabilità ai sensi dell’art. 616 c.p. potrebbe essere esclusa se:

- la corrispondenza è stata “aperta” prima dell’accesso non autorizzato

- l’accesso è stato effettuato nel rispetto della policy e delle procedure previste per l’accesso da parte del datore alla corrispondenza dei dipendenti


Corrispondenza chiusa – Art. 616, secondo comma, c.p.

L’art. 616, secondo comma, c.p. punisce chi, avendo preso cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero avendola sottratta o distrutta:

“senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza…se dal fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato”

La responsabilità penale ricorrerebbe nel caso in cui:

- il soggetto che rivela la corrispondenza è il responsabile dell’accesso illecito;

- non sussiste una giusta causa per la rilevazione;

- si verifica un pregiudizio agli interessi del destinatario (o del mittente)

La necessità della produzione in giudizio di corrispondenza acquisita dall’account di un dipendente ai fini della propria difesa potrebbe costituire “giusta causa” e permettere di escludere, in base alle diverse circostanza, un’eventuale responsabilità penale del datore di lavoro o dell’ODV


Corrispondenza aperta – Art. 618 c.p.

L’art. 618 c.p.c. punisce chiunque:

“fuori dei casi preveduti dall'articolo 616, essendo venuto abusivamente a cognizione del contenuto di una corrispondenza a lui non diretta, che doveva rimanere segreta, senza giusta causa lo rivela, in tutto o in parte”

Questa previsione trova applicazione, ad esempio, nel caso di:

- corrispondenza già letta o aperta;

- rivelazione di corrispondenza da parte di soggetti diversi da quelli eventualmente colpevoli del reato di violazione, sottrazione o

soppressione di corrispondenza di cui all’art. 616 c.p.


Segue: Corrispondenza aperta – Art. 618 c.p.

Per valutare l’eventuale responsabilità penale si devono considerare:

(i) la natura segreta o meno della corrispondenza, tenendo in considerazione il suo contenuto e l’intenzione del mittente o del destinatario che abbiano definito, ad esempio, “riservata” o “personale” la corrispondenza

(ii) l’illecita o abusiva conoscenza della corrispondenza, da valutarsi avendo riguardo anche alle disposizioni dettate, ad esempio, in materia di

Privacy per l’accesso da parte del datore di lavoro o di soggetti da quest’ultimo incaricati alla corrispondenza dei dipendenti (es. rispetto delle policies sull’uso della posta elettronica e di internet o conoscenza di password o acquisizione del consenso per l’accesso alla corrispondenza)

(iii) l’assenza di un giustificato motivo causa per la rivelazione della corrispondenza (la valutazione va fatta avendo riguardo agli opposti interessi delle parti. Potrebbe ricorrere il giustificato motivo, ad esempio, quando l’obiettivo che si deve raggiungere per tutelare un proprio interesse non possa essere conseguito in modo differente)

Avv. Fabrizio Arossa ORGANISMO DI VIGILANZA (D.LGS 231/01) ED ESIGENZE DI COMPLIANCE INTEGRATA.

Documents

Transcript of Avv. Fabrizio Arossa ORGANISMO DI VIGILANZA (D.LGS 231/01) ED ESIGENZE DI COMPLIANCE INTEGRATA.