ORGANISMO DI VIGILANZA (D.LGS 231/01) ED
ESIGENZE DI COMPLIANCE INTEGRATA
Avv. Fabrizio Arossa
INDICE – CONTENUTI DELL’INTERVENTO
VERSO UNA GOVERNANCE EFFICIENTE: LA COMPLIANCE INTEGRATA

LA PROLIFERAZIONE DEI CONTROLLI INTERNI E DEGLI ATTORI DELLA
COMPLIANCE:
 nelle società di diritto comune
 nelle società con azioni quotate
 nelle banche, assicurazioni ed altri intermediari finanziari
 nei gruppi internazionali

IPOTESI DI SEMPLIFICAZIONE E RAZIONALIZZAZIONE DEI CONTROLLI
INTERNI
 Ruolo dell’OdV affidato ad organi sociali/altre funzioni
 Definizione e demarcazione di ruoli e competenze
 Coordinamento e rapporti tra gli attori del sistema

MODELLI 231 E GRUPPI DI SOCIETA’
 Estensione di responsabilità a controllante/altra società del gruppo
 Quanti e quali OdV nelle singole società del gruppo
 Coordinamento con altri compliance programs e altre indagini

IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’ DI
ESERCIZIO E VINCOLI NORMATIVI
LA PROLIFERAZIONE (IL “RETICOLO”) DEI CONTROLLI INTERNI

LA NOZIONE DI CONTROLLO (NON IN SENSO PROPRIETARIO):

il controllo sul merito della gestione

il controllo sull’adeguatezza degli assetti organizzativi

il controllo sul rispetto dei principi di corretta amministrazione

il controllo di gestione e la revisione interna (internal audit)

il controllo dei rischi operativi

il controllo di legalità

il controllo dei conti

il controllo sulla adeguatezza (e la verifica) sul rispetto effettivo delle procedure
amministrative e contabili e delle altre procedure interne

il controllo sul funzionamento e l’osservanza del Modello 231 (e delle procedure di
prevenzione dei reati – presupposto)

i controlli in materia di salute e sicurezza sul lavoro

gli altri controlli strumentali a specifici fini (es. anti-riciclaggio, Sarbanes- Oxley,
FCPA, etc.)
LA PROLIFERAZIONE DEGLI ATTORI DEI CONTROLLI INTERNI

NELLE SOCIETA’ DI DIRITTO COMUNE:

Il CdA è oggi principalmente un organo di indirizzo e “sorveglianza” (con particolare
riferimento agli amministratori non esecutivi), che valuta “l’adeguatezza dell’assetto
organizzativo”

Ad esso si affianca l’organo di “controllo” (Collegio Sindacale, consiglio di
sorveglianza o comitato per il controllo sulla gestione), che “vigila” sull’adeguatezza
dell’assetto. Organo sconosciuto agli altri ordinamenti (salvo, con connotati differenti,
il Giappone e il Brasile)

All’interno della società, sono normalmente presenti le funzioni aziendali di internal
audit / controllo di gestione (e di risk management) con i relativi soggetti

Il controllo contabile è generalmente affidato al revisore esterno

Salvo che non sussista il rischio di reati-presupposto, ci sarà un Organismo di
Vigilanza ex D. Lgs. 231/01 (che sia onere, ovvero obbligo, della società è dibattito
accademico, posto il rischio di responsabilità civilistica degli amministratori che non
ne dotino la società: Trib. Milano, 13/2/2008)

Sono già cinque i “livelli”di controllo interno (o del revisore)
LA PROLIFERAZIONE DEGLI ATTORI DEI CONTROLLI INTERNI

NELLE SOCIETA’ QUOTATE, INOLTRE:

Rappresentanza di “minoranza” e dei membri “indipendenti” nell’organo
amministrativo (o consiglio di sorveglianza) ex Art. 147-ter TUF. Il CdA perde i
connotati che lo vedevano quale organo interamente espresso dai soci di controllo
(in senso proprietario)

Vigilanza “rafforzata” dell’organo di controllo ex Artt. 149/151-ter TUF

“Dirigente preposto” ai documenti contabili societari ex Art. 154-bis TUF

Comitato per il controllo interno (audit committee, di ispirazione angloamericana, là
dove, tuttavia, non esiste il Collegio Sindacale – v. Final Rule della SEC), ex 8.C.3
Codice di Autodisciplina

Amministratore esecutivo incaricato di sovrintendere al controllo interno, ex 8.C.5
Codice di Autodisciplina

Responsabile dell’internal audit/preposto al controllo interno, ex Art. 150 TUF e
Criteri 8.C.6/8.C.7 Codice di Autodisciplina

Altri tre livelli di controllo interno (oltre al controllo esterno del regolatore)
LA PROLIFERAZIONE DEGLI ATTORI DEI CONTROLLI INTERNI

NEL SETTORE BANCARIO, ASSICURATIVO E DEGLI INTERMEDIARI FINANZIARI,
INOLTRE:

Istruzioni di vigilanza per le banche, Titolo IV, Capitolo 11. Banche devono porre in essere
soluzioni organizzative “ in grado di identificare, misurare e gestire adeguatamente tutti i
rischi” e che “stabiliscano attività di controllo a ogni livello operativo e consentano
l’univoca … individuazione di compiti e responsabilità”. Il rispetto della legge (compliance)
è finalità del sistema di controllo; non può esservi gestione sana e prudente là dove non
sia presidiato il rischio di fatti gravi

Report on Compliance and Compliance Functions in Banks (Comitato di Basilea, aprile
2005). Il “compliance risk” (“risk of legal or regulatory sanctions… or loss to reputation a
bank may suffer as a result of its failure to comply with laws, regulations, rules, related
self-regulatory organisations standards and codes of conduct”) come species del rischio
operativo. La “compliance function” deve essere guidata da un “compliance officer/head of
compliance”, indipendente da funzioni operative, dotata di congrue risorse e raccordata
con le altre funzioni di controllo (risk management e internal audit)

Direttiva 2006/48/CE (recepita il 27/12/2006). Art. 22: ciascun ente creditizio deve essere
“dotato di solidi dispositivi di governo societario, … di processi efficaci per l’identificazione,
la gestione, la sorveglianza e la segnalazione dei rischi … e di adeguati meccanismi di
controllo interno”
NEL SETTORE BANCARIO, ASSICURATIVO E DEGLI INTERMEDIARI
FINANZIARI (SEGUE)

Circolare Bankitalia n. 263 del 27/12/2006 (nuove disposizioni di vigilanza prudenziale per
le banche): “più stringenti presidi organizzativi in termini di meccanismi di governo
societario e di processi per l’identificazione, la gestione e il controllo del rischio”

Disposizioni di vigilanza Bankitalia sulla funzione di conformità (compliance) del
10/7/2007:

CdA condivide con il Collegio Sindacale la “supervisione complessiva del sistema di
gestione del rischio di non conformità alle norme”. Non delegabilità della politica
generale di gestione dei rischi; delegabilità del controllo

Funzione di compliance, “parte integrante del sistema di controlli interni”, deve
essere separata da funzioni operative, indipendente, con un responsabile
(compliance officer) - interlocutore diretto delle Autorità di Vigilanza – e risorse
quali/quantitativamente adeguate (culpa in eligendo del CdA/alta dirigenza)

A questi va garantito “l’accesso a tutte le attività della banca … nonché a qualsiasi
informazione rilevante … anche attraverso il colloquio diretto con il personale”
NEL SETTORE BANCARIO, ASSICURATIVO E DEGLI INTERMEDIARI
FINANZIARI (SEGUE)

Regolamento congiunto Banca d’Italia – Consob del 29/10/2007 (attuazione della
disciplina MiFID): le “idonee disposizioni organizzative” e la gestione/controllo del rischio

Disposizioni di vigilanza Bankitalia in materia di organizzazione e governo societario delle
banche del 4/3/2008: le disposizioni sull’organo di controllo nei diversi modelli
amministrativi

La Circolare ISVAP n. 577/D del 30/12/2005 in materia di sistema dei controlli interno e
gestione dei rischi: la trasposizione dei principi IAIS/CEIOPS

Il Regolamento ISVAP n. 20 del 26/3/2008: istituzione di una specifica funzione di
compliance nelle imprese (oltre alle funzioni di internal audit e risk management)

Conclusione: pur temperato dal principio di proporzionalità, è prescritto normativamente
un ulteriore soggetto/funzione di controllo interno, il compliance officer (che non si può
identificare con l’internal audit, alla cui “verifica” è soggetto)
LA PROLIFERAZIONE DEI CONTROLLI INTERNI E DEI RELATIVI ATTORI

La segnalazione AGCM del 2 febbraio 2009 sulla “governance di banche e assicurazioni”:
opportuni “radicali cambiamenti” nella governance (anche in relazione alla “figura
ambigua del c.d. amministratore indipendente”)

Nei gruppi internazionali, si rendono necessari ulteriori controlli interni, ad esempio ai fini
della legge Sarbanes.-Oxley o del Foreign Corrupt Practices Act. In quest’ultimo caso, le
relative verifiche ed indagini sono affidate a soggetto indipendente, normalmente un
consulente professionale esterno
LA PROLIFERAZIONE DEI CONTROLLI INTERNI E DEI RELATIVI ATTORI

LA MOLTIPLICAZIONE DELLE FUNZIONI DI CONTROLLO INTERNO E DEI SOGGETTI
AD ESSE DEPUTATI COMPORTA:

rischi di sovrapposizione, duplicazione e inefficienze

conflitti negativi di competenza (specialmente nelle “aree grigie”)

esigenze di raccordo e coordinamento (rimesse all’autonomia delle imprese)

incremento di costi (senza certezza di correlati benefici)

netta prevalenza di controllori indiretti/di “secondo grado” (ovvero di verifica del
corretto svolgimento di procedure e dell’adeguatezza di assetti/modelli) sui controlli
diretti/ “di linea” (ovvero di ispezione “sul campo”): la “piramide rovesciata”
[MONTALENTI]. Se i controlli diretti dovessero fallire, l’intero sistema dei controlli
risulterebbe inefficace
LA PROLIFERAZIONE DEI CONTROLLI INTERNI E DEI RELATIVI ATTORI


MA IL SISTEMA DI CONTROLLO INTERNO E’ (O DEVE ESSERE) UNICO:

non ve ne è (né vi può esserne) uno per la revisione, uno per il Modello 231, uno per la
Sarbanes-Oxley, etc.

dal COSO report del 1992, aggiornato nel 2004 (COSO-ERM), alla Direttiva
2006/43/CE, si incoraggia un approccio unitario ed una visione olistica del sistema di
controllo interno, che deve essere integrato, coerente, armonizzato ed efficace
E’ POSSIBILE IPOTIZZARE UNA RAZIONALIZZAZIONE/SEMPLIFICAZIONE DEL
SISTEMA, CHE NON FRUSTRI LO SCOPO ESIMENTE DEL MODELLO 231?
IPOTESI DI RAZIONALIZZAZIONE E SEMPLIFICAZIONE DEI CONTROLLI
INTERNI

IPOTESI 1: ACCORPAMENTO DI ALCUNI ORGANI/FUNZIONI DI CONTROLLO, CON
AFFIDAMENTO DEL RUOLO DI ODV AD UN ORGANO SOCIALE/FUNZIONE
AZIENDALE GIA’ ESISTENTE

E’ possibile affidare i compiti dell’OdV a un organo societario esistente (p. es.,
collegio sindacale, audit committee, o comitato per il controllo sulla gestione)?

Secondo taluni, no: l’espressione «organismo dell’ente» non legittimerebbe
l’identificazione dell’OdV con un organo societario, dovendosi propendere per un
organismo distinto, ancorché formato anche con la partecipazione di componenti di
organi societari, es. sindaci o amministratori indipendenti [MONTALENTI]

La tesi non convince. Intanto, la neutralità del termine impiegato (“organismo”)
sembra lasciare aperta ogni opzione sull’affidamento delle funzioni di OdV ad un
organo o a un ufficio dell’impresa [GARGARELLA MARTELLI, GALLETTI]. Inoltre, la
legge richiede solo che siano affidati “autonomi poteri di iniziativa e controllo” e che
siano concretamente esercitati, per non incorrere in “omessa e insufficiente
vigilanza”. Al requisito dell’autonomia gli interpreti (dottrina, giurisprudenza e/o linee
guida di categoria) aggiungono i requisiti di professionalità/competenza, onorabilità e
continuità di azione, tutti riscontrabili a nostro avviso in organi societari “di controllo”
già esistenti
IPOTESI DI RAZIONALIZZAZIONE E SEMPLIFICAZIONE DEI CONTROLLI
INTERNI (SEGUE)

Si può affidare al collegio sindacale, già investito di compiti di alta vigilanza, (anche) il
ruolo di OdV?

La risposta è negativa per la maggioranza degli interpreti, sul presupposto che, pur
essendo “ben attrezzato” sotto il profilo della professionalità, il collegio sindacale non
garantirebbe la necessaria continuità d’azione, potrebbe divenire correo (Art. 25-ter
D.Lgs. 231/01) e per l’eterogenesi/eterogeneità di fini e funzioni –nell’OdV, anche
propositivo/consulenziali- e la loro complessiva gravosità [GALLETTI, GARGARELLA
MARTELLI, CATALANO, SANTI, Linee Guida Confindustria e ABI et alia]

Gli argomenti non convincono. La continuità d’azione non è prevista (né tanto meno
disciplinata nelle sue modalità) dal D. Lgs. 231 e va verificata in concreto (si noti che
l’OdV delle quotate si riunisce mediamente 6-7 volte l’anno). La correità potenzialmente
riguarda qualsiasi membro “interno” dell’OdV (e, per i sindaci, non dovrebbe comportare
la responsabilità amministrativa della società). E nulla osta a che si integrino
statutariamente compiti e poteri del collegio sindacale [RORDORF, BARTOLOMUCCI; il
collegio sindacale di Fiat ed Eni ha già i compiti ulteriori –anche consultivo/propositividell’audit committee]. E la SEC sembra d’accordo…
IPOTESI DI RAZIONALIZZAZIONE E SEMPLIFICAZIONE DEI CONTROLLI
INTERNI (SEGUE)

Si possono affidare i compiti dell’OdV al comitato per il controllo sulla gestione (nel
modello monistico) o al comitato audit?

Per taluni, in quanto articolazione del CdA, non godrebbe di effettiva indipendenza e
stabilità e non sarebbe sufficiente “contrappeso”, oltre a non avere relazione quotidiana
con la struttura aziendale e forse a difettare della necessaria professionalità [GALLETTI,
CATALANO, BLANDINI, GARGARELLA MARTELLI]

Anche qui la tesi non convince, già in base alla lettera dell’Art. 2409-octiesdecies, 2°, 3° e
5° co., c.c. (e della sua potenziale applicazione) e dell’Art. 151-ter TUF

Favorevoli a conferire il ruolo di OdV al comitato per il controllo interno (audit committee),
che dovrebbe coincidere con il predetto comitato nel modello monistico, sono le Linee
Guida di Confindustria e ABI [v. anche RACUGNO, BARTOLOMUCCI]. Due società (5%)
dell’indice FTSE MIB hanno affidato i compiti dell’OdV al comitato per il controllo interno
IPOTESI DI RAZIONALIZZAZIONE E SEMPLIFICAZIONE DEI CONTROLLI
INTERNI (SEGUE)




Si può individuare l’OdV nel consiglio di sorveglianza? No, a causa della
commistione di compiti di vigilanza ed alta amministrazione [ex multis, RORDORF,
SANTI]: tuttavia, Intesa SanPaolo ha affidato il ruolo di OdV al comitato audit
costituito all’interno del consiglio di sorveglianza
Si può affidare il ruolo di OdV ad una funzione aziendale, e.g. l’internal audit? Solo a
quest’ultima, e purché siano rispettati i requisiti di autonomia/indipendenza,
professionalità, onorabilità [Linee Guida Conf e ABI; FORTUNATO,
BARTOLOMUCCI]. Trib Milano 17/11/2009 ha “assolto” società il cui OdV si
identificava con l’internal auditor/compliance officer. Due società (5%) dell’indice
FTSE MIB affidano il ruolo di OdV all’internal audit
Si possono affidare in outsourcing i compiti OdV? No, salvo in parte (v. anche
Relazione al D.Lgs. 231: “una struttura che deve essere costituita al suo interno”)
Per la giurisprudenza conta che, in concreto, l’OdV abbia ed eserciti reali poteri di
“iniziativa, autonomia e controllo”, senza compiti operativi, e soddisfi (nella forma e
de facto) i requisiti di indipendenza, professionalità ed onorabilità con impegno
effettivo (p.es., GIP Trib. Roma 4-14/4/2003 benché auspichi che non vi siano
membri di organi sociali; GIP Trib. Milano 20/9/2004; GIP Trib. Napoli 26/6/2007)
IPOTESI DI RAZIONALIZZAZIONE E SEMPLIFICAZIONE DEI CONTROLLI
INTERNI (SEGUE)




Ipotesi di lavoro: la società potrebbe adottare il modello monistico e affidare al
comitato per il controllo interno/comitato audit (solo con amministratori indipendenti) il
ruolo di OdV, eventualmente integrandolo, per quella funzione, con un professionista
esterno e con l’internal auditor o compliance officer e prevedendone statutariamente
gli ulteriori compiti, stabilità e poteri
Così facendo, si accorperebbero due organi(smi) –o tre, nelle società quotate- in uno
solo, che beneficia del raccordo diretto, anche informativo, con il CdA e cui si
attribuirebbe un budget più elevato altrimenti ripartito. Si potranno parzialmente
esternalizzare compiti specialistici, anche forensic
La soluzione sarebbe in linea con esperienze angloamericane. Abbandonare il
modello “latino” (recte, italiano) si giustifica vieppiù dopo la sottrazione del controllo
contabile e la condivisione del ruolo di vigilanza che ha subito negli ultimi anni il
collegio sindacale, organo che raramente ha avuto un ruolo attivo nella prevenzione
di irregolarità e soprattutto di reati
La tendenza attuale, tuttavia (v. allegato), è per un OdV collegiale ad hoc, composto
in prevalenza da internal auditor, amministratore indipendente e membro esterno.
Solo sei società (15%) dell’indice FTSE MIB hanno un OdV in maggioranza con
membri esterni
IPOTESI DI RAZIONALIZZAZIONE E SEMPLIFICAZIONE DEI CONTROLLI
INTERNI (SEGUE)

IPOTESI 2: DEMARCAZIONE DEI RUOLI E COMPETENZE, PER RIDURRE
SOVRAPPOSIZIONI E INEFFICIENZE

In alternativa (o in aggiunta) all’accorpamento di organi(smi), si dovrebbe cercare di
ridurre il più possibile le sovrapposizioni di competenze

Ad esempio, se non si intende abolire la duplicazione di collegio sindacale e comitato
audit né affidare ad uno di questi il ruolo di OdV, si potrebbe ridurre il ruolo del collegio al
controllo di legalità, affidando al comitato audit il controllo sulla correttezza gestionale e
sull’adeguatezza delle procedure interne ma solo all’OdV la vigilanza
adeguatezza/verifica del Modello/procedure di prevenzione dei reati-presupposto (la cui
continua attuazione sarebbe curata dal compliance officer, ove previsto). Adottando il
modello monistico, queste competenze andrebbero riunite nel comitato per il controllo
sulla gestione (oltre al compliance officer)

Quanto ai processi amministrativo-contabili, il dirigente preposto dovrebbe limitarsi a
predisporre adeguate procedure per la formazione dei bilanci, la cui adeguatezza
sarebbe verificata dal revisore esterno (incaricato del controllo contabile) mentre il loro
rispetto effettivo andrebbe verificato dall’internal audit [MONTALENTI]
RAZIONALIZZAZIONE E SEMPLIFICAZIONE DEI CONTROLLI INTERNI
(SEGUE)

Un possibile case study
OdV
(vigilanza su
prevenzione reati)
CdA
(approva progetto
di bilancio)
Società di revisione
(giudizio sul bilancio)
Collegio Sindacale
(controllo di legalità)
Internal Audit
(controllo procedure)
Compliance Officer
(rischio di violazioni/losses)
Apparenza contabile di ingenti disponibilità liquide, a fronte di indebitamento
(o perdite/utili su cambi o derivati; o utili realizzati su operazioni a fine esercizio):
chi e come verifica?
RAZIONALIZZAZIONE E SEMPLIFICAZIONE DEI CONTROLLI INTERNI
(SEGUE)

IL PROBLEMA DEL COORDINAMENTO E DELLO SCAMBIO INFORMATIVO

Con chi deve relazionarsi l’OdV? Senz’altro con internal auditor, compliance officer e
comitato audit, ove istituiti, con il CdA e organi delegati e con l’organo di controllo. Il
Modello dovrebbe lasciare l’OdV libero di valutare a chi riportare e a quali riunioni
partecipare [GALLETTI] e attribuirgli potere di accesso a informazioni/dipendenti

Particolare coordinamento dovrà effettuarsi tra internal audit, collegio sindacale e OdV
(dal piano di audit ai protocolli alla vigilanza sull’efficacia e adeguatezza del Modello 231)

Le norme si limitano ad ‘auspici’ di coordinamento e ne demandano la disciplina alle
società. V. Art. 17 Reg. ISVAP 20/2008: “l’organo di controllo, la società di revisione, la
funzione di revisione interna, di risk management e di compliance, l’organismo di
vigilanza … e ogni altro organo e funzione cui è attribuita una specifica funzione di
controllo collaborano tra loro scambiandosi ogni informazione utile … L’organo
amministrativo definisce e formalizza i collegamenti tra le varie funzioni a cui sono
attribuiti compiti di controllo”.
MODELLI 231 E GRUPPI DI SOCIETA’: ESTENSIONE DELLA
RESPONSABILITA’?

Il D.Lgs 231/01 nulla dispone sui gruppi societari ed anzi esprime una visione



atomistica: la responsabilità ex crimine deve essere riferita al singolo “ente”
E’ possibile (e a quali condizioni) che la responsabilità amministrativa di una società
“risalga” alla controllante e/o si estenda/propaghi ad altre società del gruppo? Solo
se le persone fisiche che hanno commesso il reato, anche in concorso tra loro, sono
in rapporto qualificato (anche) con altra società del gruppo, (anche) nel cui interesse
il reato è stato commesso [ANTIGA, LECIS, MONTALENTI, PISTORELLI et alia]
Trib. Milano 20/9/2004 e 20/12/2004: “limite e misura” del coinvolgimento della
controllante, oltre all’individuazione di un suo interesse o vantaggio, è il criterio di
imputazione del reato compiuto dalla persona fisica. La responsabilità può colpire la
capogruppo “non in modo indiscriminato ma solo quando sussiste l’appartenenza
qualificata all’ente” (capogruppo) della persona che ha commesso il reato. Se
l’amministratore della controllante e quello della controllata concorrono nella
corruzione del funzionario per ottenere un appalto a vantaggio della controllata,
responsabili entrambe le società: interesse comune/della controllante, anche se non
vi fosse ripartizione di utili
Principi ribaditi da Cons. stato 11/1/2005: “la responsabilità di altre società rientranti
nel gruppo potrà ipotizzarsi solo quando sia dimostrato che i rispettivi soggetti in
posizione apicale o i rispettivi dipendenti hanno contribuito alla commissione del
reato in concorso” (dal che discende che la misura cautelare dell’interdizione non si
può estendere/applicare ad altre società)
MODELLI 231 E GRUPPI DI SOCIETA’: ESTENSIONE DELLA
RESPONSABILITA’? (SEGUE)


Taluni paventano che l’amministratore/dipendente della controllata possa
considerarsi tra le “persone sottoposte alla direzione” dei vertici apicali della
controllante, ex artt. 2497 ss. c.c., sì che la responsabilità si estenderebbe a
quest’ultima anche a prescindere da un effettivo coinvolgimento dei suoi dirigenti nel
reato [PISTORELLI]: ma questo contrasterebbe con il divieto di applicazione
analogica. Altri paventano che si possa estendere la responsabilità alla capogruppo,
anche senza il concorso attivo dei suoi soggetti apicali/dipendenti,mediante il ricorso
alla categoria dell’omesso impedimento del reato altrui (art. 40, 2° co., c.p.) integrata
con la figura del concorso di persone mediante omissione [SGUBBI]: ma non
sussiste uno specifico e formale obbligo giuridico di impedimento dei reati commessi
da soggetti delle controllate a carico dei soggetti della holding, né una posizione di
“garanzia” [App. Roma 28/3/1995]
Alcuni esempi. Reato commesso “nell’interesse comune” da soggetti
apicali/dipendenti della controllata e della holding in concorso attivo tra loro:
responsabilità amministrativa di entrambe, anche se il vantaggio non è stato
concretamente conseguito
MODELLI 231 E GRUPPI DI SOCIETA’: ESTENSIONE DELLA
RESPONSABILITA’? (SEGUE)



Reato commesso (solo) da soggetti apicali/dipendenti della holding nell'interesse comune
e a vantaggio di una società controllata (senza coinvolgimento di soggetti
apicali/dipendenti di quest’ultima): responsabilità amministrativa della controllata solo se
gli agenti del reato possono configurarsi come suoi “amministratori di fatto” (il che
richiede una sistematicità della condotta gestoria)
Reato commesso (solo) da soggetti apicali/dipendenti della società controllata
nell’interesse “esclusivo” della holding, senza alcun vantaggio, neppure compensativo,
per la controllata (a meno che non si ritenga connaturato all’appartenenza al gruppo):
ipotesi forse remota, ma in tal caso non vi sarebbe responsabilità amministrativa alcuna.
Il caso opposto (interesse “esclusivo” della controllata nel reato commesso da soggetti
della holding) non si può ravvisare alla luce della giurisprudenza predetta
Altra questione è se la holding possa essere responsabile verso la controllata per abuso
“omissivo” dell’attività di direzione e coordinamento ex artt. 2497 ss. c.c. (ove iniziata e
sussistente) per non avere dato impulso alle procedure di predisposizione,
aggiornamento o verifica di funzionamento del Modello 231: si potrà ravvisare solo nei
casi in cui siano assoggettate a integrazione proprio quelle funzioni implicate dalle finalità
del D.Lgs 231 (p. es., ove sia allocata alla holding la funzione di supervisione e
organizzazione del sistema di controllo interno) o in strutture molto integrate, in cui
sostanzialmente la funzione gestoria, a livello di indirizzo,sia ubicata presso la holding
[GALLETTI]
MODELLI 231, ODV E GRUPPI DI SOCIETA’ IN UNA PROSPETTIVA DI
GOVERNANCE EFFICIENTE


Anche in quei casi in cui può ravvisarsi un obbligo della holding (verso le controllate)
a dare impulso all’elaborazione e vigilanza sui Modelli, questi rimangono di
competenza (e di valenza esimente) delle singole controllate: solo a livello periferico
si può concretizzare il Modello astratto elaborato dalla capogruppo, se si vuole
evitare un irrigidimento che può pregiudicare la capacità della singola società di
monitorare e aggiornare il Modello e quindi la sua portata esimente [GALLETTI]
Ci può essere un OdV “di gruppo”? No, è un “organismo (interno) dell’ente” [Relaz. al
D.Lgs 231] e non vi sono spazi per un’interpretazione estensiva del concetto di “ente”
[GARGARELLA MARTELLI], restando fermo il principio cardine della distinta
soggettività e formale indipendenza giuridica delle singole società del gruppo [Trib.
Biella 17/11/2006]. L’OdV deve quindi essere stabilmente incardinato
nell’organizzazione della singola società controllata (salva la supervisione della
holding sul complessivo controllo interno di gruppo, nel suo interesse e avuto
riguardo alla “dimensione” totale)
MODELLI 231, ODV E GRUPPI DI SOCIETA’ IN UNA PROSPETTIVA DI
GOVERNANCE EFFICIENTE (SEGUE)


Si deve istituire un OdV in ogni singola società controllata? Sì, con relative attribuzioni di
strumenti e competenze [SANTI, LECIS, GALLETTI, Linee Guida Conf., Trib. Roma
4/4/2003. Contra, MONTALENTI: solo nelle società più importanti]. Secondo le Linee Guida
di Confindustria, nelle controllate di piccole dimensioni potrà essere “l’organo dirigente” ex
Art. 6, 4° co., D. Lgs 231; ma, data l’incertezza sulla definizione di “piccole dimensioni”,
meglio sarà attribuire il ruolo di OdV al comitato di controllo sulla gestione delle società
controllate più piccole, “convertite” al modello monistico, per cui non varranno le residue
perplessità di cui supra. Per le Linee Guida ABI, ogni banca “valuterà l’opportunità” di
dotarsene e “sarà cura della capogruppo” informare le controllate degli indirizzi e criteri
generali di gruppo, verificandone l’applicazione
Si possono “armonizzare” la composizione (e “coordinare” lo svolgimento dei compiti) dei
singoli OdV delle società del gruppo? Con prudenza, per non pretermettere l’autonomia di
ciascun OdV, che si può “coordinare” solo su un piano paritario. Il “coordinamento” non può
essere ingerenza. Secondo alcuni, teoricamente, si può riproporre la stessa compagine in più
di un OdV ed avere, quindi, tanti OdV identici quante sono le società del gruppo, come
avviene spesso per gli organi amministrativi [LECIS]. Ma, così facendo, si comprometterebbe
la continuità di azione dell’OdV, specie ove le singole società del gruppo siano “lontane” una
dalle altre (geograficamente e/o per aree di business). E la giurisprudenza manifesta
perplessità sull’inserimento nell’OdV di soggetti appartenenti ad altre entità del gruppo (Trib.
Napoli 26/6/2007)
MODELLI 231, ODV E GRUPPI DI SOCIETA’ IN UNA PROSPETTIVA DI
GOVERNANCE EFFICIENTE (SEGUE)



Si possono, invece, mettere a fattore comune all’interno del gruppo societario le
esperienze di ogni OdV, anche per individuare eventuali “falle”, condividere correttivi
e tecniche, scambiare informazioni su questioni di comune rilevanza. E si possono
gestire in una logica di gruppo aspetti quali la formazione del personale
Può l’OdV di ogni singola società del gruppo avvalersi delle strutture della
holding/controllante per compiti ispettivi, di analisi o specialistici? Sì, per tutti gli
interpreti e le Linee Guida (come si riscontra nei Modelli 231 di gruppi societari di
rilevante dimensione), purché in forza di specifici contratti
In conclusione (in conformità con le Linee Guida, la dottrina e la prassi più attenta e
la giurisprudenza):
•
in ogni società controllata si dovrà istituire l’OdV con tutte le relative attribuzioni
di competenze. A seconda delle dimensioni, si potrà individuarlo in un organo
sociale (quale il comitato per il controllo sulla gestione);
MODELLI 231, ODV E GRUPPI DI SOCIETA’ IN UNA PROSPETTIVA DI
GOVERNANCE EFFICIENTE (SEGUE)
•

l’OdV della controllata potrà avvalersi, nell’espletamento dei suoi compiti di
vigilanza, delle risorse allocate presso l’OdV della capogruppo (p. es. in tema di
analisi, auditing, compiti ispettivi), sulla base di un predefinito rapporto
contrattuale;
•
i dipendenti (o i componenti l’OdV) della capogruppo,nello svolgimento di attività
per le OdV/presso le società controllate, assumono la veste di professionisti
esterni (in parziale outsourcing dei compiti dell’OdV) che svolgono la loro attività
nell’interesse della controllata, riportando all’OdV di quest’ultima con i vincoli di
riservatezza propri del consulente esterno
La diversa composizione dei vari OdV nelle società del gruppo potrà valere da
presidio rafforzato contro i rischi di estensione della responsabilità amministrativa ex
crimine
MODELLI 231 E GRUPPI DI SOCIETA’. COORDINAMENTO CON ALTRE
INDAGINI



In caso di coesistenza (o conduzione, parallela o meno) di attività ispettive a fini
diversi, specialmente nei gruppi internazionali, converrà tener conto dei diversi effetti
e obblighi rilevanti: p. es., se viene svolta anche presso la società controllata italiana
un’indagine interna in relazione al Foreign Corrupt Practices Act, o altra indagine
interna anche per conto della controllante estera, questa potrebbe comportare un
obbligo di auto-denuncia (self-report) mentre, di norma, l’OdV non ha un obbligo
generalizzato di riportare fatti penalmente rilevanti alle autorità giudiziarie. Non si
potrà non tener conto delle ripercussioni in Italia
Analogamente, si deve considerare che la verbalizzazione dell’OdV potrebbe essere
oggetto di discovery obbligatoria nei procedimenti civili eventualmente promossi in
paesi anglo-americani per le pretese risarcitorie collegate a fatti che rientrano
nell’ambito ispettivo dell’OdV
D’altro canto, alcune aree di rischio a confine tra il diritto penale e il diritto antitrust
(alla luce delle recenti tendenze della magistratura, e.g. a Trento e Milano, a
“criminalizzare” alcune violazioni della concorrenza, ovviamente in modo particolare
nell’ambito di procedure a evidenza pubblica) possono dar luogo ad opportunità: in
caso di “scoperte” di comportamenti illeciti in materia antitrust, si potrà considerare l
‘adesione a un programma di clemenza (leniency) per beneficiare di immunità o
riduzioni di ammende
POTERE ISPETTIVO DELL’ODV: LIMITI E MODALITA’, IN UNA PROSPETTIVA
DI GOVERNANCE EFFICIENTE



Il potere ispettivo dell’OdV si deve declinare, secondo la giurisprudenza, anche in
indagini interne periodiche e “a sorpresa”. Inoltre, nello svolgimento dei suoi compiti,
l’OdV deve avere “libero accesso” a tutte le funzioni e a tutti i dipendenti, senza
necessità di previo consenso dei vertici aziendali e con budget finanziario adeguato
Tutti i soggetti coinvolti (dipendenti,organi sociali) hanno un obbligo informativo nei
confronti dell’OdV. Per i dipendenti, l’obbligo di informare circa eventuali
comportamenti contrari al Modello rientra nel più ampio dovere di diligenza e di
fedeltà del prestatore di lavoro di cui agli artt. 2104-2105 c.c. [LINEE GUIDA]
Vi è da chiedersi se le “ispezioni” dell’OdV debbano avere ad oggetto il mero rispetto
delle procedure e delle prescrizioni organizzative del Modello o possano estendersi
alla verifica di singoli atti e comportamenti (o serie di atti). In ogni caso, i controlli “di
linea” e di primo grado dovranno essere svolti (anche) dalle relative funzioni aziendali
(e.g. internal auditing, compliance) e la questione da porsi è come si coordinino gli
obblighi informativi dei dipendenti con le tutele apprestate dall’ordinamento in materia
di controlli a distanza, privacy e tutela della corrispondenza personale
POTERE ISPETTIVO DELL’ODV: LIMITI E MODALITA’, IN UNA PROSPETTIVA
DI GOVERNANCE EFFICIENTE (SEGUE)

Sarà in ogni caso opportuno organizzare l’impresa in modo da consentire all’OdV ed
ai controllori “di linea” di effettuare compiutamente i controlli finalizzati all’osservanza
e alla verifica del funzionamento del Modello senza violare dette norme, ad es. previo
accordo sindacale, divulgazione delle policies anche in tema di accesso ai sistemi
informatici e alle emails dei dipendenti, acquisizione del loro consenso anche in sede
di contratto di lavoro, back up informatici e rispetto dei principi di trasparenza,
correttezza e proporzionalità, come meglio descritto nelle pagine seguenti, dedicate
all’approfondimento del tema
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI

La disciplina del trattamento dei dati personali, la tutela penale della corrispondenza e lo
Statuto dei Lavoratori richiedono invero un assetto organizzativo interno che metta
l’azienda al riparo da potenziali violazioni normative e responsabilità

Il Garante della Privacy ha previsto (con delibera del 1 marzo 2007) specifiche Linee
Guida e principi inderogabili per il trattamento della posta elettronica dei dipendenti e dei
relativi accessi ad internet

I principi indicati nelle Linee Guida devono essere letti in combinato disposto con le
norme sancite nello Statuto dei Lavoratori, soprattutto in materia di controlli a distanza
(artt. 4 e 8).

Il Codice in materia di protezione dei dati personali (di seguito “Codice”) fa, infatti,
espresso riferimento alle norme dello Statuto dei lavoratori (artt. 113 e 114)

L’analisi dei provvedimenti pronunciati dal Garante permette di individuare in maniera
concreta i limiti entro cui il datore di lavoro e l’ODV possono muoversi senza che il loro
operato possa essere considerato in violazione della normativa sulla privacy
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Principi del Codice

Principio di necessità
I sistemi informativi ed i programmi informatici devono essere configurati, in relazione alle finalità
perseguite, riducendo al minimo l’utilizzazione dei dati personali e di dati identificativi

Principio di correttezza, ispirato al canone della trasparenza
Le caratteristiche essenziali del trattamento devono essere rese note ai lavoratori. Onere del datore di
indicare in maniera chiara e particolareggiata le modalità di utilizzo degli strumenti forniti e se e in che
misura vengano effettuati dei controlli

Principio di pertinenza e non eccedenza del trattamento
Il datore di lavoro deve trattare i dati nella misura meno invasiva possibile. Le attività di monitoraggio
devono essere svolte solo da soggetti preposti ed essere mirate sull’area di rischio, tenendo conto
della normativa sulla protezione dei dati e del principio di segretezza della corrispondenza
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Le Linee guida del Garante riguardano principalmente l’:

adozione e pubblicizzazione di un disciplinare interno

adozione di misure di tutela di tipo organizzativo

adozione di misure di tutela di tipo tecnologico
(i)
rispetto alla “navigazione” in internet
(ii)
rispetto dell’utilizzo della posta elettronica
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Ulteriori prescrizioni del Garante prevedono:

un onere del datore di prefigurare e pubblicizzare una policy interna rispetto al corretto
uso dei mezzi ed agli eventuali controlli

una preventiva “informativa” dei lavoratori sulle modalità e le finalità del trattamento in
connessione con le specifiche esigenze organizzative, produttive e di sicurezza anche ai
fini dell’esercizio dei diritti della società in sede giudiziaria, nonché sul soggetto o
sull’unità organizzativa a cui i lavoratori si possono rivolgere per esercitare i propri diritti

un divieto di effettuare trattamenti di dati personali mediante sistemi hardware e software
che mirano al controllo a distanza dei lavoratori
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Presupposti di liceità del trattamento

Esercizio legittimo di un diritto in sede giudiziaria

Libero consenso al trattamento fornito dal lavoratore

Sussistenza di un legittimo interesse al trattamento in applicazione del principio del
bilanciamento di interessi
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Limiti dei “Controlli a distanza”

Il controllo a distanza dei lavoratori deve avvenire nel rispetto delle modalità previste dalla
legge (art. 4 dello Statuto dei Lavoratori) ed è vietato dalla legge se riguarda l’attività
lavorativa in senso stretto e le altre condotte personali poste in essere sul luogo di lavoro

Devono essere promosse opportune misure, organizzative e tecnologiche, per prevenire
il rischio di utilizzi impropri e per minimizzare l’uso di dati riferibili ai lavoratori

A prescindere dalle eventuali responsabilità civili e penali, i dati trattati illecitamente non
sono utilizzabili (art. 11 del Codice)

Cass. 17/7/2007 n. 15892 assoggetta a previo accordo sindacale (o procedura dinanzi a
ufficio del lavoro) anche i controlli a distanza/su emails finalizzati all’accertamento o
prevenzione di condotte illecite o fraudolente
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Analisi dei provvedimenti del Garante
L’analisi dei provvedimenti del Garante ha fatto emergere:

la tendenza ad applicare in maniera rigorosa le previsioni dettate dal Codice, dallo Statuto
dei lavoratori e da altre norme di settore per il trattamento dei dati dei dipendenti

la necessità del rispetto delle previsioni del Codice e dello Statuto dei Lavoratori anche ai
fini del trattamento dei dati personali dei dipendenti svolto nell’ambito di controlli interni
all’azienda (svolti attraverso soggetti esterni all’organizzazione aziendale o attraverso
soggetti interni, incluso l’internal auditing)

la possibilità di individuare delle strategie utili al fine di evitare che l’acquisizione ed il
trattamento di dati personali dei dipendenti venga dichiarata illecita
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Provvedimento del Garante del 25 gennaio 2007

In un caso in cui l’attività ispettiva è stata svolta con personale interno (dell’internal
auditing) nei confronti di un dipendente di una Banca, il Garante ha riconosciuto la liceità
del trattamento dei dati acquisiti anche in assenza del consenso del dipendente

Quali sono le principali motivazioni su cui si fonda tale provvedimento?
(i) Attività di controllo interno legittimata dalla legge e dal quadro regolamentare che fa
capo alla Banca d’Italia
(ii) Previsione da parte della Banca di apposita regolamentazione delle modalità di
funzionamento dell’audit
(iii) Previsione di norme di autoregolamentazione (codice interno della Banca che
prevede l’esistenza di controlli interni)
(iv) Individuazione dei responsabili del trattamento dei dati acquisiti (che sono gli stessi
soggetti che hanno effettuato l’audit) che hanno operato nel corso dell’ispezione nel
rispetto delle istruzioni ricevute dalla Banca
(v) Trattamento dei dati per finalità esclusivamente connesse alla sicurezza della Banca
e senza eccedere il periodo strettamente necessario a garantire le necessarie
verifiche
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Provvedimento del Garante del 2 aprile 2008
 In un caso in cui l’attività di verifica è stata svolta nei confronti del management della
società, dalla società medesima e da un team investigativo esterno, il Garante ha
riscontrato l’illiceità del trattamento e ha disposto l’inutilizzabilità dei dati acquisiti dal
computer aziendale e dalla corrispondenza estratta dall’account di posta elettronica del
dipendente
 Quali sono le principali motivazioni su cui si fonda tale provvedimento?
(i) Assenza di una previa e chiara informativa del dipendente sulla possibilità e
sulle modalità di controlli sull’utilizzo di strumenti aziendali in dotazione dei
lavoratori (nei Manuali di Privacy dell’azienda si precisava solo che l’utilizzo
dell’e-mail era strettamente riservato agli scopi di business)
(ii) Assenza di una previa informativa sulle finalità e le modalità della raccolta
della corrispondenza riferita al dipendente o sul possibile trattamento dei dati
risultanti da tale corrispondenza
(iii) Mancata individuazione del responsabile del trattamento
(iv) Raccolta delle informazioni e dei dati personali con modalità preordinatamente
occulte
(v) Violazione dei principi sanciti dall’art. 4 dello Statuto dei Lavoratori
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Possibili strategie per evitare l’illiceità dell’acquisizione e del trattamento di dati
personali dei dipendenti

Previsione nel Codice etico, nel Manuale sulla Privacy, nel Modello 231 di controlli interni
svolti dalla società o dall’ODV, programmati o a sorpresa, per verificare la commissione di
illeciti civili, penali o amministrativi

Descrizione ragionevolmente dettagliata delle modalità di effettuazione dei controlli, con
indicazione della possibilità di svolgere controlli anche in forma differente che dovranno,
in ogni caso, essere eseguiti, sempre nel rispetto dei principi di correttezza, trasparenza
e proporzionalità

Previsione di sistemi di backup automatico (i) dei messaggi e-mail spediti e ricevuti dai
dipendenti e (ii) dei documenti inseriti nel sistema intranet o sul computer dei dipendenti

Informativa sui limiti e sulle modalità di utilizzo degli strumenti aziendali (posta elettronica,
internet e computer) con espressa previsione di possibili accessi a tutti i dati creati e
conservati non solo nel sistema, ma anche nel singolo computer
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Segue: Possibili strategie per evitare l’illiceità dell’acquisizione e del trattamento di
dati personali dei dipendenti

Preventivi accordi sindacali con le RSA/commissione interna (o ufficio del lavoro), per
prevedere l’installazione di impianti e apparecchiature di controllo, richiesti in funzione
delle esigenze organizzative e produttive o della sicurezza sul lavoro e dai quali possa
derivare un controllo a distanza dell'attività dei lavoratori

Previsioni di procedure che permettano l’accesso, diretto o da remoto, da parte di
soggetti determinati (e noti ai lavoratori) ai dati contenuti nell’account di posta elettronica
del dipendente o nel suo computer

Preventiva acquisizione del consenso del dipendente, nel caso di sua assenza, per
l’accesso alla sua posta elettronica o al suo computer e individuazione di un soggetto
delegato all’accesso alla posta elettronica o al computer del dipendente

Individuazione dei soggetti responsabili dell’acquisizione e del trattamento dei dati
personali (i cui nominativi siano noti ai dipendenti)

Indicazione di prescrizioni interne sulla sicurezza dei dati e dei sistemi e sul segreto
professionale
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Segue: Possibili strategie per evitare l’illiceità dell’acquisizione e del trattamento di
dati personali dei dipendenti

Previsione nei messaggi di posta elettronica di un avvertimento ai destinatari circa
l'eventuale natura non personale dei messaggi stessi con la precisazione che le risposte
potranno essere conosciute nell'organizzazione di appartenenza del mittente e con
eventuale rinvio alla predetta policy datoriale

Informazioni dell’arco temporale durante il quale i dati acquisiti dai computer o dai
messaggi e-mail verranno conservati (con indicazioni delle modalità seguite per la
conservazione) e potranno essere oggetto di controlli

Individuazione delle conseguenze, anche disciplinari, di eventuali comportamenti illeciti
dei dipendenti

Trattamento, in assenza di espresso consenso del dipendente, solo dei dati strettamente
necessari alla sicurezza o alla tutela giudiziaria della società

Conservazione dei dati (soprattutto quelli relativi alle segnalazioni di possibili illeciti) in
forma anonima. Previsione, nel caso di illeciti, della possibilità di individuare il dipendente
cui imputare i comportamenti illeciti
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Segue: Possibili strategie per evitare l’illiceità dell’acquisizione e del trattamento di
dati personali dei dipendenti

Chiara indicazione dei comportamenti tollerati rispetto alla "navigazione" in Internet (ad
es., il download di software o di determinati files), oppure alla tenuta di files nella rete
interna

Precisazione sulla possibilità e le modalità di utilizzo, anche per ragioni personali, dei
servizi di posta elettronica o di rete

Individuazione di determinate postazioni di lavoro o caselle oppure predisposizione di
sistemi di webmail per consentire ai lavoratori l’uso per ragioni personali della posta
elettronica (con chiara indicazione delle modalità e dell'arco temporale di utilizzo, ad
esempio, fuori dall'orario di lavoro o durante le pause)

Precisazione su quali informazioni sono memorizzate temporaneamente (ad es., le
componenti di file di log eventualmente registrati) e sul soggetto che (anche all'esterno) vi
può accedere legittimamente o su quali informazioni sono eventualmente conservate per
un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie di backup,
della gestione tecnica della rete o di file di log)
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
I profili penali

L’attività ispettiva dell’ODV trova dei limiti anche nella disciplina dettata dal codice penale,
in particolare per quanto attiene alla tutela del segreto della corrispondenza e dei
documenti
acquisiti nel corso delle indagini ove soggetti non destinatari della
corrispondenza (quali il datore di lavoro o l’ODV), accedano a tale corrispondenza, la
acquisiscano e ne rivelino il contenuto

La circostanza che la corrispondenza sia stata inviata o ricevuta tramite l’indirizzo e-mail
aziendale del dipendente o si trovi salvata sul computer aziendale dello stesso potrebbe
non escludere eventuali ipotesi di responsabilità penale qualora in tale corrispondenza
siano contenuti dati personali del destinatario o del mittente o si tratti di corrispondenza
definita espressamente come “privata” o “confidenziale”

Nelle valutazioni dei diversi profili di rischio si devono valutare le varie circostanze di fatto
che possono caratterizzare la vicenda, valutando le condotte penalmente rilevanti e
distinguendo se si tratta di corrispondenza “aperta” o “chiusa”
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Corrispondenza chiusa – Art. 616, primo comma, c.p.

L’art. 616, primo comma, c.p. punisce:
“Chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non
diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prendere
cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in
parte, la distrugge o sopprime…”.

Per corrispondenza deve intendersi, vista la precisazione introdotta dalla L. 547 del 23
dicembre 1993, “quella epistolare, telegrafica, telefonica, informatica o telematica ovvero
effettuata con ogni altra forma di comunicazione a distanza”.
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Segue: Corrispondenza chiusa – Art. 616, primo comma, c.p.

La giurisprudenza (Cass. 19 dicembre 2007, n. 47096) ha precisato con riguardo alla
corrispondenza elettronica (i.e. e-mail) che:
(i)
questa deve intendersi “chiusa” nei confronti di coloro che non hanno libero
legittimo accesso al sistema IT per l’invio o la ricezione dei messaggi;
e
(ii)
il datore di lavoro, per avere legittimo accesso alla corrispondenza del dipendente,
deve aver ricevuto la specifica password dal dipendente il quale
sia stato previamente
informato della possibilità che tale password venga
utilizzata per accedere alla sua
posta elettronica nel caso di sua assenza e/o per ragioni disciplinari

La responsabilità ai sensi dell’art. 616 c.p. potrebbe essere esclusa se:
-
la corrispondenza è stata “aperta” prima dell’accesso non autorizzato
-
l’accesso è stato effettuato nel rispetto della policy e delle procedure previste
per l’accesso da parte del datore alla corrispondenza dei dipendenti
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Corrispondenza chiusa – Art. 616, secondo comma, c.p.

L’art. 616, secondo comma, c.p. punisce chi, avendo preso cognizione del contenuto di
una corrispondenza chiusa, a lui non diretta, ovvero avendola sottratta o distrutta:
“senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza…se dal
fatto deriva nocumento ed il fatto medesimo non costituisce un più grave reato”


La responsabilità penale ricorrerebbe nel caso in cui:
-
il soggetto che rivela la corrispondenza è il responsabile dell’accesso illecito;
-
non sussiste una giusta causa per la rilevazione;
-
si verifica un pregiudizio agli interessi del destinatario (o del mittente)
La necessità della produzione in giudizio di corrispondenza acquisita dall’account di un
dipendente ai fini della propria difesa potrebbe costituire “giusta causa” e permettere di
escludere, in base alle diverse circostanza, un’eventuale responsabilità penale del datore
di lavoro o dell’ODV
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Corrispondenza aperta – Art. 618 c.p.

L’art. 618 c.p.c. punisce chiunque:
“fuori dei casi preveduti dall'articolo 616, essendo venuto abusivamente a cognizione del
contenuto di una corrispondenza a lui non diretta, che doveva rimanere segreta, senza
giusta causa lo rivela, in tutto o in parte”

Questa previsione trova applicazione, ad esempio, nel caso di:
-
corrispondenza già letta o aperta;
-
rivelazione di corrispondenza da parte di soggetti diversi da quelli
eventualmente colpevoli del reato di violazione, sottrazione o soppressione di
corrispondenza di cui all’art. 616 c.p.
IL POTERE ISPETTIVO DELL’ODV E NEI CONTROLLI DI LINEA: MODALITA’
DI ESERCIZIO E VINCOLI NORMATIVI
Segue: Corrispondenza aperta – Art. 618 c.p.

Per valutare l’eventuale responsabilità penale si devono considerare:
(i)
la natura segreta o meno della corrispondenza, tenendo in considerazione il suo
contenuto e l’intenzione del mittente o del destinatario che
abbiano
definito,
ad
esempio, “riservata” o “personale” la corrispondenza
(ii)
l’illecita o abusiva conoscenza della corrispondenza, da valutarsi avendo
riguardo anche alle disposizioni dettate, ad esempio, in materia di Privacy per
l’accesso da parte del datore di lavoro o di soggetti da quest’ultimo incaricati
alla corrispondenza dei dipendenti (es. rispetto delle policies sull’uso della
posta elettronica e di internet o conoscenza di password o acquisizione del
consenso per l’accesso alla corrispondenza)
(iii)
l’assenza di un giustificato motivo causa per la rivelazione della
corrispondenza (la valutazione va fatta avendo riguardo agli opposti interessi
delle parti. Potrebbe ricorrere
il giustificato motivo, ad esempio, quando
l’obiettivo che si deve raggiungere per tutelare un proprio interesse non
possa essere conseguito in modo differente)