La funzione di controllo e prevenzione è ormai considerata, anche in Italia, una componente fondamentale della governance aziendale che, gestendo il rischio reputazionale e la conformità legale, contribuisce a far crescere l’impresa. Tanto da ipotizzare la separazione della funzione compliance da quella legale. Una soluzione già sperimentata soprattutto dalle multinazionali statunitensi, che hanno esportato il modello anche nel nostro paese.
In-house legal e compliance: unione o separazione? Di questo tema, il cui approfondimento è disponibile nel numero di settembre di TopLegal, si è dibattuto durante la tavola rotonda organizzata in occasione dei TopLegal Corporate Counsel Awards dello scorso 4 luglio. Moderato da Alessandro De Nicola, senior partner di Orrick, il dibattito ha visto la partecipazione di Vincenzo Maria Larocca, executive vice president legal compliance di Eni; Galileo Pozzoli, managing partner di Curtis Mallet; Sibilla Ricciardi, direttore affari legali di Microsoft; Brian Sheridan, vice president e corporate legal affairs & general counsel di Sorin; Eugenio Tranchino, partner di Watson Farley & Williams e Walter Vasselli, group senior compliance officer di Finmeccanica.
Tutti i partecipanti sono stati concordi nell’evidenziare che i punti di contatto tra le funzioni compliance e legale sono numerosi, sottolineando come nell’ambito dell’attività specifica e dei processi operativi presidiati in maniera diretta dalle due funzioni emergano sfere di apparente sovrapposizione. Tali ambiti di sovrapposizione derivano direttamente dalle definizioni di rischio legale (tipico della funzione legal) e di rischio di non conformità (tipico della compliance), che presentano aspetti decisamente affini – come nel caso del D.Lgs 231/01 sulla responsabilità amministrativa delle società e i modelli di organizzazione, gestione e controllo.
Proprio sulla responsabilità degli enti ha un impatto significativo il D.Lgs n°93 in materia di protezione dei dati personali, emanato lo scorso 14 agosto. Il decreto amplia infatti lo spettro dei reati per cui è prevista la responsabilità diretta delle persone giuridiche, includendo tra questi la frode informatica, l’indebito utilizzo, falsificazione, alterazione o ricettazione di carte di credito o pagamento nonché i delitti in materia di privacy. Rocco Panetta, partner di Panetta & associati, ha risposto ai quesiti posti da TopLegal circa l’impatto del provvedimento sulle scelte aziendali in merito all’organizzazione delle funzioni legal e compliance.
Il decreto 93/2013, in materia di protezione dei dati personali, amplia lo spettro dei reati per cui è prevista la responsabilità degli enti, ai sensi del decreto 231. Ciò determina la necessità da parte delle aziende di gestire ulteriori profili di rischio attraverso rinnovati modelli di prevenzione. Pensa che questo ulteriore ampliamento dei reati compresi nella 231 e la crescente complessità che ne deriva per le funzioni legali e di compliance possa spingere alla separazione delle due funzioni?
Le novità introdotte dal legislatore quest’estate appartengono al novero di quelle poche rivoluzionarie riforme di sistema degne di nota. In verità, poco cambia per le società che già da anni sono tenute all’osservanza di numerose, complesse ma utili regole sull’uso dei dati in azienda. Anche dal punto di vista delle sanzioni, la legge sulla privacy (d.lgs. n. 196/2003) già riportava numerose fattispecie criminali, oltre alle figure di responsabilità civile ed amministrativa. Con la riforma di agosto, non solo si rafforzano alcuni profili sanzionatori, ma si estende la responsabilità degli enti anche alla protezione dei dati. Il che mi pare corretto e saggio. La compliance però deve restare, a mio parere, materia di legali. Come può un general counsel dormire sonni tranquilli senza avere il polso, in tempo reale, degli adempimenti che la legge richiede per l’adeguamento della società a tutti gli obblighi di legge e regolamento posti a vari livelli e nei diversi mercati di riferimento? Credo, in verità, che il “saggio” imprenditore, nello stabilire le priorità e responsabilità di governance, oggi più che mai, debba riportare sotto la funzione legale tutti i profili di compliance, inclusi quelli privacy, finora troppo trascurati e marginalizzati nelle mani, spesso poco accorte, di responsabili It o risorse umane.
Esistono settori di attività per i quali la gestione del rischio legato alla protezione dei dati personali assume una rilevanza maggiore rispetto alla media? In questi casi ritiene che possa essere utile predisporre una funzione compliance autonoma rispetto a quella legale?
Certamente tutti coloro che operano online hanno oggi un significativo impatto privacy. Ma le regole sull’uso e la circolazione corretta dei dati pervadono tutta la politica di governance aziendale. Oserei dire che la compliance per eccellenza è proprio quella privacy. Nessun settore aziendale, nessuna funzione è indenne da una accorta politica di raccolta e uso dei dati, secondo i principi e le regole anche dettati dal Garante per la protezione dei dati personali. Anche in tal senso, la funzione compliance e il data pricacy officer dovrebbero essere in stretto collegamento con il general counsel. Negli Usa i data privacy officer sono spesso invece legati a funzioni autonome di compliance. Questo sarebbe corretto a patto che anche in Italia si desse loro autonoma dignità e riporto diretto al Ceo o al board e autonoma capacità decisionale e di budget. Altrimenti la funzione compliance e privacy officer resta il solito vaso di coccio tra le funzioni tradizionali di business. Meglio dunque legarla a quella del general counsel.
L'approfondimento sul tema è presente nel numero di settembre di TopLegal, disponibile su E-edicola.
TAGS
Watson Farley & Williams, Orrick Herrington & Sutcliffe, Panetta, Curtis AlessandroDe Nicola, EugenioTranchino, RoccoPanetta, GalileoPozzoli, Vincenzo MariaLarocca, SibillaRicciardi, BrianSheridan, WalterVasselli Finmeccanica, Microsoft, Sorin, Eni, Garante per la protezione dei dati personali