Compliance & Risk Management – I rischi di compliance per i lavoratori

| Approfondimenti

In questo quarto numero della Newsletter Compliance & Risk Management, i professionisti della Service Line 231/Privacy di Andersen hanno approfondito il tema dei rischi di compliance per i lavoratori, al fine di evidenziare l’importanza, sempre più crescente per le aziende, di adottare apposite misure in grado di mitigare i rischi associati ad un errata conservazione dei metadati nonché a condotte improprie o illecite dei dipendenti, migliorando così la propria governance.

Quando un reato commesso da un dipendente coinvolge anche l’azienda

Ai sensi del D.Lgs. 231/2001, un reato commesso da un dipendente può estendersi all’azienda quando l’autore agisce nell’interesse o a vantaggio dell’ente, anche solo potenziale. Non serve che il beneficio sia stato effettivamente conseguito: basta che l’azione sia idonea o anche solo diretta a procurarlo.

La responsabilità dell’ente, tuttavia, non è automatica. Occorre verificare se il reato rientra tra quelli presupposto previsti dal Decreto 231 e se l’impresa era priva di un adeguato sistema di prevenzione. L’assenza – o l’inefficacia – del Modello Organizzativo diventa così la soglia decisiva: se l’azienda non ha identificato i rischi, non ha previsto protocolli chiari o non ha formato correttamente il personale, il comportamento del dipendente può ricadere direttamente sull’ente.

Conservazione dei metadati delle e-mail aziendali

Con il provvedimento n. 243 del 29.04.2025, il Garante Privacy è intervenuto sulla tematica della conservazione dei metadati di posta elettronica e di navigazione nel contesto lavorativo, stabilendo limiti temporali specifici (21 giorni) per la conservazione degli stessi. Decorso tale termine, i metadati dovrebbero essere cancellati o, comunque, resi indisponibili, a meno che siano adottate apposite garanzie da parte del datore di lavoro e sussistano comprovate esigenze tecniche e organizzative, oppure sia raggiunto un accordo sindacale o sia stata acquisita specifica autorizzazione dell’ITL.

La tematica è complessa e merita molta attenzione: i datori di lavoro dovranno gestire la conservazione dei metadati di posta elettronica (e di navigazione) nel rispetto delle prescrizioni del Garante Privacy, pena sanzioni di non poco conto. Ciò anche se vi sono ancora diversi quesiti irrisolti in relazione ai quali si auspica un intervento da parte del Garante Privacy.

I rischi derivanti dall’utilizzo improprio dell’AI da parte dei dipendenti

La Generative AI è ovunque. Persone e aziende di tutto il mondo la utilizzano quotidianamente per svolgere compiti e mansioni. Tuttavia, può accadere che si faccia uso dell’Intelligenza Artificiale senza rispettare le policy aziendali, contribuendo così ad accrescere quello che ormai è conosciuta come Shadow AI.

I rischi principali che derivano dalla Shadow AI si traducono nel verificarsi di incidenti di sicurezza o di violazioni di dati personali (data breach), nella violazione di procedure aziendali, ma anche nella violazione del copyright aziendale (know how, segreti commerciali, informazioni riservate) e causano impatti rilevanti non solo sull’operatività e sull’efficienza dei processi, ma anche sulla reputazione.

Diviene quindi fondamentale l’adozione di un approccio risk based, ormai alla base di tutte le più recenti normative europee (AI ACT, GDPR, Direttiva NIS 2, DORA), e di una strategia di governance efficace per rafforzare la resilienza dell’azienda.