In base all’art. 6, co. 1, lett. b), d.lgs. 231/01, affinché il modello organizzativo abbia efficacia esimente: “il compito di vigilare sul funzionamento e l'osservanza dei modelli e di curare il loro aggiornamento” deve essere stato affidato a “un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo”.

La dottrina ha sottolineato come l’autonomia vada intesa in senso non meramente formale, in quanto è necessario che l’OdV:

- sia dotato di effettivi poteri di ispezione e controllo;

- abbia possibilità di accesso alle informazioni aziendali rilevanti;

- sia dotato di risorse (anche finanziarie) adeguate;

- possa avvalersi di strumentazioni, supporti ed esperti nell’espletamento della sua attività di monitoraggio.

La Giurisprudenza ha individuato, come corollario del requisito di autonomia, un ulteriore requisito di indipendenza, nel senso che i membri dell’organo di vigilanza interno non devono trovarsi in una posizione,

neppure potenziale, di conflitto di interessi con l’ente, né essere titolari all’interno dello stesso di funzioni di tipo esecutivo che, rendendolo partecipe di decisioni e attività operative, ne minerebbero l’obiettività di giudizio nel momento delle verifiche sui comportamenti e sul modello.

L’organismo di vigilanza dovrebbe essere tenuto costantemente informato sull’evoluzione delle attività nelle aree a rischio e avere libero accesso a tutta la documentazione aziendale rilevante, compresi i relativi dati di aggiornamento.

Tuttavia, non bisogna cadere nell’errore di ritenere che detti poteri di iniziativa e controllo - da cui certamente deriva un’ampia possibilità di accesso alle informazioni aziendali, anche di tipo riservato - siano illimitati,

perché essi in realtà trovano un limite nelle disposizioni in materia di protezione dei dati personali (d.lgs. 196/03) e negli ambiti di indagine che sono prerogativa di autorità e organi pubblici.

Si deve perciò considerare che, in base al Codice privacy, l’accesso non consentito a dati personali integra un’ipotesi di violazione delle misure di sicurezza. Anche rispetto all’OdV l’ente deve definire il corretto "profilo di autorizzazione" (a quali dati può accedere e quali siano i trattamenti consentiti) e un idoneo "sistema di autorizzazione" per l'accesso ai dati e alle modalità di trattamento degli stessi onde evitare "violazione di dati personali", ovverosia rivelazioni non autorizzate o accessi non consentiti.

Da parte sua l’OdV deve porsi il problema di:

- valutare e selezionare con attenzione i dati personali cui intende accedere e verificare preliminarmente quali siano le modalità corrette di accesso, nel rispetto dei diritti degli interessati;

- proteggere strumenti elettronici e dati rispetto a trattamenti illeciti di dati e ad accessi non consentiti;

- definire procedure per un'idonea custodia di atti e documenti affidatigli per lo svolgimento dei propri compiti;

- stabilire procedure per la conservazione di determinati atti in archivi

ad accesso selezionato.

L’OdV ha sicuramente un potere di accesso e di indagine che ha confini e strumenti più limitati rispetto al diritto di accesso della Polizia giudiziaria e della Guardia di Finanza.

Lo stesso Codice in materia di protezione dei dati personali all’art. 25 fa salva la comunicazione o diffusione di dati richiesti, in conformità alla legge, da forze di polizia, dall'autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell'articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.

Le Autorità fiscali hanno dei limiti per quanto attiene i mezzi di indagine esperibili per l’accertamento dell’illecito amministrativo. Parte della dottrina esclude che le intercettazioni telefoniche possano essere utilizzate a tal fine, in considerazione del fatto che le intercettazioni possono essere autorizzate dal Giudice solo in presenza di uno dei reati previsti dall’art. 266 c.p.p., tra i quali non sono ricompresi gli illeciti amministrativi. Altra parte della dottrina considera che tali attività tecniche siano ammissibili, anche al di fuori della simultaneità processuale, ma nei soli casi nei quali l’impiego di tali mezzi di ricerca della prova sia consentito dal particolare reato

presupposto che si persegue.

L’acquisizione dei tabulati telefonici è ammissibile in presenza di un decreto autorizzativo motivato (del PM o del Giudice, a seconda che i dati risalgano ai 24 mesi antecedenti alla richiesta, o ai 24 precedenti e previa verifica dell’esistenza di uno dei reati di cui all’art. 407 c.p.p.).

E’ il Pubblico Ministero che può predisporre ulteriori elementi d’indagine, quali la prova documentale e l’impiego mirato di consulenze tecniche, riferibili entrambi all’accertamento dei modelli di organizzazione e gestione, nonché alla predisposizione delle strutture di vigilanza.

In ordine a taluni aspetti di identificazione, il Magistrato può ricorrere ad altri

e ulteriori strumenti investigativi quali:

- le ordinarie prove orali, siano esse dichiarazioni testimoniali o provenienti dai soggetti indagati, incluso il rappresentante legale dell’ente;

- l’acquisizione di tabulati e di corrispondenza elettronica.

Nell’attività ispettiva, la GdF può acquisire dati ed informazioni utili al fine di svolgere lo specifico incarico conferitole dal Giudice, attraverso l’esame degli strumenti informatici in uso all’ente oggetto del controllo.

In tal senso la stessa GdF, al fine di non pregiudicare la regolarità procedurale nell’acquisizione, deve fare ricorso a periti informatici nominati dal Pubblico Ministero. A tal riguardo, il direttore delle indagini valuterà, tenuto conto del contesto di riferimento, la possibilità e/o l’opportunità di interessare la competente Autorità Giudiziaria al fine di ricorrere:

- all’ausilio della Polizia Postale e delle Comunicazioni, presente su tutto il territorio nazionale attraverso Compartimenti con competenza regionale e ottanta Sezioni con competenza provinciale, coordinate a livello centrale dal Servizio Polizia delle Comunicazioni;

- al “supporto di conoscenze” e al “supporto tecnico logistico” del Nucleo Speciale Frodi Telematiche, reparto del Corpo specializzato nel contrasto agli illeciti economico finanziari attuati per via telematica.