01. Premessa
Nel numero precedente – proseguendo il nostro approfondimento su come condurre un’istruttoria interna secondo la ISO/TS 37008:2023 “Internal Investigations of Organizations – Guidance” (di seguito “ISO 37008” o “lo Standard”) – abbiamo analizzato le modalità di raccolta delle informazioni dalle persone informate sui fatti.
In questo nuovo numero affrontiamo un altro aspetto fondamentale: la raccolta, gestione e analisi della documentazione che comprende sia materiali cartacei (policy e procedure interne, contratti, documentazione contabile, ecc.) sia documenti digitali come e-mail aziendali, file e archivi informatici, dati in cloud, log di accesso ai sistemi, chat e messaggistica aziendale.
La documentazione costituisce il pilastro di ogni investigazione interna: attraverso di essa è possibile ricostruire in modo oggettivo e verificabile i fatti. Una corretta acquisizione documentale, condotta secondo la ISO 37008, non solo garantisce la solidità dell’indagine, ma consente anche di dimostrare la conformità del processo a soggetti esterni, come autorità o enti certificatori.
02. Come acquisire i documenti secondo la ISO 37008
Lo Standard descrive l’acquisizione documentale come un processo strutturato, articolato in più fasi.
Pianificazione dell’acquisizione e analisi dei rischi legali
- identificare le fonti documentali potenzialmente rilevanti;
- valutare i rischi di dispersione, alterazione o compromissione delle prove;
- definire le modalità di acquisizione (es. copia forense, accesso diretto, richiesta ai soggetti interessati etc.) nel rispetto della normativa vigente, in particolare in materia penale e giuslavoristica;
- verificare la liceità del trattamento dei dati personali.
Le investigazioni interne, infatti, devono sempre rispettare la normativa nazionale (privacy, Statuto dei lavoratori, diritto penale, ecc).
In tale quadro la ISO 37008 indica un approccio metodologico che aiuta a ridurre il rischio di errori procedurali e a rendere più difendibile l’operato aziendale.
Acquisizione forense e integrità della prova
- l’integrità del file originale;
- la tracciabilità della catena di custodia;
- la possibilità di dimostrare l’assenza di alterazioni.
Documentazione delle attività di raccolta
- le circostanze di tempo e luogo;
- l’elenco dettagliato dei documenti raccolti;
- per i dati digitali, le informazioni tecniche relative alle operazioni svolte e gli identificativi dei file (come gli hash).
05. Conclusioni
Applicare i principi della ISO 37008 nella gestione della documentazione durante le investigazioni interne porta vantaggi concreti: aumenta l’oggettività e l’affidabilità dei risultati, tutela l’ente da possibili contenziosi e rafforza la difendibilità del processo sotto il profilo legale.
Un’acquisizione documentale condotta secondo lo Standard non solo consolida la validità delle indagini, ma rappresenta anche un efficace strumento di governance e prevenzione, capace di ridurre i rischi e accrescere la credibilità aziendale.
In questo contesto, un team investigativo multidisciplinare – composto da avvocati e specialisti tecnici – gioca un ruolo chiave nel garantire sia la conformità legale sia l’efficacia strategica del processo.
Vuoi implementare un processo di investigazione interna conforme alla ISO 37008?
Come studio legale, affianchiamo imprese e organizzazioni nella progettazione, conduzione e supervisione di investigazioni interne, anche in collaborazione con professionisti informatici e forensi.
Se desideri approfondire l’argomento o ricevere una consulenza personalizzata, contattaci senza esitazione.
Alla prossima edizione!
