A cura di Giuseppe Stefano Staropoli, Carnà & Partners, Milano
Le nuove sfide per il settore privato: dalla Legge 179/2017 sino alla Direttiva (UE) 1937/2019 e al D. Lgs. 24/2023.
Come noto, il Consiglio dei Ministri, nella seduta dello scorso 10 marzo, ha finalmente approvato il D. Lgs. 24/2023 (di seguito anche solo “Decreto”) per il recepimento della Direttiva (UE) 1937/2019 in materia di «Protezione degli individui che segnalano violazioni delle norme comunitarie».
Il testo definitivo, entrato in vigore il successivo 30 marzo, tiene conto dei pareri rilasciati dal Garante per la protezione dei dati personali (11 gennaio 2023) e dalle Commissioni riunite II – Giustizia e XI – Lavoro pubblico e privato (14 febbraio 2023).
Il citato Decreto, nel solco della Direttiva, mira a promuovere la cultura della legalità e della compliance nei contesti organizzativi, tramite l’armonizzazione della disciplina del whistleblowing alle indicazioni delle Istituzioni euro-unitarie e alle best practices internazionali.
Inoltre, il Decreto interviene sulle norme interne che già disciplinavano la tutela del segnalante (L. n. 179/2017) e che distinguevano nettamente gli strumenti di tutela dei settori pubblico e privato.
Per il primo, la norma di riferimento era l’art. 54-bis del testo unico del pubblico impiego (D. Lgs. n. 165/2001, «Tutela del dipendente pubblico che segnala illeciti»). Per il secondo, invece, le previsioni di tutela dei whistleblowers si rinvengono direttamente nel D. Lgs. n. 231/2001 (art. 6, comma 2-bis e ss.), in relazione ai contenuti dei Modelli di Organizzazione, Gestione e Controllo (in seguito anche solo “Modello 231”).
Nel nuovo contesto normativo, ciò che assume particolare rilievo riguarda il perimetro oggettivo con cui il legislatore italiano ha delimitato la portata del “segnalabile”, prevedendo che le violazioni che possono oggetto di segnalazione riguardino comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’ente privato (o dell’amministrazione pubblica) e che consistono in: i) illeciti amministrativi, contabili, civili o penali; ii) condotte illecite rilevanti ai sensi del D. Lgs. n. 231/2001; iii) violazioni dei Modelli di Organizzazione, Gestione e Controllo adottati ai sensi del D. Lgs. n. 231/2001; iv) illeciti che rientrano nell’ambito di applicazione degli atti dell’Unione europea relativi, a titolo non esaustivo, ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; tutela dell’ambiente; v) altri atti od omissioni che ledono gli interessi finanziari dell’Unione europea e/o riguardanti il mercato interno.
Fermo quanto precede, gli operatori del settore si stanno ponendo, oggi, numerosi quesiti concernenti l’applicazione, nella pratica, della predetta disciplina, tra i quali spicca il seguente: quali sono i principali adempimenti che gli enti del settore privato devono porre in essere nell’ottica di un perentorio adeguamento ai dettami della normativa in parola?
In risposta, a titolo meramente esemplificativo e senza alcuna pretesa di completezza, si precisa quanto segue, senza dimenticare che le tempistiche per adempiere mutano in relazione alle dimensioni organizzative dell’ente. Volendo riassumere, si può dire che l’ente dovrà/potrà:
- attivare un proprio canale di segnalazione interno che garantisca, anche tramite il ricorso a strumenti di crittografia, la riservatezza dell’identità del segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione;
- ove nell’ultimo anno abbia raggiunto una media di lavoratori subordinati, con contratto di lavoro a tempo determinato o indeterminato non superiore a n° 249 (considerata la novità apportata dal D. Lgs. 24/2023, rispetto alla precedente normativa) “condividere” il canale di segnalazione interna e la relativa gestione (ad esempio potrebbero essere stipulati accordi/ convenzioni per la gestione in forma associata delle segnalazioni whistleblowing);
- affidare la gestione del canale di segnalazione interno a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione; in alternativa, affidarla ad un soggetto esterno, anch’esso autonomo e con personale specificamente formato. Tali figure, chiamate a gestire le segnalazioni, dovranno svolgere le seguenti attività: a) rilasciare al segnalante un avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione; b) mantenere le interlocuzioni con il segnalante e richiedere a quest’ultimo, se necessario, integrazioni; c) dare diligente seguito alle segnalazioni ricevute; d) fornire riscontro entro tre mesi dalla data dell’avviso di ricevimento della segnalazione o, in mancanza dell’avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione; e) mettere a disposizione informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché sul canale, sulle procedure e sui presupposti per effettuare le segnalazione esterne (per es. esposizione nei luoghi di lavoro, sito internet, altro);
- ove sia dotato di Modello 231, prevedere i canali di segnalazione interna di cui al D. Lgs. 24/2023, ovvero sanzioni nei confronti di coloro che accertano essere responsabili degli illeciti di cui al comma 1, dell’art. 21 del citato Decreto.
Da ultimo, si ritiene utile una riflessione in ordine al panorama normativo sopra descritto che, purtroppo, ad oggi sembra ancora poco chiaro e molto offuscato. Tale riflessione nasce dall’esigenza – sempre più avvertita dalle aziende – di poter delineare dei nuovi orizzonti della compliance, che portino alla percezione della stessa non come un mero adempimento burocratico, bensì come un propulsore di un business etico e innovativo.
Allo stato, invece, le previsioni del D. Lgs. 24/2023 vengono avvertite come un mero adempimento burocratico e non come una chiave risolutiva di una, per molti, “vexata quaestio”.
Difatti, i soggetti del settore privato interessati dalla normativa in parola, fin dall’entrata in vigore, si sono posti numerosi interrogativi, che oggi stanno faticosamente cercando di dirimere la Dottrina, le Associazioni di Categoria e la best practice. In particolare, inter alia, appaiono poco chiare le indicazioni circa la natura dei canali di segnalazione che devono essere istituiti e le modalità di presentazione delle segnalazioni stesse. Ha cercato di sciogliere alcuni nodi interpretativi l’Autorità Nazionale Anticorruzione nello schema di Linee Guida (in consultazione) in tema di whistleblowing che, lo si ricorda, avrebbero dovuto essere pubblicate, nella versione definitiva, entro il 30 giugno scorso e non rilasciate alla data di redazione dell’articolo. L’Autorità pare sostenere, tra gli altri, l'utilizzo di strumenti informatici, sebbene – verosimilmente per una semplificazione narrativa – nel documento in parola si faccia specifico riferimento alle sole piattaforme online, malgrado anche altri strumenti informatici, opportunamente implementati, possono garantire i requisiti normativi.
Tali circostanze rendono, purtroppo, ancora difficile per le aziende considerare gli adempimenti richiesti dalla nuova normativa come un’opportunità per misurare costantemente lo stato dell’arte del programma di segnalazione ed efficientare il sistema di controllo interno.
ILSIST~1.PDFTAGS
Carnà