Il soffiatore del fischietto in Italia (cd "whistleblower")
Transcript
Il soffiatore del fischietto in Italia (cd "whistleblower")
Il Sole 24 Ore, 24 febbraio 2015 Il soffiatore del fischietto in Italia (c.d. "whistleblower") di Francesca Petronio e Marilena Hyeraci 1. Introduzione Con la legge del 7 ottobre 2014 n. 154 ("Legge di Delegazione Europea 2013"), il Parlamento ha conferito al Governo "la delega per il recepimento delle direttive europee e l'attuazione di altri atti dell'Unione europea" in relazione a molti ambiti, tra i quali la disciplina sulle segnalazioni delle violazioni delle disposizioni in tema di vigilanza prudenziale per gli enti creditizi e le imprese di investimento. In particolare il Parlamento ha chiesto al Governo di "disciplinare le modalità di segnalazione, all'interno degli intermediari e verso l'autorità di vigilanza", delle violazioni degli obblighi previsti nella direttiva 2013/36/UE e nel regolamento (UE) n. 575/2013, relativi alla cooperazione tra le autorità di vigilanza e alla vigilanza prudenziale sugli enti creditizi e le imprese di investimento, "tenendo anche conto dei profili di riservatezza e di protezione dei soggetti coinvolti, eventualmente prevedendo misure per incoraggiare le segnalazioni utili ai fini dell'esercizio dell'attività di vigilanza ed eventualmente estendendo le modalità di segnalazione anche ad altre violazioni"(1). Ai sensi della disciplina sul recepimento da parte dell'Italia della normativa comunitaria(2), il Governo ha un intervallo di tempo limitato per l'esercizio della delega legislativa conferita con legge di delegazione europea, pena la perdita di efficacia della delega stessa, nonché l'eventuale apertura di una procedura di infrazione contro l'Italia(3). Per quanto riguarda il tema qui in esame, il termine per l'esercizio della delega era il 12 febbraio 2015 e dalle informazioni pubblicamente disponibili risulta che in data 10 febbraio 2015 il Governo abbia approvato in via preliminare uno schema di decreto legislativo, che il 12 febbraio 2015 è stato assegnato alle commissioni parlamentari per il dovuto parere, il cui termine ultimo è il 24 marzo 2015(4). Indipendentemente da come nei prossimi mesi l'Italia darà seguito agli obblighi comunitari sopra richiamati, la Legge di Delegazione Europea 2013 ed in particolare la delega conferita al Governo in tema di segnalazioni delle violazioni, hanno riportato all'attenzione degli operatori il tema delle segnalazioni delle violazioni, strumento cruciale in un'ottica di prevenzione degli illeciti, nonché di implementazione di un sistema di controllo interno efficace per le aziende. 2. Il "soffiatore del fischietto": una normativa frammentata Il fenomeno delle segnalazioni delle irregolarità (cd. whistleblowing, che letteralmente verrebbe tradotto come "soffiare il fischietto"), ampiamente in uso nei sistemi di Common Law ed in particolare negli USA, anche in virtù della legge Sarbanes Oxley del 2002 e dei regolamenti applicativi della stessa(5), non ha ricevuto granché diffusione negli Stati europei, dove non esiste una disciplina uniforme sull'argomento. Sul tema merita una breve analisi l'orientamento adottato a livello comunitario dal Gruppo di lavoro per la tutela dei dati personali, istituito ai sensi dell'art. 29 della Direttiva 95/46/CE del Parlamento Europeo e del Consiglio ("Art. 29 Working Party"). Ai sensi della Direttiva 95/46/CE, tra i compiti dell'Art. 29 Working Party, organismo a carattere consultivo ed indipendente, vi è quello di "esaminare ogni questione attinente all'applicazione delle norme nazionali di attuazione" della Direttiva 95/46/CE "per contribuire alla loro applicazione omogenea"(6). In adempimento a detti compiti, il 1° febbraio 2006 l'Art. 29 Working Party ha emesso il parere n. 117 relativo alle denunce delle irregolarità riguardanti la tenuta della contabilità, i controlli contabili interni, la revisione contabile, la lotta contro la corruzione, la criminalità bancaria e finanziaria, che contiene un vero e proprio vademecum sulle procedure per la gestione delle segnalazioni ("WP 117"). In particolare, l'Art. 29 Working Party nel WP 117, in un'ottica di bilanciamento degli interessi in gioco, quali quello del denunciante, del denunciato e dell'azienda: (i) raccomanda alle aziende l'adozione di un sistema di gestione delle segnalazioni idoneo a garantire la sicurezza e la riservatezza delle denunce stesse; (ii) ricorda che i dati personali oggetto di segnalazione devono essere trattati lealmente, lecitamente e per finalità esplicite, determinate e legittime, nonché in modo non incompatibile con dette finalità; (iii) promuove le procedure di denuncia nominative rispetto a quelle anonime, che dovrebbero rappresentare un'eccezione nel sistema di controllo interno dell'azienda, oltreché ove ammesse, attivare delle cautele specifiche (ad es. un protocollo ad hoc perché il primo destinatario della denuncia ne valuti sin da subito l'ammissibilità). L'Art. 29 Working Party raccomanda inoltre alle aziende di valutare attentamente l'opportunità di limitare il numero dei soggetti autorizzati ad esperire le procedure di segnalazione, nonché il numero dei soggetti denunciabili, suggerendo di istituire un organo specifico preposto alla gestione delle segnalazioni, composto da personale con adeguate competenze e formazione anche in materia di privacy, opportunamente separato dagli altri dipartimenti della società ed in particolare dal dipartimento risorse umane. Nel WP 117 si sottolinea, infine, come la procedura di gestione delle segnalazioni debba garantire al denunciato il diritto a ricevere informativa circa la persona responsabile della procedura, i fatti di cui è accusato, le modalità per l'esercizio del diritto di accesso e la rettifica alle informazioni; il denunciato in nessun caso deve poter ottenere le informazioni sull'identità del denunciante, salvo se vi è la prova dell'infondatezza della denuncia, nonché la malafede del denunciante ed il denunciato voglia attivare un procedimento per diffamazione. In Italia, il fenomeno delle segnalazioni e, più in particolare, della gestione delle stesse, non è disciplinato in modo unitario, essendo piuttosto oggetto di regolamentazioni sporadiche. E' così sia nel settore privato che nel settore pubblico, dove le segnalazioni di irregolarità sono oggetto di trattamento solo in specifici campi. Per quanto riguarda il settore privato, ad esempio, la legge del 20 maggio 1970 n. 300 in materia di tutela del lavoratore prescrive una procedura ad hoc da seguire nell'ipotesi di iniziative disciplinari da parte della azienda(7). Il decreto legislativo del 30 giugno 2003 n. 196 in materia di protezione dei dati personali prevede che alla persona accusata sia garantito il diritto di essere informata circa il trattamento dei suoi dati personali, salvo casi eccezionali(8). Anche il Garante per la protezione dei dati personali si è espresso su questi temi nel 2009 segnalando formalmente al Parlamento e al Governo l'opportunità di un intervento normativo, volto ad individuare i presupposti di liceità del trattamento dei dati personali connessi alla segnalazione, definire le fattispecie oggetto di possibile denuncia, nonché la portata del diritto di accesso da parte del segnalato(9). Discipline specifiche relative alle segnalazioni di violazioni sono inoltre contenute nel testo unico dell'intermediazione finanziaria(10), nonché nell'ambito della normativa antiriciclaggio ai sensi del decreto legislativo del 21 novembre 2007 n. 231(11). Infine, la disciplina sulla responsabilità delle persone giuridiche ai sensi del decreto legislativo dell'8 giugno 2001 n. 231, prevede tra i fattori per la potenziale esclusione della responsabilità dell'ente, l'ipotesi in cui la società dimostri di avere "adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e gestione idonei a prevenire i reati della specie di quello verificatosi" che prevedano, tra l'altro, "obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli"(12). A questo riguardo, le Linee Guida di Confindustria per la costruzione dei modelli di organizzazione gestione e controllo ai sensi del decreto legislativo n. 231/2001, nella versione recentemente aggiornata di marzo 2014 ed approvata dal Ministero della Giustizia il 31 luglio 2014, ribadiscono come l'obbligo di informazione sopra citato rientrerebbe nel più ampio dovere di diligenza e di fedeltà del prestatore di lavoro ai sensi degli artt. 2104 e 2105 c.c., facendone discendere la conseguenza che il corretto adempimento di detto obbligo non potrebbe dare luogo all'inflizione di sanzioni disciplinari nei confronti dei segnalanti. Le Linee Guida di Confindustria qui citate raccomandano peraltro di "garantire la riservatezza a chi segnala le violazioni", nonché di prevedere "misure deterrenti contro ogni informativa impropria, sia in termini di contenuti che di firma"(13). Per quanto riguarda il settore pubblico, la legge del 6 novembre 2012 n. 190, in un'ottica di prevenzione e repressione della corruzione e dell'illegalità nella pubblica amministrazione(14), ha introdotto nei confronti del pubblico dipendente che denuncia all'Autorità Giudiziaria o alla Corte dei Conti, o che riferisce al proprio superiore gerarchico condotte illecite di cui sia venuto a conoscenza in ragione del rapporto di lavoro, alcune tutele, quali ad esempio la riservatezza sulla sua identità nonché la garanzia da eventuali ritorsioni conseguenti alla segnalazione medesima(15). Recentemente, ad ottobre 2014, Transparency International Italia ha istituito un portale web, cd. "Allerta Anticorruzione - Alac", deputato a raccogliere in modo anonimo e confidenziale le segnalazioni nei casi di corruzione. L'obiettivo di questo istituto è supportare il whistleblower nel fare la segnalazione in modo efficace, a circostanziare le informazioni, nonché ad identificare il soggetto più adatto a ricevere la denuncia e se del caso affiancare il segnalante nelle fasi successive. 3. Conclusioni In Italia la disciplina del "soffiatore del fischietto" non è ad oggi oggetto di una normativa uniforme, ed è pertanto affidata alla discrezionalità delle singole aziende, libere di decidere se introdurre o meno delle procedure ad hoc. Un sistema di compliance che includa delle procedure dedicate alla gestione delle segnalazioni degli illeciti, che preveda la confidenzialità delle denunce, non solo in relazione al contenuto della segnalazione, ma anche all'identità del segnalante, rappresenta un potenziale strumento di forza per un sistema di controllo interno aziendale che vuole essere efficace. In conformità a quanto raccomandato dall'Art. 29 Working Party in ambito comunitario in materia di contabilità, lotta contro la corruzione, la criminalità bancaria e finanziaria, le aziende dovrebbero dotarsi di procedure specifiche idonee a supportare le funzioni aziendali coinvolte nei flussi informativi verso il vertice, per la prevenzione di qualunque irregolarità o comunque degli illeciti più gravi. Nelle more dell'implementazione in Italia di una normativa uniforme sul whistleblowing, come raccomandato dal Garante per la protezione dei dati personali, ogni intervento legislativo di settore, come quello della Legge di Delegazione Europea 2013 in materia creditizia, rappresenta un tassello ulteriore nel puzzle della regolamentazione del "soffiatore del fischietto" in Italia, di cui le aziende non possono non tener conto. Note 1.Legge di Delegazione Europea 2013, art. 3 "Principi e criteri per il recepimento della direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, sull'accesso all'attività degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento, che modifica la direttiva 2022/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE", lettera h. 2.Legge del 24 dicembre 2012 n. 234, artt. 31 e ss.. 3.Legge del 24 dicembre 2012 n. 234, art. 39. 4.Cfr. sul sito della Camera dei Deputati: http://www.camera.it/leg17/682?atto=147&tipoatto=Atto&leg=17&tab=1#inizio; e sul sito del Senato della Repubblica: http://www.senato.it/leg/17/BGT/Schede/docnonleg/30193.htm. 5.In forza della quale le imprese statunitensi hanno l'obbligo di adottare delle procedure sulle denunce riguardanti la tenuta della contabilità, i controlli contabili interni, la revisione contabile (Sarbanes Oxley, Section 301). 6.Direttiva 95/46/CE, artt. 29 e 30. 7.Legge del 20 maggio 1970 n. 300, art. 7. 8.Decreto legislativo del 30 giugno 2003 n. 196, art. 13. 9.Segnalazione al Parlamento e al Governo del 10 dicembre 2009. 10.Decreto legislativo del 24 febbraio 1998 n. 58, art. 8 11.Decreto legislativo del 21 novembre 2007 n. 231, artt. 41 e ss.. 12.Decreto legislativo dell'8 giugno 2001 n. 231, art. 6 13.Linee Guida di Confindustria per la costruzione dei modelli di organizzazione gestione e controllo ai sensi del decreto legislativo n. 231/2001, aggiornato al 2014, pag. 70. 14.Per le criticità connesse all'ambito di applicazione della legge n. 190/2012, ed in particolare alla sua applicabilità agli enti privati a partecipazione statale, si rinvia a quanto riportato dall'Anac nel Rapporto sul primo anno di attuazione della legge. 15.Introducendo l'art. 54 bis al decreto legislativo del 30 marzo 2001 n. 165.