Il soffiatore del fischietto in Italia (cd "whistleblower")

Il Sole 24 Ore, 24 febbraio 2015
Il soffiatore del fischietto in Italia (c.d.
"whistleblower")
di Francesca Petronio e Marilena Hyeraci
1. Introduzione
Con la legge del 7 ottobre 2014 n. 154 ("Legge di Delegazione Europea 2013"), il
Parlamento ha conferito al Governo "la delega per il recepimento delle direttive
europee e l'attuazione di altri atti dell'Unione europea" in relazione a molti ambiti, tra
i quali la disciplina sulle segnalazioni delle violazioni delle disposizioni in tema di
vigilanza prudenziale per gli enti creditizi e le imprese di investimento.
In particolare il Parlamento ha chiesto al Governo di "disciplinare le modalità di
segnalazione, all'interno degli intermediari e verso l'autorità di vigilanza", delle
violazioni degli obblighi previsti nella direttiva 2013/36/UE e nel regolamento (UE) n.
575/2013, relativi alla cooperazione tra le autorità di vigilanza e alla vigilanza
prudenziale sugli enti creditizi e le imprese di investimento, "tenendo anche conto dei
profili di riservatezza e di protezione dei soggetti coinvolti, eventualmente
prevedendo misure per incoraggiare le segnalazioni utili ai fini dell'esercizio
dell'attività di vigilanza ed eventualmente estendendo le modalità di segnalazione
anche ad altre violazioni"(1).
Ai sensi della disciplina sul recepimento da parte dell'Italia della normativa
comunitaria(2), il Governo ha un intervallo di tempo limitato per l'esercizio della
delega legislativa conferita con legge di delegazione europea, pena la perdita di
efficacia della delega stessa, nonché l'eventuale apertura di una procedura di
infrazione contro l'Italia(3).
Per quanto riguarda il tema qui in esame, il termine per l'esercizio della delega era il
12 febbraio 2015 e dalle informazioni pubblicamente disponibili risulta che in data 10
febbraio 2015 il Governo abbia approvato in via preliminare uno schema di decreto
legislativo, che il 12 febbraio 2015 è stato assegnato alle commissioni parlamentari
per il dovuto parere, il cui termine ultimo è il 24 marzo 2015(4).
Indipendentemente da come nei prossimi mesi l'Italia darà seguito agli obblighi
comunitari sopra richiamati, la Legge di Delegazione Europea 2013 ed in particolare la
delega conferita al Governo in tema di segnalazioni delle violazioni, hanno riportato
all'attenzione degli operatori il tema delle segnalazioni delle violazioni, strumento
cruciale in un'ottica di prevenzione degli illeciti, nonché di implementazione di un
sistema di controllo interno efficace per le aziende.
2. Il "soffiatore del fischietto": una normativa frammentata
Il fenomeno delle segnalazioni delle irregolarità (cd. whistleblowing, che letteralmente
verrebbe tradotto come "soffiare il fischietto"), ampiamente in uso nei sistemi di
Common Law ed in particolare negli USA, anche in virtù della legge Sarbanes Oxley
del 2002 e dei regolamenti applicativi della stessa(5), non ha ricevuto granché
diffusione negli Stati europei, dove non esiste una disciplina uniforme sull'argomento.
Sul tema merita una breve analisi l'orientamento adottato a livello comunitario dal
Gruppo di lavoro per la tutela dei dati personali, istituito ai sensi dell'art. 29 della
Direttiva 95/46/CE del Parlamento Europeo e del Consiglio ("Art. 29 Working Party"). Ai
sensi della Direttiva 95/46/CE, tra i compiti dell'Art. 29 Working Party, organismo a
carattere consultivo ed indipendente, vi è quello di "esaminare ogni questione
attinente all'applicazione delle norme nazionali di attuazione" della Direttiva 95/46/CE
"per contribuire alla loro applicazione omogenea"(6). In adempimento a detti compiti,
il 1° febbraio 2006 l'Art. 29 Working Party ha emesso il parere n. 117 relativo alle
denunce delle irregolarità riguardanti la tenuta della contabilità, i controlli contabili
interni, la revisione contabile, la lotta contro la corruzione, la criminalità bancaria e
finanziaria, che contiene un vero e proprio vademecum sulle procedure per la
gestione delle segnalazioni ("WP 117").
In particolare, l'Art. 29 Working Party nel WP 117, in un'ottica di bilanciamento degli
interessi in gioco, quali quello del denunciante, del denunciato e dell'azienda: (i)
raccomanda alle aziende l'adozione di un sistema di gestione delle segnalazioni
idoneo a garantire la sicurezza e la riservatezza delle denunce stesse; (ii) ricorda che i
dati personali oggetto di segnalazione devono essere trattati lealmente, lecitamente e
per finalità esplicite, determinate e legittime, nonché in modo non incompatibile con
dette finalità; (iii) promuove le procedure di denuncia nominative rispetto a quelle
anonime, che dovrebbero rappresentare un'eccezione nel sistema di controllo interno
dell'azienda, oltreché ove ammesse, attivare delle cautele specifiche (ad es. un
protocollo ad hoc perché il primo destinatario della denuncia ne valuti sin da subito
l'ammissibilità). L'Art. 29 Working Party raccomanda inoltre alle aziende di valutare
attentamente l'opportunità di limitare il numero dei soggetti autorizzati ad esperire le
procedure di segnalazione, nonché il numero dei soggetti denunciabili, suggerendo di
istituire un organo specifico preposto alla gestione delle segnalazioni, composto da
personale con adeguate competenze e formazione anche in materia di privacy,
opportunamente separato dagli altri dipartimenti della società ed in particolare dal
dipartimento risorse umane.
Nel WP 117 si sottolinea, infine, come la procedura di gestione delle segnalazioni
debba garantire al denunciato il diritto a ricevere informativa circa la persona
responsabile della procedura, i fatti di cui è accusato, le modalità per l'esercizio del
diritto di accesso e la rettifica alle informazioni; il denunciato in nessun caso deve
poter ottenere le informazioni sull'identità del denunciante, salvo se vi è la prova
dell'infondatezza della denuncia, nonché la malafede del denunciante ed il denunciato
voglia attivare un procedimento per diffamazione.
In Italia, il fenomeno delle segnalazioni e, più in particolare, della gestione delle stesse,
non è disciplinato in modo unitario, essendo piuttosto oggetto di regolamentazioni
sporadiche. E' così sia nel settore privato che nel settore pubblico, dove le
segnalazioni di irregolarità sono oggetto di trattamento solo in specifici campi.
Per quanto riguarda il settore privato, ad esempio, la legge del 20 maggio 1970 n. 300
in materia di tutela del lavoratore prescrive una procedura ad hoc da seguire
nell'ipotesi di iniziative disciplinari da parte della azienda(7). Il decreto legislativo del
30 giugno 2003 n. 196 in materia di protezione dei dati personali prevede che alla
persona accusata sia garantito il diritto di essere informata circa il trattamento dei
suoi dati personali, salvo casi eccezionali(8).
Anche il Garante per la protezione dei dati personali si è espresso su questi temi nel
2009 segnalando formalmente al Parlamento e al Governo l'opportunità di un
intervento normativo, volto ad individuare i presupposti di liceità del trattamento dei
dati personali connessi alla segnalazione, definire le fattispecie oggetto di possibile
denuncia, nonché la portata del diritto di accesso da parte del segnalato(9).
Discipline specifiche relative alle segnalazioni di violazioni sono inoltre contenute nel
testo unico dell'intermediazione finanziaria(10), nonché nell'ambito della normativa
antiriciclaggio ai sensi del decreto legislativo del 21 novembre 2007 n. 231(11).
Infine, la disciplina sulla responsabilità delle persone giuridiche ai sensi del decreto
legislativo dell'8 giugno 2001 n. 231, prevede tra i fattori per la potenziale esclusione
della responsabilità dell'ente, l'ipotesi in cui la società dimostri di avere "adottato ed
efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e
gestione idonei a prevenire i reati della specie di quello verificatosi" che prevedano,
tra l'altro, "obblighi di informazione nei confronti dell'organismo deputato a vigilare
sul funzionamento e l'osservanza dei modelli"(12). A questo riguardo, le Linee Guida
di Confindustria per la costruzione dei modelli di organizzazione gestione e controllo
ai sensi del decreto legislativo n. 231/2001, nella versione recentemente aggiornata di
marzo 2014 ed approvata dal Ministero della Giustizia il 31 luglio 2014, ribadiscono
come l'obbligo di informazione sopra citato rientrerebbe nel più ampio dovere di
diligenza e di fedeltà del prestatore di lavoro ai sensi degli artt. 2104 e 2105 c.c.,
facendone discendere la conseguenza che il corretto adempimento di detto obbligo
non potrebbe dare luogo all'inflizione di sanzioni disciplinari nei confronti dei
segnalanti. Le Linee Guida di Confindustria qui citate raccomandano peraltro di
"garantire la riservatezza a chi segnala le violazioni", nonché di prevedere "misure
deterrenti contro ogni informativa impropria, sia in termini di contenuti che di
firma"(13).
Per quanto riguarda il settore pubblico, la legge del 6 novembre 2012 n. 190, in
un'ottica di prevenzione e repressione della corruzione e dell'illegalità nella pubblica
amministrazione(14), ha introdotto nei confronti del pubblico dipendente che
denuncia all'Autorità Giudiziaria o alla Corte dei Conti, o che riferisce al proprio
superiore gerarchico condotte illecite di cui sia venuto a conoscenza in ragione del
rapporto di lavoro, alcune tutele, quali ad esempio la riservatezza sulla sua identità
nonché la garanzia da eventuali ritorsioni conseguenti alla segnalazione
medesima(15).
Recentemente, ad ottobre 2014, Transparency International Italia ha istituito un
portale web, cd. "Allerta Anticorruzione - Alac", deputato a raccogliere in modo
anonimo e confidenziale le segnalazioni nei casi di corruzione. L'obiettivo di questo
istituto è supportare il whistleblower nel fare la segnalazione in modo efficace, a
circostanziare le informazioni, nonché ad identificare il soggetto più adatto a ricevere
la denuncia e se del caso affiancare il segnalante nelle fasi successive.
3. Conclusioni
In Italia la disciplina del "soffiatore del fischietto" non è ad oggi oggetto di una
normativa uniforme, ed è pertanto affidata alla discrezionalità delle singole aziende,
libere di decidere se introdurre o meno delle procedure ad hoc.
Un sistema di compliance che includa delle procedure dedicate alla gestione delle
segnalazioni degli illeciti, che preveda la confidenzialità delle denunce, non solo in
relazione al contenuto della segnalazione, ma anche all'identità del segnalante,
rappresenta un potenziale strumento di forza per un sistema di controllo interno
aziendale che vuole essere efficace.
In conformità a quanto raccomandato dall'Art. 29 Working Party in ambito
comunitario in materia di contabilità, lotta contro la corruzione, la criminalità bancaria
e finanziaria, le aziende dovrebbero dotarsi di procedure specifiche idonee a
supportare le funzioni aziendali coinvolte nei flussi informativi verso il vertice, per la
prevenzione di qualunque irregolarità o comunque degli illeciti più gravi.
Nelle more dell'implementazione in Italia di una normativa uniforme sul
whistleblowing, come raccomandato dal Garante per la protezione dei dati personali,
ogni intervento legislativo di settore, come quello della Legge di Delegazione Europea
2013 in materia creditizia, rappresenta un tassello ulteriore nel puzzle della
regolamentazione del "soffiatore del fischietto" in Italia, di cui le aziende non possono
non tener conto.
Note
1.Legge di Delegazione Europea 2013, art. 3 "Principi e criteri per il recepimento della
direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013,
sull'accesso all'attività degli enti creditizi e sulla vigilanza prudenziale sugli enti
creditizi e sulle imprese di investimento, che modifica la direttiva 2022/87/CE e abroga
le direttive 2006/48/CE e 2006/49/CE", lettera h.
2.Legge del 24 dicembre 2012 n. 234, artt. 31 e ss..
3.Legge del 24 dicembre 2012 n. 234, art. 39.
4.Cfr.
sul
sito
della
Camera
dei
Deputati:
http://www.camera.it/leg17/682?atto=147&tipoatto=Atto&leg=17&tab=1#inizio; e sul
sito
del
Senato
della
Repubblica:
http://www.senato.it/leg/17/BGT/Schede/docnonleg/30193.htm.
5.In forza della quale le imprese statunitensi hanno l'obbligo di adottare delle
procedure sulle denunce riguardanti la tenuta della contabilità, i controlli contabili
interni, la revisione contabile (Sarbanes Oxley, Section 301).
6.Direttiva 95/46/CE, artt. 29 e 30.
7.Legge del 20 maggio 1970 n. 300, art. 7.
8.Decreto legislativo del 30 giugno 2003 n. 196, art. 13.
9.Segnalazione al Parlamento e al Governo del 10 dicembre 2009.
10.Decreto legislativo del 24 febbraio 1998 n. 58, art. 8
11.Decreto legislativo del 21 novembre 2007 n. 231, artt. 41 e ss..
12.Decreto legislativo dell'8 giugno 2001 n. 231, art. 6
13.Linee Guida di Confindustria per la costruzione dei modelli di organizzazione
gestione e controllo ai sensi del decreto legislativo n. 231/2001, aggiornato al 2014,
pag. 70.
14.Per le criticità connesse all'ambito di applicazione della legge n. 190/2012, ed in
particolare alla sua applicabilità agli enti privati a partecipazione statale, si rinvia a
quanto riportato dall'Anac nel Rapporto sul primo anno di attuazione della legge.
15.Introducendo l'art. 54 bis al decreto legislativo del 30 marzo 2001 n. 165.