Whistleblowing: normativa e nuovi obblighi per le imprese ai sensi della direttiva UE 2019/1937

Nel nostro ordinamento la disciplina del whistleblowing, con riferimento al settore privato, è ad oggi strettamente connessa alle scelte di compliance di ogni operatore[1].

A partire dal 2017, l’adeguatezza del MOGC – volta a garantire piena tutela della società da illeciti commessi a suo vantaggio da dipendenti e/o apicali – richiede un sistema di segnalazione che assicuri la riservatezza del segnalante e disincentivi il ricorso indiscriminato a segnalazioni dolose o gravemente colpose. 

All’interno di questo panorama normativo, l’adozione di un meccanismo di whistleblowing – così come del relativo MOGC – resta, ad oggi, per le aziende, una mera facoltà.

Tuttavia, a fronte dell’emissione della direttiva UE 2019/1937 stiamo per assistere ad un cambio di prospettiva che determinerà, in capo ad alcuni soggetti, l’obbligo di adozione di un canale relativo ai flussi informativi. L’Unione Europea, con la previsione della direttiva in tema di “protezione delle persone che segnalano violazioni del diritto UE” richiede l’adozione di appositi canali di comunicazione a garanzia delle segnalazioni relative a violazioni del diritto europeo.

1. Le previsioni europee

L’intervento del legislatore comunitario è stato mosso dall’intenzione di rafforzare la prevenzione di eventi commessi a danno del diritto UE all’interno delle realtà nazionali.

Con questo scopo, è stato introdotto il dovere[2] , in capo agli stati membri, di prevedere l’obbligatoria adozione di appositi canali di segnalazione, da parte delle imprese con almeno 50 lavoratori[3].

Il canale di whistleblowing deve essere impiegato per segnalare comportamenti che siano lesivi del diritto UE quali, per esempio, le violazioni in tema di:

– appalti pubblici;

– servizi, prodotti e mercati finanziari;

– prevenzione del riciclaggio e del finanziamento del terrorismo;

– sicurezza e conformità dei prodotti;sicurezza dei trasporti;

– tutela dell’ambiente;salute pubblica;

– protezione dei consumatori;

– tutela vita privata, dati personali e sicurezza delle reti e dei sistemi informativi;

– violazioni mercato interno (come violazioni fiscali, in tema di concorrenza e di aiuti di stato).

È espressamente previsto che, con riferimento ad imprese soggette a particolari tipologie di rischio, l’obbligo si applica anche al di sotto della soglia dei 50 lavoratori e, in ogni caso – a prescindere dalle dimensioni dell’azienda – si tratta di un meccanismo fortemente consigliato.

Per consentire alle diverse realtà aziendali di adeguarsi alle novità normative, è stato previsto un arco temporale di due anni per le aziende con più di 250 lavoratori e di quattro anni per le realtà con più di 50 lavoratori.

Con l’adozione della direttiva, il meccanismo di segnalazione si estenderebbe a violazioni ulteriori rispetto a quelle prescritte dal d.lgs. 231/2001, garantendo maggiori presidi alla società adottante anche, per esempio, in tema di tutela della privacy e dei dati personali.

2. Le caratteristiche del sistema di whistleblowing

Il sistema di segnalazione delle violazioni del diritto europeo prevede: (i) il divieto di qualsiasi ritorsione in capo al segnalante con divieto di inserimento dello stesso in c.d. “black list”; (ii) canali di segnalazione sia interni all’azienda che esterni, con la designazione di apposite autorità nazionali; (iii) appositi meccanismi di conservazione delle segnalazioni; (iv) meccanismi di sostegno per i segnalanti.

3. Cosa devono fare le imprese?

L’intervento del legislatore italiano, già in ritardo sulle scadenze fissate dall’UE, determinerà importanti cambiamenti anche per le PMI.

Per evitare che l’adozione di tutti i presidi necessari avvenga a ridosso del già tardivo intervento normativo, è opportuno che le imprese inizino a valutare un piano d’azione. Quest’ultimo sarà differente a seconda delle specifiche esigenze dell’azienda, esigenze determinate da: (i) dimensioni aziendali; (ii) livello di rischio.

Per tutte le aziende che non sono ancora munite di un adeguato sistema di segnalazione si rende certamente necessaria l’implementazione di un idoneo canale finalizzato a tale scopo; per le imprese connotate da un maggiore grado di rischio può essere opportuna la vera e propria creazione di una piattaforma apposita; infine, per le PMI è consigliabile il ricorso a delle soluzioni più pratiche, come quelle online fornite da terzi.

Certamente, a fronte dell’intervento del legislatore – sia a livello interno che europeo – è necessario affrontare una vera e propria evoluzione della governance aziendale, con il conseguente miglioramento dei sistemi di organizzazione e di controllo interni che diventeranno obbligatori.

Inoltre, anche in considerazione del costante ampliamento del catalogo dei reati presupposto, di cui al d.lgs. 231/2001, è importante che le aziende avviino percorsi di compliance finalizzati al rafforzamento e all’integrazione dei propri sistemi di controllo interno. Infatti, nonostante la direttiva non preveda l’obbligo di adozione di MOGC, è necessario valutare l’adeguatezza dei propri sistemi di controllo attraverso l’elaborazione di risk assessment anche – e soprattutto: (i) in vista delle sovvenzioni UE (PNRR); (ii) con riferimento al recepimento della direttiva PIF – avvenuta con il d.lgs. 75/2020 – che mira al contrasto delle frodi all’UE; (iii) in considerazione dell’istituzione della Procura Europea che, dal giugno 2021, fa fronte ai danni agli interessi finanziari dell’UE; (iv) per l’aumento del rating di legalità dell’AGCM.

[1] Ci si riferisce ai meccanismi di segnalazione strettamente connessi all’adozione di un Modello di Organizzazione Gestione e Controllo ai sensi del d.lgs. 231/2001.

[2] Gli stati membri avevano termina al 31.12.21 per prevedere degli interventi in materia. In Italia, è con la l. 53/2021 “Delega al governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – legge delegazione europea 2019-2020” si è delegato il governo al recepimento di tale direttiva, da svolgersi entro il 31.12.21.  Ad oggi, non è stato concretizzato alcun recepimento.

[3] La normativa considera “lavoratori” tutti coloro che prestano attività nel settore pubblico o privato, ma anche i volontari e terzi soggetti connessi ai segnalanti.