Il 18 luglio 2019 è stato pubblicato, sul sito dell’Associazione dei Componenti degli Organismi di Vigilanza ex D. Lgs. 231/2001, il Position Paper sul Whistleblowing, a cura di Alessandro De Nicola e Ivan Rotunno (Orrick, Herringtnon & Sutcliffe) con il coordinamento del Comitato Centro Studi dell’AODV231. In particolare, il documento approfondisce la disciplina del whistleblowing nell’ordinamento giuridico italiano, con una particolare attenzione alle tematiche legate alla responsabilità amministrativa degli enti, di cui al D. Lgs. 231/2001 (“Decreto 231”) e al ruolo dell’Organismo di Vigilanza (“OdV”). Grande attenzione è altresì dedicata alle implicazioni che il whistleblowing presenta in relazione alla protezione dei dati personali, soprattutto a seguito dell’entrata in vigore del Regolamento (UE) 2016/679 (GDPR).
Preme evidenziare che a livello regolamentare e di soft law sono diversi e molteplici gli interventi legislativi susseguitisi in materia. Il panorama normativo e regolamentare viene descritto minuziosamente all’interno del Position Paper.
Viene innanzitutto analizzata la Legge 179/2017, introduttiva della disciplina del whistleblowing nel settore privato, con ampi risvolti per il D. Lgs. 231/2001 e la necessità per gli enti di adeguare i propri Modelli Organizzativi, Gestione e Controllo. La medesima Legge 179/2017 viene presa in esame anche con riguardo al settore pubblico, per le rilevanti modifiche apportate all’art. 54-bis del TUPI (Testo Unico del Pubblico Impiego).
Sempre con riferimento al settore pubblico, ANAC ha emanato il “Regolamento sull’esercizio del potere sanzionatorio in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro di cui all’art. 54-bis del TUPI (c.d. Whistleblowing)” con Delibera 30 ottobre 2018. Il suddetto Regolamento prevede che l’ANAC eserciti il proprio potere sanzionatorio d’ufficio oppure su segnalazione o comunicazione da parte di dipendenti di una amministrazione o altro soggetto tenuto al rispetto della normativa in materia di Whistleblowing, presentate attraverso la piattaforma informatica predisposta sul sito dell’Autorità.
Altro importante contributo in materia è riscontrabile in materia di antiriciclaggio. A seguito di un excursus storico degli interventi normativi, l’attenzione del Position Paper viene focalizzata sul D. Lgs. 90/2017 che introduce, all’art. 48 del Decreto antiriciclaggio, una disciplina ad hoc sul Whistleblowing, stabilendo delle garanzie a tutela del segnalante e la previsione di un apposito canale di segnalazione.
È altresì opportuno segnalare il contributo previsto dalla Direttiva (UE) 843/2018 (cd. Quinta Direttiva Antiriciclaggio), in cui viene espressamente richiesto agli Stati membri di garantire il diritto di presentare denuncia in condizioni di sicurezza presso le rispettive Autorità competenti alle persone esposte a minacce, atti ostili o atti avversi o discriminatori in ambito lavorativo, che hanno riscontrato un caso sospetto di riciclaggio o di finanziamento del terrorismo.
In ambito “market abuse”, con il D. Lgs. 129/2017 sono stati introdotti nel D. Lgs. 58/1998 (TUF), gli articoli 4-undecies e 4-duodecies volti a prevedere, rispettivamente, i sistemi interni di segnalazione delle violazioni e la procedura di segnalazione all’Autorità di Vigilanza (c.d. whistleblowing interno e whistleblowing esterno) per tutti gli intermediari finanziari e assicurativi.
Entrambe le procedure richiedono di garantire:
- la riservatezza del segnalante;
- l’assenza di condotte ritorsive nei confronti di quest’ultimo;
- la presenza di un “canale specifico, indipendente e autonomo per la segnalazione”.
Le nozioni di whistleblowing interno e whistleblowing esterno sono presenti anche nel settore bancario. In materia, con il D. Lgs. 72/2015 sono stati introdotti nel D. Lgs. 385/1993 (TUB) gli articoli 52-bis e 52-ter, nei quali è stato sancito l’obbligo per le banche di adottare due diversi canali di segnalazione delle violazioni: uno interno e uno esterno. L’art. 52-ter è stato altresì riformato con il D. Lgs. 223/2016, introduttivo del nuovo comma 4-bis, che prevede uno scambio reciproco di informazioni tra la Banca d’Italia e la BCE con modalità e finalità stabilite dalle disposizioni del Meccanismo di vigilanza unico (MVU).
Tra le altre tematiche di particolare interesse trattate nel Position Paper in commento, si evidenziano le implicazioni che la disciplina del Whistleblowing presenta in relazione alla protezione dei dati personali e l’individuazione dei ruoli dei diversi soggetti che intervengono nella gestione di un Whistleblowing scheme, nel rispetto delle disposizioni di cui al Regolamento (UE) 2016/679 del 27 aprile 2016 (“GDPR”). A tal fine viene precisato che l’eventuale adozione del Whistleblowing scheme, impone all’ente di:
- istituire un sistema di segnalazione all’interno del proprio contesto organizzativo che definisca anche le modalità e le finalità del trattamento dei dati personali, nonché, l’individuazione dell’ente stesso quale Titolare del trattamento dei dati. Oltre a ciò, l’ente è tenuto ad adempiere agli obblighi previsti dal GDPR, ivi inclusi quelli di:
- informare ex art.13 del GDPR i soggetti/interessati circa il trattamento dei rispettivi dati;
- accertarsi che gli eventuali responsabili individuati ex art. 28.1 del GDPR presentino “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”;
- accertarsi che l’eventuale “canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante” sia definito, fin dalla progettazione e per impostazione predefinita, in conformità all’art. 25 del GDPR.
- individuare i soggetti che rientrano tra i destinatari delle previsioni del sistema, siano essi segnalanti o segnalati, che devono considerarsi quali interessati i cui dati personali sono oggetto di trattamento;
- individuare gli eventuali soggetti terzi, fornitori di sistemi di segnalazione per il tramite di canali informatici, che possono anche solo potenzialmente accedere o trattare dati personali dei soggetti interessati, per conto del Titolare del trattamento dei dati. Tali soggetti devono infatti qualificarsi quali Responsabili del trattamento dei dati ex art. 28 del GDPR e con loro l’ente/titolare deve sottoscrivere specifici data processing agreements.
Come già accennato, il Position Paper si sofferma anche sul ruolo dell’Organismo di Vigilanza e sulle segnalazioni ex art. 6, comma 2-bis, D. Lgs. 231/2001 che prevede esplicitamente: “obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei Modelli”. Secondo tale norma, il destinatario delle segnalazioni di violazione del Modello 231 (MOG) viene identificato nell’OdV, quale organo deputato a ricevere i flussi informativi sull’efficace attuazione del MOG. È proprio dal nuovo comma 2-bis dell’art. 6, introdotto dalla L. 179/2017, che l’Organismo di Vigilanza viene considerato tra i destinatari più accreditati a ricevere le segnalazioni anche in materia di whistleblowing. Tuttavia, è ammessa l’ipotesi che la gestione delle segnalazioni possa essere attribuita anche ad altri soggetti:
- un ente o soggetto esterno dotato di comprovata professionalità;
- il responsabile della funzione compliance o il responsabile Internal Audit;
- un comitato rappresentato da soggetti appartenenti a diverse funzioni (ad esempio legale, internal audit o compliance);
- il datore di lavoro nelle piccole o medie imprese.
Nelle situazioni in cui l’Organismo di Vigilanza non è individuato quale destinatario delle segnalazioni, Confindustria afferma che sia opportuno ammettere la possibilità di coinvolgere l’Organismo in via concorrente ovvero successiva, al fine di evitare che il flusso di informazioni generato dal sistema whistleblowing sfugga del tutto al controllo dell’OdV.
Per maggiori informazioni si rimanda al Position Paper pubblicato sul sito dell’Associazione.