Articoli
29/01/2018
Corporate & Commercial

I modelli 231 e la privacy alla luce delle nuove norme in materia di whistleblowing

  1. La Legge n. 179/2017

Lo scorso 14 dicembre è stata pubblicata in Gazzetta Ufficiale la Legge n. 179/2017 recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”.

La nuova legge, già ribattezzata “Legge sul Whistleblowing”, introduce per la prima volta in Italia una disciplina specifica sul whistleblowing nel settore privato e modifica le norme, a suo tempo introdotte, sul whistleblowing nel settore pubblico.

  1. Il whistleblowing nel mondo

L’Italia è soltanto l’ultimo paese, in ordine di tempo, ad aver previsto una disciplina specifica in materia di whistleblowing. Forme di tutela del whistleblower – sia pubblico che privato – sono previste, infatti, in numerosi ordinamenti giuridici nel mondo.

Ad esempio, negli Stati Uniti, la tutela accordata al whistleblower pubblico (che risale addirittura ai primi anni del secolo scorso) è stata estesa a quello privato ad opera del Sarbanes-Oxley Corporate Reform Act (c.d. SOX) del 2002 ed ulteriormente rafforzata, nel 2010, dal Dodd-Frank Act. Il SOX, in particolare, ha previsto l’obbligo per tutte le società quotate nel mercato americano di dotarsi di sistemi per la ricezione delle segnalazioni e sancito il c.d. divieto di “retaliation”, ovvero di ritorsione nei confronti del segnalante.

Nel Regno Unito, la disciplina in materia di whistleblowing è contenuta nel Public Interest Disclosure Act del 1998, la quale si caratterizza per la particolare attenzione prestata alla qualità della segnalazione.

Quanto all’Unione Europa, solo in alcuni paesi (tra gli altri, Lussemburgo, Romania e Slovenia) esistono normative specifiche in materia di whistleblowing. Nessuna normativa specifica risulta invece essere stata adottata in Francia e Germania.

  1. Il whistleblowing in Italia

Tornando ora al panorama nazionale, fino al 2012 non esisteva in Italia una disciplina specifica in materia di whistleblowing.

Una prima, seppure limitata e ancora inespressa, forma di whistleblowing era stata introdotta dall’art. 6, comma 2, lett. d) del d.lgs. n. 231/2001, laddove stabiliva che i modelli di organizzazione dovessero “prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli”.

Si deve, però, solo alla Legge n. 190/2012 (c.d. Legge Anticorruzione) l’introduzione di una vera e propria disciplina sulla segnalazione di illeciti. In particolare, l’art. 1, comma 51, della Legge n. 190/2012, introduceva nel corpo del d.lgs. n. 165/2001 l’art. 54-bis, rubricato “Tutela del dipendente pubblico che segnala illeciti”.

Da ultimo è intervenuta, come si diceva in apertura, la Legge sul Whistleblowing, che oltre a novellare l’art. 54-bis del d.lgs. n. 165/2001, ha esteso al settore privato le forme di tutela di seguito analizzate.

  1. Il whistleblowing nell’ambito del rapporto di lavoro privato

Più specificamente, la Legge sul Whistleblowing, nell’apprestare tali forme di tutela, ha aggiunto il comma 2-bis all’art. 6 del d.lgs. n. 231/2001, dedicato ai requisiti dei modelli di organizzazione.

Secondo il nuovo comma 2-bis del d.lgs. n. 231/2001, i modelli di organizzazione devono soddisfare quattro condizioni specifiche ossia, in particolare, devono prevedere:

  1. uno o più canali che consentano ad apicali e sottoposti di presentare segnalazioni circostanziate di condotte illecite rilevanti ai sensi del d.lgs. n. 231/2001 e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione;
  2. almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante;
  3. il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione;
  4. nel sistema disciplinare adottato, sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonché di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.

Per quanto riguarda i primi due requisiti, devono essere istituiti due canali di segnalazione, di cui almeno uno di natura informatica. Quindi, ad esempio, posta ordinaria ed e-mail dedicata (o form all’interno della Intranet aziendale).

Il terzo requisito si sostanzia nell’espressa previsione, all’interno dei modelli, del c.d. divieto di “retaliation”.

Quanto al quarto e ultimo requisito, il d.lgs. n. 231/2001 richiede che il sistema disciplinare, contenuto nei modelli, sia integrato con specifiche sanzioni disciplinari per chi viola le misure di tutela del segnalante e per chi effettua segnalazioni infondate.

  1. Alcune questioni aperte

Le nuove disposizioni lasciano aperte una serie di questioni, alle quali può provarsi a dare una prima risposta.

È obbligatorio adottare un sistema di whistleblowing e quali conseguenze derivano dalla sua mancata adozione? No, non è obbligatorio. Per gli enti che non abbiano adottato un modello organizzativo, nessuna conseguenza deriva dalla mancata adozione di un sistema di whistleblowing. Per gli enti che, invece, abbiano adottato un modello organizzativo, la mancata adozione si riflette sull’idoneità del modello a prevenire i reati: un modello che non preveda un sistema di whistleblowing potrebbe ritenersi inidoneo a prevenire la commissione di reati e quindi ad escludere la responsabilità dell’ente.

Laddove un sistema di whistleblowing sia stato adottato, è obbligatorio per chi venga a conoscenza di un illecito effettuare una segnalazione? No. Non esiste un obbligo di segnalazione a carico del dipendente che venga a conoscenza di un illecito (o meglio, tale obbligo esisteva in una delle versioni della legge esaminata dal Parlamento ma è stato eliminato nell’ultimo testo approvato della Legge sul Whistleblowing). Si consideri tuttavia che, seppure un simile obbligo non sia previsto dalla legge, spesso sono gli stessi modelli organizzativi (o i codici etici) a prevedere l’obbligo (o il dovere) per il dipendente di segnalare le condotte illecite di cui sia venuto a conoscenza nell’ambito dell’attività aziendale. Con la conseguenza che la mancata segnalazione potrebbe costituire, di per sé stessa, una violazione del modello e, per ciò solo, suscettibile di segnalazione da parte di un altro dipendente. Il potenziale segnalante, che rimanga inerme, corre quindi il rischio di diventare segnalato.

Chi può effettuare una segnalazione? Possono effettuare una segnalazione, in base alle nuove norme, soltanto gli “apicali” e i “sottoposti”, ma la Legge sul Whistleblowing non vieta all’ente di consentire anche ad altri soggetti (collaboratori, partner, fornitori, ecc.) di effettuare delle segnalazioni. D’altronde, gli enti dotati di un modello di organizzazione talvolta regolano i rapporti con le proprie controparti attraverso reciproci obblighi di segnalazione di condotte illecite di cui vengano a conoscenza nello svolgimento delle attività che l’una presta a favore dell’altra.

A chi deve essere rivolta la segnalazione e con quali modalità deve essere gestita? La Legge sul Whistleblowing non lo dice. Alcune conclusioni possono essere comunque raggiunte, sulla base del generale impianto del d.lgs. n. 231/2001. Qualora venisse individuato quale destinatario delle segnalazioni una funzione interna all’ente (ad esempio, l’Internal Audit o la funzione di Compliance), non potrà non prevedersi il coinvolgimento, fin dal momento della ricezione della segnalazione, dell’organismo di vigilanza che, secondo il d.lgs. n. 231/2001, è l’organo deputato a vigilare sull’osservanza dei modelli. Quanto alle modalità di gestione, è richiesto di garantire la riservatezza dell’identità del segnalante.

Cosa può riguardare una segnalazione? Condotte illecite, rilevanti ai sensi del d.lgs. n. 231/2001 o poste in essere in violazione del modello organizzativo, di cui si sia venuti a conoscenza in ragione delle funzioni svolte. Benché la legge non lo dica, anche le violazioni del codice etico possono essere oggetto di segnalazione nella misura in cui – come accade nella maggior parte dei casi – il codice etico costituisca “parte integrante” del modello.

Come deve essere la segnalazione? La segnalazione deve essere circostanziata e fondata su elementi di fatto precisi e concordanti. Non sono, quindi, ammesse segnalazioni generiche o che si basino su voci correnti.

Sono ammissibili segnalazioni anonime? Non esiste un divieto espresso di segnalazioni anonime.

È necessario richiedere il consenso del segnalato al trattamento dei suoi dati personali? Già prima dell’entrata in vigore della Legge sul Whistleblowing, si discuteva se il trattamento dei dati personali del segnalato richiedesse il suo consenso o se invece il trattamento potesse basarsi sull’adempimento di un obbligo di legge o sul perseguimento del legittimo interesse del titolare. Se da una parte, è certo che, neanche oggi, il trattamento può basarsi sull’adempimento di un obbligo di legge (giacché le nuove norme non introducono obblighi ma semplici oneri) né sul perseguimento del legittimo interesse del titolare (il quale ricorre nei soli casi individuati dal Garante), dall’altra è irragionevole e irrealistico che l’ente ottenga il consenso dei propri dipendenti al trattamento dei loro dati personali nell’ambito di sistemi di whistleblowing. La situazione potrebbe cambiare con l’entrata in vigore del Regolamento UE n. 2016/279 (o “GDPR”) il quale prevede che la valutazione circa la sussistenza dell’interesse legittimo sia rimessa al titolare (e non al Garante).

Come si concilia il diritto del segnalato di ottenere informazioni circa l’origine dei suoi dati personali e la tutela della riservatezza dell’identità del segnalante? Sul punto, già il Gruppo di Lavoro ex Articolo 29 (l’organismo che riunisce i Garanti UE) aveva ritenuto ammissibile, in quest’ipotesi, una limitazione del diritto dell’interessato ad ottenere informazioni circa l’origine dei suoi dati personali. Da questo punto di vista, il GDPR prevede espressamente che la portata del diritto di accesso possa essere limitata dagli Stati membri per salvaguardare interessi quali “la prevenzione, l’indagine, l’accertamento e il perseguimento di reati” o “la tutela dei diritti e delle libertà altrui”.

 

 

 

Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto.
Per ulteriori informazioni si prega di contattare il vostro professionista di riferimento ovvero di scrivere al seguente indirizzo: corporate.commercial@nctm.it

 

Scarica l’articolo

Log in with your credentials

Forgot your details?