Whistleblowing: Intersezioni tra 231 e Privacy
Whistleblowing: Intersezioni tra 231 e Privacy
Il whistleblowing è uno strumento, di matrice anglosassone, volto a regolare (e agevolare) il processo di segnalazione di illeciti penali o di altre irregolarità di cui il whistleblower sia venuto a conoscenza nell’espletamento e/o in costanza del proprio lavoro[1]. Il suo scopo sociale risiede nella prevenzione ed individuazione delle violazioni che rechino un danno all’interesse pubblico oltre che, eventualmente, dell’inefficace attuazione dei presidi di controllo 231 di un ente[2], mirando a garantire una tutela efficace ed efficiente degli informatori dalle ritorsioni che gli stessi potrebbero subire a seguito di una denuncia ispirata a queste nobili finalità[3].
Con la recente Direttiva 1937/2019 sulla “Protezione delle persone che denunciano violazioni delle norme UE”, i soggetti segnalanti sono protetti da qualsiasi forma di ritorsione, diretta o indiretta, per motivi connessi alla segnalazione effettuata[4] e il principale escamotage per ottenere questo effetto consiste ovviamente nel garantire la riservatezza del soggetto denunciante, che va tuttavia distinta dall’anonimato: d’altra parte, non sarebbe possibile garantire adeguata tutela a colui che non si sia reso in alcun modo riconoscibile ai soggetti, tipo l’ANAC, deputati a preservarlo da ripercussioni. Nulla osta, comunque, che i modelli organizzativi interni alla singola persona giuridica possano prevedere canali per effettuare segnalazioni in anonimato; sebbene, già nel lontano 2009, il Garante Privacy ritenne necessario verificare la veridicità delle informazioni: infatti, nel caso in cui le stesse risultassero false, anche la garanzia dell’anonimato potrebbe risentirne, in una logica di contemperamento degli interessi confliggenti.
Con la Legge n. 179/2017 - intitolata “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato” - il nostro legislatore trova nell’articolo 6, comma 2-bis, del d.lgs. 231/2001 il punto di equilibrio tra la tutela della riservatezza del dipendente e la necessità, altrettanto importante, di assicurare l’effettività del sistema disciplinare previsto dal modello di gestione, organizzazione e controllo (MOGC). Difatti, le segnalazioni anonime potranno essere valutabili, “purché le stesse siano “circostanziate” e “fondate su elementi di fatto precisi e concordanti; allo stesso modo, la tutela è garantita ai segnalanti anche quando la segnalazione, seppur infondata, si basi su criteri di buona fede e ragionevolezza[5]”.
Alla luce di quanto detto, la regolamentazione del whistleblowing plasmata in un sistema di compliance 231 è intimamente legata alla normativa Privacy, che trova nel GDPR[6] la sua più recente declinazione. L’integrazione tra i due istituti presuppone che siano chiaramente definiti i ruoli dei vari soggetti dell’organigramma aziendale, dell’organigramma privacy e del funzionigramma 231, coinvolti nella procedura al fine di garantire il rispetto delle accortezze circa la sicurezza nella circolazione delle informazioni personali, sensibili e non, e il loro eventuale trasferimento, anche fuori dall’Unione, nonché il diritto di accesso agli atti da parte del soggetto segnalato.
Pertanto, un MOGC, per rispettare le precauzioni legate al whistleblowing, dovrà prevedere uno o più canali che consentano al segnalante (soggetto apicale o sottoposto dell’ente) di presentare segnalazioni circostanziate di condotte illecite e almeno un canale alternativo di segnalazione[7] idoneo ad assicurare, con modalità informatiche, la riservatezza dell’identità del segnalante. Inoltre, oltre a tenere indenne il whistleblower da atti di ritorsione di natura discriminatoria, l’ente che vorrà essere ritenuto adempiente dovrà inserire nel sistema disciplinare sanzioni tanto verso colui o coloro che avranno condotte reattive nei confronti del segnalante e/o contravverranno all’obbligo di garantire la riservatezza circa l’identità di quest’ultimo, quanto verso il segnalante che effettua con dolo o colpa grave segnalazioni che, una volta indagate, risultino prive di fondamento.
[1] L’individuazione dei soggetti cui si applica l'istituto del whistleblowing è rigorosamente fissata dal legislatore nell’art. 54 bis, comma 2, del D. Lgs. 165/2001: dipendenti con rapporto di lavoro di diritto privato; dipendenti con rapporto di lavoro assoggettato a regime pubblicistico di cui all’art. 3 del d.lgs. n. 165/2001, compreso il personale di polizia penitenziaria e quello della carriera dirigenziale penitenziaria, con la sola esclusione degli appartenenti alle magistrature, il cui organo di autogoverno direttamente riceve e gestisce le segnalazioni whistleblowing; lavoratori e collaboratori delle imprese fornitrici di beni o servizi e che realizzano opere in favore della amministrazione, solo nel caso in cui le segnalazioni da essi effettuate riguardino illeciti o irregolarità relativi al Ministero della giustizia, nei cui confronti la prestazione è resa; coloro che svolgono tirocini formativi o di orientamento presso le articolazioni ministeriali o presso gli uffici giudiziari in base a convenzioni stipulate con le scuole di specializzazione per le professioni legali, ai sensi dell’art. 16 del d.lgs. n. 398 del 17 novembre 1997, oppure in base alle convenzioni previste dall’art. 18 della legge n. 196 del 1997 e dall’art. 1, comma 32, della legge n. 92 del 2012.
[2] Che potrebbero diminuire le possibilità che l’ente stesso sia esentato da responsabilità amministrativa ex D. Lgs. 231/01.
[3] Al cospetto delle citate “nobili finalità”, si precisa che qualora dalla segnalazione possano evincersi interessi personali del segnalante questi è tenuto a renderne edotto il soggetto recettore dell’istanza.
[4] Si vedano gli artt. 19 e ss. della Direttiva 1937/2019.
[5] M. Metafune, Il diritto all’anonimato del whistleblower tra pubblico e privato, in Iusinitinere.it 27.03.2020.
[6] Regolamento UE 679/2016.
[7] Quale potrebbe rinvenirsi in un data entry ispirato alla tecnologia blockchain.
Contributo a cura del Dott. Piermarco Di Lallo.
Pubblicata una nuova monografia sul diritto d'autore
Pubblicata una nuova monografia sul diritto d'autore
Siamo orgogliosi di presentare finalmente la monografia curata dal nostro Partner Andrea Tatafiore, dedicata alla proprietà industriale e intellettuale.
L'opera, edita CEDAM-WKI, ha visto il contributo dei Professionisti di Studio Industria Francesco Minazzi, Pietro Pulsoni, Piermarco Di Lallo e Francesco Pavia.
Abbiamo già in mente altro, occhi all'erta.
Le differenze funzionali tra OdV e Collegio Sindacale
Le differenze funzionali tra OdV e Collegio Sindacale
Ai fini di una concreta possibilità che l’ente sia esonerato da responsabilità per i reati eventualmente sorti al suo interno[1], la normativa prevede[2] che il Modello 231 debba “prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli”; il dato normativo viene messo in pratica attraverso la predisposizione di un sistema di flussi informativi[3] bidirezionali “da e verso” l’Organismo di Vigilanza, per informarlo adeguatamente delle dinamiche societarie rilevanti in ambito di compliance.
Ciò premesso, è importante soffermarsi sullo specifico flusso tra Organismo di Vigilanza e Collegio Sindacale: il primo deve relazionare il secondo in merito al funzionamento del modello, alle eventuali necessità di un suo aggiornamento[4], nonché agli aspetti di maggior rilievo di cui sia venuto a conoscenza nel periodo di riferimento del report, la cui frequenza minima, sebbene di norma debba parametrarsi in base al peculiare profilo di rischio aziendale, sarebbe opportuno che avesse una cadenza quantomeno annuale. Il secondo deve invece aggiornare il primo, nelle medesime tempistiche, circa le attività di controllo e vigilanza attuate e delle conseguenti ricadute pratiche su tutti gli aspetti collegati alla regolamentazione 231.
Nonostante entrambi questi organi abbiano delle funzioni prettamente di controllo, è ormai acclarato che la differenza sostanziale tra i due debba ricondursi alla titolarità di una posizione di garanzia[5] in capo al Collegio Sindacale, che invece manca ai membri dell’Organismo di Vigilanza, per i quali non è configurabile l’obbligo giuridico di impedire il reato altrui, ma solo l’obbligo di sorvegliare sul corretto funzionamento del Modello di organizzazione e controllo ed “esercitare controlli su alcuni reati societari, presupposto della responsabilità dell’ente (tra i quali il falso in bilancio), sui quali svolge un’attività di vigilanza anche il collegio sindacale[6]” che invece, in forza del carattere globale e discrezionale (quanto alle modalità) della sua posizione di controllo, ha il potere/dovere di impedirne il compimento. L’obbligo di sorveglianza dell’Organismo di Vigilanza si risolve nella mera vigilanza priva di poteri giuridici impeditivi e che può al più estendersi in un potere/dovere di informazione e impulso nei confronti del soggetto/organo dotato di poteri di intervento impeditivi; questa caratteristica ha quale ulteriore corollario la naturale riconduzione della responsabilità dell’Organismo di Vigilanza nell’ambito di quella “contrattuale”, in quanto detti obblighi e doveri sembrano derivare direttamente dall’assunzione dell’incarico.
Da quanto detto, emerge una sorta di collaborazione informativa, sebbene di differente respiro e portata, tra Organismo di Vigilanza e Collegio Sindacale. Collaborazione positiva anche solo per una sorta di “segregazione istituzionalizzata” relativa alle funzioni di controllo interno, che si accomuna a tutte quelle “segregazioni funzionali” da sempre ritenute un indice di best practice nella efficace attuazione dei modelli autoregolamentativi. Tuttavia l’introduzione[7], per le società di capitali, della possibilità che il Collegio Sindacale svolga le funzioni dell’Organismo di Vigilanza porta ad un vero e proprio ribaltamento di quanto sinora asserito, poiché dalla coincidenza dei due organi viene, da un lato, a configurarsi in capo al Collegio Sindacale/Organismo di Vigilanza l’obbligo giuridico di impedire il reato e, pertanto, l’Organismo di Vigilanza acquisisce così una rilevanza non più solo interna, ma anche esterna, divenendo titolare di quella posizione di garanzia che si è visto essere prerogativa del solo Collegio Sindacale; dall’altro poi, verrebbe meno quell’attività di sorveglianza reciproca che avrebbe portato i due organi ad “esaminare e sindacare talune attività o, soprattutto, omissioni dell’altro[8]”, in quanto svanisce il presupposto della non coincidenza di controllori e controllati.
[1] A causa del principio presuntivo di immedesimazione organica del soggetto autore del misfatto.
[2] Art. 6 D. Lgs. 231/01
[3] Sull’importanza dei flussi informativi si faccia riferimento a quanto riportato nel Modello CoSO-ERM, il più diffuso standard internazionale in tema di enterprise risk management e sistemi di controllo interno.
[4] Le ragioni alla base di una sollecitazione in merito all’aggiornamento del Modello di Organizzazione e Controllo possono essere endo ed eso societarie. Tra queste ultime si può annoverare, per l’attualità del richiamo, l’adeguamento aziendale alla normativa Covid-19.
[5] Sebbene circoscritta ex art. 2407, comma 2, c.c. al solo controllo sull’attività degli amministratori.
[6] M. Arena, I controlli reciproci tra collegio sindacale e Organismo di Vigilanza, in 4CLegal.com 09/07/2018.
[7] Con la finanziaria del 2012.
[8] Ibidem
Contributo a cura del Dott. Piermarco Di Lallo.