Whistleblowing, analisi ed esame critico dell'importante e attesa Riforma

Pubblicato il Decreto Legislativo 10 marzo 2023 n. 24 , di attuazione della Direttiva UE 2019/1937 in materia di whistleblowing e di protezione delle persone che segnalano violazioni del diritto dell'Unione e della legge nazionale.

All'esito di un lungo e travagliato iter – caratterizzatosi, peraltro, anche per il mancato adempimento all'obbligo di recepimento, originariamente stabilito a livello europeo in data 17 dicembre 2021 – è stato finalmente predisposto dal Governo e pubblicato in Gazzetta Ufficiale il Decreto Legislativo n. 24 del 10 marzo 2023, volto a recepire ed a declinare nel nostro ordinamento giuridico le disposizioni di fonte europea in materia di protezione del segnalante (c.d. whistleblower) contenute nella Direttiva UE 2019/1937.

La nuova disciplina entrerà in vigore decorsi quattro mesi di vacatio legis, a partire dal 15 luglio 2023.

L'attesa era divenuta quasi spasmodica, in quanto gli operatori sia del settore Pubblico che di quello Privato (ambedue investiti dagli effetti del provvedimento), sia i consulenti incaricati di assistere aziende e istituzioni nella gestione degli afferenti problemi di compliance normativa, necessitavano di un approdo normativo certo e definitivo sul quale basare le proprie scelte operative.

Il percorso di decretazione ha preso le mosse dalla predisposizione di uno Schema di Decreto che è stato successivamente sottoposto all'esame delle Commissioni Parlamentari Giustizia, Lavoro, Bilancio e Politiche dell'Unione Europea, nel corso del quale si è altresì svolta, tra le altre, l'audizione di Transparency International Italia [1] , in persona del dott. Giorgio Fraschini [2] , che ha avuto quindi l'opportunità di esprimere le proprie considerazioni e rilievi critici sul primo progetto di riforma stilato dal Governo.

Le Commissioni Parlamentari riunite, uniformemente, hanno espresso il proprio parere favorevole, ma non certo scevro da critiche e proposte di emendamento [3] , al testo del Decreto.

Nondimeno, sullo Schema di Decreto si è espressa Confindustria, che in data 20.01.2023 ha pubblicato un Position Paper [4]preordinato ad analizzare e porre in evidenza gli elementi di criticità forieri di possibili problematiche applicative e che, a suo avviso, erano meritevoli di incontrare un intervento correttivo ed opportune revisioni, prima della pubblicazione del testo definitivo .

Nel presente contributo vedremo come taluni dei suggerimenti rivolti al Governo siano stati recepiti e, conseguentemente, siano confluiti nel testo definitivo del Decreto Legislativo 10 marzo 2023, n. 24.

Con riguardo all'ambito di applicazione oggettivo della disciplina (artt. 1 e 2), il Decreto prevede che a godere delle misure di protezione definite al proprio interno sia il soggetto che effettua una segnalazione di violazioni tanto delle normative nazionali quanto di quelle di fonte Europea, che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato, di cui lo stesso sia venuto a conoscenza in un contesto lavorativo pubblico o privato.

Sotto il profilo strettamente definitorio, la norma circoscrive il concetto di violazione a "comportamenti, atti od omissioni che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica o dell'ente privato" [5] ; la segnalazione è invece la comunicazione, scritta o orale, di informazioni inerenti alla violazione di cui la persona sia a conoscenza; per informazioni sulla violazione, infine, si intendono: "informazioni, compresi i fondati sospetti, riguardanti violazioni commesse o che, sulla base di elementi concreti, potrebbero essere commesse nell'organizzazione con cui la persona segnalante o colui che sporge denuncia all'autorità giudiziaria o contabile intrattiene un rapporto giuridico ai sensi dell'articolo 3, comma 1 o 2, nonché gli elementi riguardanti condotte volte ad occultare tali violazioni"

Sin qui, la normativa sembra profilare in maniera chiara il proprio ambito d'applicazione. Tuttavia, maggiori profili di incertezza emergono allorché ci si approccia al disposto di cui all' art. 3 del Decreto , che regolamenta l'ambito di applicazione soggettivo della disciplina. [6] .
In particolare, vengono profilati diversi approcci nella regolamentazione della segnalazione in riferimento, ora al settore pubblico (art. 3, comma primo), ora a quello privato (art. 3 comma secondo), ingenerando un panorama normativo non privo di possibili difficoltà interpretative. Nondimeno, internamente alla disciplina del settore privato vengono operate ulteriori distinzioni.

Più specificamente, l'art. 3 chiarisce che, per quanto afferisce al settore pubblico, le disposizioni di cui al Decreto trovano una completa applicazione, senza limitazioni di ordine dimensionale o legate a specifiche caratteristiche dell'ente [7].

Sicché, per i soggetti che rivestano una qualsivoglia funzione nell'ambito del settore pubblico che intendano segnalare o denunciare una violazione, risultano pienamente fruibili (purché nel rispetto condizioni che di seguito verranno meglio specificate) i canali di segnalazione sia interni che esterni, come anche le divulgazioni pubbliche e le denunce all'autorità giudiziaria o contabile, al fine di segnalare condotte contrarie tanto al diritto interno nazionale quanto al diritto dell'Unione Europea
.
Diversamente, con riguardo al settore privato [8] , la disciplina opera una distinzione:

• L' art. 3 comma 2 lett. a) il Decreto, prevede che, con riferimento ai soggetti i quali abbiano impiegato, "una media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato"[9] e a quelli che rientrano nell'ambito di applicazione degli atti dell'Unione di cui alle Parti IB e II dell'Allegato al Decreto (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo), si riconosce la tutela del whistleblower nei casi in cui il medesimo abbia inoltrato una segnalazione tramite canali interni o esterni (oltre a divulgazioni pubbliche e denunce all'autorità giudiziaria o contabile), avente ad oggetto solo ed esclusivamente una violazione del diritto dell'Unione Europea.

• Secondo l'art. 3 comma 2 lett. b) il Decreto stabilisce che, nell'ambito degli enti dotati di un Modello organizzativo ex D.lgs. 231/01, a prescindere dal numero di dipendenti (e quindi anche qualora siano inferiori alla soglia dei 50 dipendenti), la tutela è riconosciuta in caso di segnalazione effettuata solo tramite Canali interni, intesa a comunicare informazioni inerenti alle violazioni rilevanti ai sensi del D.lgs. 231/01 [10] od a violazioni dei Modello di organizzazione e gestione adottati dalla società ai sensi dell'art. 6 del Decreto 231 stesso.
Tuttavia, nel caso in cui il soggetto dotato di Modello organizzativo abbia impiegato, nel corso dell'ultimo anno, una media di lavoratori maggiore o uguale a cinquanta, trova applicazione un regime ancora differente, e la tutela viene riconosciuta in caso di segnalazioni effettuate tramite Canali interni , esterni, divulgazioni pubbliche o denunce all'autorità giudiziaria o contabile atte a comunicare violazioni "anche delle informazioni delle violazioni di cui all'articolo 2, comma 1, lettera a), numeri 3), 4), 5) e 6)".

Sotto questo profilo, il legislatore pare aver parzialmente recepito le critiche alla precedente formulazione di cui allo schema di Decreto, circoscrivendo ai soli Canali interni la segnalazione di mere violazioni del Modello.

Le stesse hanno una rilevanza esclusivamente interna alla Società e non debbono, quindi, essere soggette ad un rischio di diffusione pubblica, laddove, peraltro, non sussiste alcun interesse pubblico alla loro diffusione e, di contraltare, vige un significativo rischio di danno reputazionale in capo all'ente interessato.

Ad avviso di chi scrive la formulazione resta, tuttavia, infelice e non esente da profili di criticità. Ed, invero, sembra di intuire che, per le Società dotate di un Modello di organizzazione e gestione ex D.lgs. 231/01 che integrino il requisito del numero medio di addetti maggiore od uguale a cinquanta, sia ancora possibile per il segnalante adire (sempre e comunque in extrema ratio) il canale della divulgazione pubblica, con conseguente spostamento del problema in capo ai soli soggetti privati dotati di Modello che siano maggiormente strutturati ed abbiano un maggior numero di dipendenti.

Il dubbio sopravviene in funzione dell'utilizzo della congiunzione "anche" nell'ultimo periodo della disposizione, che sembra consentire una lettura interpretativa in detti termini. Come è agevole intuire, si tratta di un assetto piuttosto complicato, che presenta ancora evidenti criticità, non di secondo momento.

Come si è accennato, Confindustria, nel proprio Position Paper , aveva inteso porre in rilievo molteplici e significativi profili di incoerenza che parevano inficiare la disciplina del sistema di segnalazione per gli enti dotati di un Modello organizzativo ex D.lgs. 231/01 già nello Schema di Decreto.

In primo luogo, l'associazione degli industriali aveva criticato la scelta del legislatore di estendere l'obbligo di implementazione dei canali interni di segnalazione a tutti gli enti dotati di Modello organizzativo, prescindendo da qualsivoglia valutazione di ordine dimensionale e strutturale.

Secondo la formulazione adottata dal Governo nel primo Schema, confermata anche nel testo definitivo del Decreto, infatti, detto obbligo attinge tutte le aziende dotate di Modello 231, anche quelle di piccole dimensioni e con meno di cinquanta dipendenti, a far data dal 15 luglio 2023.

Ciò si pone in contrasto con quanto previsto dalla Direttiva Europea che riconosce sì, in capo ai singoli Stati, la facoltà di estendere l'obbligo per soggetti ulteriori rispetto a quelli che superano le soglie di dipendenti indicate nella medesima, ma tuttavia impone di fare ciò solo a seguito di "un'adeguata valutazione dei rischi e tenuto conto della natura delle attività dei soggetti e del conseguente livello di rischio, in particolare per l'ambiente e la salute pubblica".

Come giustamente espresso, in chiave critica, all'interno del Position Paper di Confindustria, non sembra invece che la scelta normativa in sede di adeguamento sia sorretta da una adeguata valutazione, tuttalpiù ove si considera che è difficile sostenere che un maggiore rischio per l'ambiente e la salute pubblica siano imputabili alle imprese di dimensioni più esigue e quindi, tendenzialmente, aventi minor impatto ambientale.

Era quindi condivisibile il suggerimento dell'associazione rappresentante dell'imprenditoria italiana, che aveva invitato il Governo a rivedere la formulazione dell'art. 2, comma I, lett. q) punto 3, prevedendo che, anche per l'insorgenza dell'obbligo in capo alle società dotate di Modello organizzativo 231, si imponesse il superamento della soglia quantitativa di dipendenti (250 inizialmente e 50 a far data dal 21 dicembre 2023).

Corrette erano anche le valutazioni formulate nel Position Paper in merito al potenziale effetto di disincentivazione all'adozione del Modello 231 per le piccole-medie imprese di detta previsione normativa, che in conseguenza di ciò potrebbero essere costrette a costi ed oneri in molti casi sproporzionati rispetto alla propria struttura organizzativa ed alle risorse a propria disposizione.

Come si è visto, Confindustria reputava altresì censurabile la scelta di far rientrare le mere violazioni del Modello 231 [11], che hanno invero una rilevanza prettamente interna per l'ente interessato, tra le violazioni passibili di divulgazione pubblica in caso di manifesta inefficacia o di rischi ritorsivi connessi alla fruizione dei Canali interni ed esterni di segnalazione.

Ed infatti, come si è detto, dette violazioni non hanno alcun impatto sulla pubblica sicurezza, e non è possibile rinvenire un interesse di carattere generale che ne giustifichi una divulgazione pubblica.

Anche in questo caso, quindi, era pienamente condivisibile l'invito a riformare il comma 2, lett. b) dell'art. 3, in modo da prevedere che le mere violazioni del Modello organizzativo dell'ente potessero essere veicolate esclusivamente tramite il canale interno di segnalazione.

Ciò avrebbe consentito di scongiurare il rischio di ingenerare un rischio di danno reputazionale a carico dell'ente senza che, per converso, siano generate una o più effettive misure di rinforzo della compliance aziendale o una maggiore tutela dell'interesse pubblico.

Purtroppo, ad una lettura della versione definitiva della disposizione, pare che l'intervento di revisione abbia rimediato solo parzialmente a tali manifeste problematiche nella formulazione.

L'ambito di applicazione soggettiva non è andato esente da critiche nemmeno per quanto attiene alla definizione del settore pubblico. Ed invero, Confindustria ha ritenuto inopportuna la scelta di ricondurre nella definizione di "soggetti del settore pubblico" di cui all'art. 2, comma I, lett. p), i concessionari di pubblico servizio, ciò in quanto si tratta di enti pienamente riconducibili nell'alveo del settore privato. Come rilevato all'interno del Position Paper, infatti, in conseguenza dell'impostazione adottata, emergerebbero manifesti problemi di coordinamento con il dettato dell'art. 5, comma III, del Decreto, che prevede che negli enti del settore pubblico la segnalazione debba essere gestita dal RPCT (Responsabile della Prevenzione della Corruzione e Trasparenza) che, come noto, viene istituito ai sensi della legge 190 del 2019, norma non applicabile ai soggetti privati concessionari di pubblico servizio, eccezion fatta per soggetti di diritto privato sottoposti al controllo delle Regioni e degli enti locali, ai sensi dell'art. 1, comma 60, della stessa legge Severino.

Proseguendo nell'analisi del testo del Decreto, è doveroso evidenziare come lo stesso preveda che le segnalazioni possono essere effettuate, alternativamente, per tramite di Canali interni o esterni, tramite divulgazioni pubbliche o denunce all'autorità giudiziaria o contabile, riferendo informazioni afferenti a violazioni di diverse aree di disciplina regolamentate dal diritto Europeo, come meglio definite all'interno della Parte I dell'Allegato al Decreto . [12]

Innestandosi nel solco tracciato dalla Direttiva UE 2017/1371 (c.d. Direttiva PIF ), recepita tramite il D.lgs. 75/2020, il D.lgs. 24/2023 conferisce altresì r ilievo agli atti ed alle omissioni passibili di inficiare gli interessi finanziari dell'Unione Europea. Infine, oggetto della segnalazione possono essere gli atti o le omissioni riguardanti il mercato interno europeo, ivi comprese le norme dell'Unione regolanti la libera concorrenza, gli aiuti di Stato e le violazioni di mercato, sino a ricomprendere le violazioni fiscali atte a conseguire vantaggi anticoncorrenziali.

Nel concetto di violazione di cui all'art. 2, comma I, lett. a) rientrano, però, anche: illeciti amministrativi, contabili, civili o penali; condotte illecite rilevanti ai sensi del decreto legislativo 8 giugno 2001, n. 231, o violazioni dei modelli di organizzazione e gestione.

Sotto questo punto di vista, le Commissioni riunite, nel proprio parere favorevole con osservazioni [13] allo Schema di Decreto di recepimento della Direttiva, hanno espressamente criticato la scelta di estendere l'ambito applicativo della disciplina interna anche alle segnalazioni di violazioni del diritto nazionale. Più specificamente, le Commissioni hanno suggerito al Governo di valutare l'opportunità di riformulare l'art. 1, comma I, e all'art. 2, comma I, lett. a), numeri 1) e 2), restringendo l'ambito di operatività del Decreto al solo ambito di applicazione dell'art. 2 della Direttiva UE 2019/1937 , riguardante le sole violazioni del diritto europeo, riservando quindi al diritto nazionale vigente la protezione relativa a settori e atti non contemplati della Direttiva, in conformità con quanto previsto al Paragrafo 2 dell'art. 2 della Direttiva stessa. Il Governo, tuttavia, non ha ritenuto di condividere dette osservazioni, ed ha mantenuto nel testo definitivo la medesima impostazione intrapresa ab initio.

È opportuno analizzare, successivamente, la sensibile estensione dell'ambito soggettivo di applicazione della disciplina di protezione del segnalante, profilata dal comma quinto dell' art. 3 del D.lgs. 24/2023 . Ed invero, l'azione di tutela non resta meramente confinata alla salvaguardia dell'autore materiale della segnalazione, bensì estende le proprie propaggini anche ai c.d. "facilitatori" [14], ossia a coloro che abbiano fornito ausilio al whistleblower nel processo di segnalazione [15]. Di più, la protezione garantita al segnalante viene estesa anche: alle persone che con il medesimo condividono il contesto lavorativo; alle persone legate al segnalante da uno stabile rapporto affettivo o di parentela sino al quarto grado; ai colleghi di lavoro della persona segnalante, che operino nel medesimo contesto lavorativo della stessa e che abbiano con detta persona un rapporto abituale e corrente; agli enti di proprietà della persona segnalante o che lavorino nel medesimo contesto della stessa.
A tal ultimo riguardo, è opportuno rilevare come il concetto di soggetti legati al segnalante da uno "stabile legame affettivo", come espresso alla lettera b), sia eccessivamente generico, e possibilmente foriero di problematiche e dubbi interpretativi ed applicativi.

______

*A cura degli Avv.ti Fabrizio Sardella e Alexis Bellezza, Studio Legale Sardella - Partner 24 ORE

[1] Importante organizzazione internazionale non governativa che rappresenta un punto di riferimento nel settore della lotta ai fenomeni corruttivi, della trasparenza e della cultura della legalità.
[2] È possibile prendere visione dell'audizione e consultare il verbale di audizione, presso il sito internet di Transparency International, al seguente link: transparency.it/informati/news/audizione-commissione-giustizia-direttiva-whistleblowing.
[3] L'afferente documentazione è disponibili sul sito internet istituzionale del Parlamento, al seguente link: camera.it/leg19/682?atto=010&tipoAtto=Atto&idLegislatura=19&tab=1#inizio.
[4] Il Position Paper di Confindustria è liberamente fruibile dal sito internet dell'associazione di categoria, al seguente link: www.confindustria.it/home/policy/position-paper
[5] La definizione del concetto di "violazione" come inteso dal Decreto, è contenuta nell'art. 2, comma I, lett. a) del testo normativo in esame. Sono, in ogni caso, ricompresi, illeciti amministrativi, contabili, civili o penali; condotte illecite rilevanti ai sensi del decreto legislativo 8 giugno 2001, n. 231, o violazioni dei modelli di organizzazione e gestione previsti dal Decreto stesso; illeciti che rientrano nell'ambito di applicazione degli atti dell'Unione europea o nazionali indicati nell'allegato al presente decreto ovvero degli atti nazionali che costituiscono attuazione degli atti dell'Unione europea indicati nell'allegato alla Direttiva; atti od omissioni che ledono gli interessi finanziari dell'Unione di cui all'articolo 325 del TFUE; atti od omissioni riguardanti il mercato interno, di cui all'articolo 26, paragrafo 2, del TFUE; atti o comportamenti che vanificano l'oggetto o la finalità delle disposizioni di cui agli atti dell'Unione nei settori previsti dalla Direttiva.
[6] Si veda, a tal riguardo, il prezioso contributo di S. VENTULLO, Decreto attuativo della Direttiva Whistleblowing: criticità nella definizione dell'ambito applicativo in Giurisprudenzapenale.com, che aveva manifestato alcune perplessità già in relazione allo Schema di Decreto.
[7] In particolare, il concetto di "soggetti del settore pubblico" è definito sempre dall'art. 2, al comma I lett. p), come segue: "le amministrazioni pubbliche di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, le autorità amministrative indipendenti di garanzia, vigilanza o regolazione, gli enti pubblici economici, gli organismi di diritto pubblico di cui all'articolo 3, comma 1, lettera d), del decreto legislativo 18 aprile 2016, n. 50, i concessionari di pubblico servizio, le società a controllo pubblico e le società in house, così come definite, rispettivamente, dall'articolo 2, comma 1, lettere m) e o), del decreto legislativo 19 agosto 2016, n. 175, anche se quotate".
[8] L'art. 2, comma I, lett. q) definisce i soggetti del settore privato in chiave residuale, ossia come quelli non rientranti nella definizione di soggetti del settore pubblico, e, in particolare: "1) hanno impiegato, nell'ultimo anno, la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato; 2) rientrano nell'ambito di applicazione degli atti dell'Unione di cui alle parti I.B e II dell'allegato, anche se nell'ultimo anno non hanno raggiunto la media di lavoratori subordinati di cui al numero 1); 3) sono diversi dai soggetti di cui al numero 2), rientrano nell'ambito di applicazione del decreto legislativo 8 giugno 2001, n. 231, e adottano modelli di organizzazione e gestione ivi previsti, anche se nell'ultimo anno non hanno raggiunto la media di lavoratori subordinati di cui al numero 1)".
[9] L'art. 24 dello Schema di Decreto prevede, nel definire le disposizioni transitorie, che sino al 17 dicembre 2023, la norma troverà applicazione, nel settore privato, solo nei confronti degli enti dotati di un numero di dipendenti maggiore o uguale a 250.
[10] Il riferimento è da intendersi ai reati presupposto di cui al catalogo tassativo contenuto nel D.lgs. 231/01, artt. 24 e seguenti.
[11] L'art. 2, comma I, lett. a) n. 2), comprende infatti tra le violazioni le "condotte illecite rilevanti ai sensi del decreto legislativo 8 giugno 2001, n. 231, o violazioni dei modelli di organizzazione e gestione ivi previsti, che non rientrano nei numeri 3), 4), 5) e 6)" [12] L'allegato riporta pedissequamente i provvedimenti normativi di diritto interno che hanno recepito, nel tempo, le disposizioni di rango europeo disciplinanti i settori per i quali è prevista la tutela del segnalante. Rientrano tra dette aree di disciplina: gli appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell'ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi.
[13] Commissioni riunite II e XI del 12 febbraio 2023.
[14] Definizione profilata all'art. 2, comma 1 lett. h): una persona fisica che assiste una persona segnalante nel processo di segnalazione, operante all'interno del medesimo contesto lavorativo e la cui assistenza deve essere mantenuta riservata.
[15] Ai sensi della definizione di cui all'art. 2 dello Schema di Decreto, il facilitatore è un soggetto operante nel medesimo contesto lavorativo, la cui assistenza deve essere mantenuta riservata.