Whistleblowing, i gruppi di imprese e la condivisione del canale di segnalazione

Con il decreto legislativo 10 marzo 2023, n. 24, pubblicato nella Gazzetta Ufficiale del 15 marzo 2023 (il “ Decreto Whistleblowing ”), è stata recepita nell’ordinamento italiano la direttiva UE 2019/1937 (di seguito, la “ Direttiva ”) riguardante “ la protezione delle persone che segnalano violazioni del diritto dell’Unione ” (cd. disciplina whistleblowing).

Tale disciplina mira a garantire un elevato livello di protezione delle persone che segnalano violazioni di disposizioni normative che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato (c.d. whistleblowers ), attraverso l’implementazione di canali di segnalazione sicuri a livello di singola impresa. La creazione di tali canali comporta una serie di adempimenti particolarmente gravosi per tutte le imprese soggette all’ambito di applicazione della disciplina whistleblowing .

Nel panorama europeo precedente l’entrata in vigore e successivo recepimento della Direttiva - nel silenzio della previgente disciplina in materia - si era diffusa nei gruppi di imprese la prassi di condividere la gestione delle segnalazioni di illeciti e dei relativi canali. Sovente, le società capogruppo implementavano procedure whistleblowing a livello globale, in virtù del loro potere/dovere di adottare linee guida, regolamenti e policy dirette ad affermare una cultura aziendale caratterizzata dalla tutela dei valori di integrità e etica e da un buon sistema di corporate governance. Tali canali erano di solito gestiti a livello centralizzato, attraverso uno o più organi interni (quali, ad esempio, lo “Speak-up Committee” o l’“Ethics Committee”).

Subentrata la nuova disciplina, i gravosi requisiti di attivazione e gestione dei canali di segnalazione imposti alle imprese hanno sollevato alcuni interrogativi circa le modalità di implementazione dei canali whistleblowing all’interno dei gruppi, in particolare con riguardo alla loro possibile “ centralizzazione ”.

Tratteremo quindi di seguito questo particolare aspetto, con l’obiettivo di comprendere, da un lato, se le prassi infra-gruppo adottate in epoca precedente all’entrata in vigore della Direttiva e del Decreto Whistleblowing possano ancora considerarsi legittime e, dall’altro lato, di offrire soluzioni pratiche aderenti all’attuale quadro normativo.

Prendiamo, quindi, le mosse dal dato normativo: l’articolo 8, comma 6, della Direttiva , consente ai soggetti del settore privato che hanno impiegato, nell’ultimo anno, da 50 a 249 lavoratori di condividere le risorse per il ricevimento delle segnalazioni e delle eventuali indagini da svolgere, senza che ciò possa pregiudicare l’obbligo imposto a tali soggetti di mantenere la riservatezza, di fornire un riscontro al segnalante e di gestire la relativa segnalazione.

Tale disposizione è stata poi trasposta dal legislatore italiano all’interno dell’art. 4, comma 4, del Decreto Whistleblowing .

La ratio sottesa alla possibilità dicondividere i canali di segnalazione è quella di consentire agli enti di minori dimensioni una attività di compliance meno gravosa e, quindi, semplificare gli oneri organizzativi e contenere i costi, in linea con il principio di proporzionalità che permea ed ispira la disciplina in esame.

Inoltre, sia la Direttiva sia il Decreto Whistleblowing prevedono che:

Nulla, invece, è stato specificato (né dal legislatore europeo, né da quello italiano) per i gruppi di imprese di maggiori dimensioni,.

Il complesso quadro normativo ha portato alcune multinazionali danesi ad interpellare la Commissione Europea, al fine di avere chiarimenti circa la portata dell’art. 8, comma 6, della Direttiva. In particolare, tali imprese chiedevano alla Commissione di riconsiderare qualsiasi interpretazione della Direttiva che fosse contraria a una soluzione centralizzata per le segnalazioni degli illeciti all’interno dei gruppi di imprese con filiali site in diversi Stati Membri.

La Commissione Europea, con due lettere datate 2 e 29 giugno 2021, ha cercato di fornire alcune linee guida interpretative e di chiarire, quindi, come la segnalazione degli illeciti debba essere gestita all’interno dei gruppi di imprese.

In tali lettere, la Commissione ha favorito un approccio ‘decentrato’, richiedendo che ogni impresa che impieghi almeno 50 lavoratori si doti di un proprio canale di segnalazione interno, così come prescritto dall’art. 8, comma 3, della Direttiva stessa. Tale norma non ammette eccezioni, nemmeno in caso di società appartenenti ad un gruppo di imprese. Pertanto, a parere della Commissione, non sono ammessi canali di segnalazione centralizzati implementati solo a livello di gruppo: tutte le società, sia di medie sia di grandi dimensioni appartenenti a un gruppo, sono obbligate a dotarsi di propri canali di segnalazione interni.

La Commissione chiarisce altresì che al canale locale previsto da ciascuna legal entity può eventualmente essere affiancato un canale centralizzato gestito a livello di gruppo: ciò, nella prospettiva della Commissione, al fine di assicurare al segnalante la possibilità di accedere agevolmente al canale di segnalazione, nel rispetto del c.d. principio di prossimità. In tali casi - prosegue la Commissione - dovrebbe essere attribuita al segnalante la possibilità di scegliere in modo consapevole a chi presentare la propria segnalazione: se alla società controllata presso la quale presta la propria attività ovvero alla capogruppo.

La Commissione ha inoltre chiarito che, qualora venga istituito un tale canale centralizzato a livello di gruppo, le società controllate possono beneficiare delle capacità investigativa della capogruppo solo qualora vengano soddisfatte tutte le seguenti condizioni :

Alla luce di quanto sopra, si comprende come una gestione delle segnalazioni esclusivamente centralizzata a livello di gruppo - sia esso di medie o grandi dimensioni - non sia in linea con il parere espresso dalla Commissione.

Dagli statements della Commissione emergono chiaramente le rationes sottese all’implementazione “decentrata” dei canali di segnalazione all’interno dei gruppi di impresa. Segnatamente:

In ragione di quanto sopra esposto, i gruppi di imprese dovranno (ri)valutare la conformità delle loro politiche in materia di segnalazione alla luce delle indicazioni della Commissione.

In questo contesto, Confindustria , sulla scorta di quanto già prospettato da Assonime (Audizione presso l’ANAC sullo schema di Linee Guida che danno attuazione alla nuova disciplina in materia di Whistleblowing”, Consultazione n. 10/2023 del 7 giugno 2023) e dalla Autorità Nazionale Anticorruzione (ANAC) , ha ipotizzato diverse soluzioni operative a seconda che si tratti di gruppi con imprese che abbiano fino a 249 dipendenti o oltre.

Nel primo caso, qualora i soggetti privati decidano di affidare a uno stesso soggetto (esterno) la gestione delle segnalazioni, “è necessario garantire che ciascun ente acceda esclusivamente alle segnalazioni di propria spettanza tenuto anche conto della attribuzione della relativa responsabilità. Pertanto, dovranno essere adottate misure tecniche e organizzative per garantire che ciascun ente abbia accesso solo alle segnalazioni di propria competenza”.

Confindustria, pertanto, suggerisce agli enti che decidano di condividere il canale di segnalazione di stipulare accordi e/o convenzioni nei quali prevedere e disciplinare i termini di “condivisione” del canale stesso garantendo, in ossequio a quanto stabilito dalla Direttiva e ribadito dalla Commissione, che tale gestione non pregiudichi “l’obbligo di garantire la riservatezza, di fornire un riscontro e di gestire la violazione segnalata” gravante su ciascuna impresa.

Pertanto, le imprese (che impieghino fino a 249 dipendenti) appartenenti ad un medesimo gruppo potrebbero condividere un’unica piattaforma informatica facente capo alla società madre/capogruppo, la quale si occuperebbe di ‘smistare’ le segnalazioni a ciascun ente competente e/o gestirle nel rispetto dei limiti sopra analizzati.

Nel secondo caso, (imprese che occupino oltre 249 dipendenti), stante l’assenza di una specifica previsione legislativa, le soluzioni prospettate da Confindustria sono le seguenti:

a) una gestione decentrata al livello della filiale, che condivida con la capogruppo unicamente la piattaforma informatica, all’interno della quale deve essere prevista la possibilità per il segnalante di scegliere presso quale società intenda effettuare la segnalazione. Una volta inoltrata la segnalazione alla società scelta dal whistleblower, sarà l’ufficio interno a ciò preposto ad avviare il procedimento e a gestire la relativa segnalazione. Tale modalità organizzativa risulta pienamente aderente al principio di prossimità caldeggiato dalla Commissione europea, in quanto - seppure in presenza di una piattaforma unica per il gruppo - il canale rimane di fatto assolutamente locale, dato che è la legal entity selezionata dal whistleblower stesso a gestire l’intero procedimento;

b) una gestione centralizzata delle segnalazioni affidata alla capogruppo, in qualità di soggetto terzo rispetto alle imprese del gruppo. In questo caso, la capogruppo potrebbe avvalersi di un’unica piattaforma informatica con canali dedicati per ciascuna società. In tal caso, sarebbe opportuno redigere appositi contratti di servizio tra la singola controllata e la capogruppo medesima, aventi ad oggetto la disciplina della gestione delle segnalazioni. Onde garantire il principio di prossimità e rispettare gli obblighi di riservatezza, la capogruppo sarà tenuta ad avvalersi del supporto degli uffici della controllata, ovvero istituire ex ante una struttura dedicata che assicuri la partecipazione di soggetti interni alla controllata cui sia riferibile la segnalazione.

______

*A cura di Roberto Podda, Ludovica Morgia, Maria Giulia Lombardi - K&L Gates

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più