Internal Whistleblowing ed Antitrust: un protocollo dall'utilità multipla in ottica di compliance integrata

Abstract: Un progetto organizzativo aziendale pensato tradizionalmente, in un'ottica separata delle richieste del Legislatore confezionate in diversi pacchetti normativi  (Dlgs 231/2001, Gdpr, norme Antitrust) e delle indicazioni delle diverse autorità  Garanti (della Privacy ed Antitrust) se eseguito a compartimenti stagni, implica spesso sforzi duplicati, regole e procedure ipertrofiche, perde la convenienza delle sinergie, rinunciando alle opportunità offerte da un ragionamento di attuazione normativa e regolamentare combinata. Attraverso l'adozione di un approccio alla compliance che muova da una lettura olistica delle norme e delle indicazioni delle autorità Garanti della concorrenza e del mercato (Agcm) e della Privacy, evitando inutili stratificazioni procedurali e strumenti clonati, è possibile creare protocolli multicompliance, dall'utilità amplificata, ed eliminare doppioni che appesantiscono l'organizzazione aziendale moltiplicando i costi. Il whistleblowing quale strumento di dissuasione e prevenzione di condotte illecite — ivi comprese quelle antitrust — ispira il progetto di un protocollo multicompliance in esecuzione sia del Dlgs 231/2001 ma anche delle Linee guida sulla compliance antitrust emanate dall'Autorità garante della concorrenza e del mercato nonché delle indicazioni rinvenute in diversi provvedimenti del Garante della privacy. Il compliance officer predisposto ad una lettura simmetrica delle norme e dei provvedimenti delle Autorità, coglierà certamente la convenienza della metodologia illustrata, individuando la progettazione del protocollo di whistleblowing in ottica multicompliance come un'opportunità di sintesi innovativa per attuare la legalità d'impresa.

Indice:

1. Introduzione

2. Whistleblowing nel settore privato: quadro normativo (in progress)

3. Whistleblowing, protocollo polivalente

4. Le tutele

5. Caratteristiche del canale di segnalazione dedicato al whistleblower

6. La convenienza di garantire l'anonimato al denunciante

7. Caratteristiche del software

1. INTRODUZIONE

I giuristi addestrati a letture normative simmetriche scoprono alle volte la possibilità di doppiare l'uso di strumenti nella disponibilità del patrimonio aziendale moltiplicandone l'utilità. Questo ragionamento non è un atto di disobbedienza visionaria, ma solo l'attuazione di un metodo conveniente di fare compliance che predilige l'attuazione normativa combinata, scongiurando quella a silos. L'approccio olistico non solo alle letture normative ma anche ad altre fonti pregne di indicazioni: provvedimenti e Linee guida delle diverse Autorità garanti preposte alla vigilanza della concorrenza, del mercato e dei dati, consente di progettare protocolli multi-compliance ad utilità amplificata, come nel caso del whistleblowing.

Che una società possa essere processata per la commissione di reati di cui al Dlgs 231/2001 oramai è storia del diritto. Se le aziende vogliono schivare il processo penale, devono ragionare e organizzare schemi preventivi della commissione dei reati che da declinazione minimalista il Legislatore ha trasformato, con numerose iniezioni normative, in un vero e proprio catalogo. La progettazione e realizzazione di modelli che ambiscano ad essere adeguati banco iudicis include protocolli di whistleblowing. Si definisce whistleblower il soggetto che denuncia un reato o un illecito di cui sia venuto a conoscenza in ambito lavorativo, a tutela della legalità, senza esservi obbligato per dovere di servizio o per mansione.

Guardando ai destinatari della denuncia, la tipologia di whistleblowing diventa trittica:

a) il whistleblowing alla polizia o all'autorità giudiziaria; 

b) il whistleblowing esterno (external whistleblowing) rivolto ad un Ente che abbia l'autorità di ricevere tali denunce, processarle ed eventualmente aprire un'istruttoria nei confronti della persona o Ente denunciato;

c) il whistleblowing interno (internal whistleblowing) all'azienda di appartenenza: la denuncia può essere indirizzata al diretto superiore o ad un manager di più alto livello oppure ad un apposito organismo interno, qualora esso sia stato istituito come policy dell'azienda, per esempio l'organismo di vigilanza costituito in applicazione del Dlgs 231/2001.

2. WHISTLEBLOWING NEL SETTORE PRIVATO: QUADRO NORMATIVO (IN PROGRESS)

È con i commi 2-bis, 2-ter e 2-quater dell'articolo 6 del Dlgs 231/2001, introdotti dalla legge 179/2017, che fanno il loro ingresso, nel nostro ordinamento, le regole sul whistleblowing nel settore privato. Le aziende che abbiano scelto di adottare un Modello di organizzazione, gestione e controllo (cd. "Mogc") vengono indotte a progettare strumenti ad hoc (protocolli) per supportare il whistleblower a garanzia della legalità e quindi a protezione della società che li progetta ed attua. Il Legislatore è ben consapevole che organizzazioni aziendali carenti di tutele inibiscono il racconto inducendo colui che sa (ad esempio, il dipendente) a fingere di non aver visto o non aver sentito, per timore di subire ritorsioni o per timore di trovare lo stesso datore di lavoro mandante dell'illecito o connivente.

Un Modello di organizzazione, gestione e controllo idoneo dovrà prevedere:

a) specifici canali di segnalazione, di cui almeno uno informatico, che permettano di mantenere la riservatezza dell'identità del segnalante; vietati atti ritorsivi a carico del denunciante, sanzionabili in primis dall'azienda;

b) l'irrogazione di sanzioni disciplinari anche per colui che effettua segnalazioni infondate con dolo o colpa grave.

L'oggetto della segnalazione è circoscritto: deve riguardare condotte illecite perché integranti uno dei reati-presupposto di cui al Dlgs 231/2001 o condotte in violazioni del Mogc (modello di organizzazione gestione e controllo), delle quali il soggetto interno (ad esempio dipendente) o esterno all'organizzazione aziendale (ad esempio fornitore) sia venuto a conoscenza in ambito lavorativo.

Il 9 dicembre 2022 ecco l'incipit di una mutazione del nostro ordinamento a cura del Governo, che approva lo schema di decreto legislativo recante attuazione della direttiva 2019/1937/Ue riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione1. La declinazione delle norme ivi contenute, a tratti labirintica, richiede all'interprete che voglia individuarne la ratio uno sforzo cognitivo non da poco. La disciplina e tutela del whistleblower si fa bifida: differenti le tutele, gli strumenti (canali di racconto), ed il perimetro delle violazioni a seconda che il whistleblower appartenga al settore pubblico o privato.

Nel primo caso (settore pubblico) — indipendentemente dal numero di dipendenti, dalla tipologia di attività, o dall'adozione di un modello organizzativo — le segnalazioni potranno riguardare l'intera sfera delle violazioni del diritto interno e del diritto Ue e potrà essere utilizzato anche il canale di segnalazione esterna che verrà istituito dall'Anac. In riferimento al settore privato, l'ambito di applicazione si riduce alle violazioni del diritto dell'Unione europea in tutte le ipotesi in cui le informazioni riguardino Enti con più di cinquanta dipendenti, ovvero Enti che rientrino, indipendentemente dal numero di dipendenti, nell'ambito di applicazione degli atti dell'Unione di cui alle parti IB e II dell'allegato allo schema di decreto. Per gli Enti che a prescindere dal numero di dipendenti si siano dotati di un modello organizzativo ai sensi del Dlgs 231/2001 l'ambito di applicazione si estende anche alle violazioni del diritto interno, ma il ricorso al canale di segnalazione esterna dell'Anac è limitato alle ipotesi di segnalazioni di violazioni del diritto dell'Unione. Qui la ratio legis si fa sfuggente, a meno di non dover ritenere espressa dal nostro Legislatore la scelta di proteggere maggiormente le segnalazioni di violazioni di norme dell'Unione europea rispetto alla segnalazione di violazioni del nostro diritto interno rimessa per le aziende a soglia dimensionale ridotta a individuali scelte di accountability e di autogestione nella costruzione dei canali di segnalazione.

3. WHISTLEBLOWING, PROTOCOLLO POLIVALENTE

Inutile  dunque etichettare l'internal whistleblowing come "affare 231": se da un lato l'articolo 6, comma 2-bis del Dlgs 231/2001 prevede l'utilizzo di almeno un canale alternativo di segnalazione — idoneo a garantire, con modalità informatiche, la riservatezza dell'identità del segnalante senza entrare in dettagli su come il canale debba essere progettato — dall'altro  il decreto legislativo recante attuazione della direttiva 2019/1937/Ue estende l'adempimento, imponendo l'obbligo di dotarsi di un canale di segnalazione ad aziende con più di 50 dipendenti a prescindere che abbiano o meno scelto di adottare un Mogc (modello di organizzazione gestione e controllo) in esecuzione del Dlgs 231/2001. In ogni caso è il "Gdpr" (ossia il regolamento 2016/679/Ue sulla tutela della privacy, noto come "General data protection regulation") ad imporre una serie di tutele per il segnalante che non possono mancare; lo sottolinea il Garante della privacy in diversi suoi provvedimenti.  Ed il ragionamento di attuazione normativa combinata è estensibile anche alla normativa antitrust. Si centra così l'obbiettivo di strutturare un impianto di whistleblowing multi-compliant: virtuoso, trasparente, efficace, adatto ad ogni realtà aziendale, tutto sta nell'analizzare e strutturare il protocollo scelto, anche alla luce delle indicazioni fornite dalla autorità Garante della concorrenza e del mercato e del Garante della privacy.

4. LE TUTELE

A leggere le norme "231" e "Privacy" nonché le Linee guida sulla "compliance antitrust", sono tante le indicazioni a tutela del segnalante, del segnalato e dei fatti oggetto della segnalazione. A maggior ragione quando il protocollo previsto dall'azienda è costituito da un applicativo, occhio alla conformità della modalità di segnalazione alla disciplina relativa al trattamento di dati. Lo spiega bene il Garante della privacy con il parere 4 dicembre 2019 n. 215 sullo schema delle "Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell'articolo 54-bis, del Dlgs 165/2001 (cd. whistleblowing)" dell'Autorità nazionale anticorruzione – Anac, poi emesse in data 9 giugno 2021. Come non notare l'accento posto  sulle garanzie adeguate alla riservatezza delle informazioni ricevute e sulla protezione dell'identità dei segnalatori e di tutte le altre persone coinvolte ed anche  la riaffermazione del  principio di minimizzazione del trattamento dei dati (ovvero trattare i dati esclusivamente per le finalità relative all'attività di indagine da svolgere) ed ancora  la raccomandazione sulla "data retention" con individuazione dei periodi di conservazione dei dati proporzionati a ciascun singolo caso di segnalazione. Salta agli occhi l'attenzione all'individuazione dei ruoli: sono diversi gli attori coinvolti nella procedura anche dal punto di vista del cd. organigramma privacy. Occorre, ad esempio, individuare ed incaricare ad hoc la figura interna destinataria delle segnalazioni (la scelta delle aziende ricade spesso sull'Odv, l'Organismo di vigilanza), in ogni caso si impone la valutazione d'impatto ai sensi dell'articolo 35 del Gdpr.

5. CARATTERISTICHE DEL CANALE DI SEGNALAZIONE DEDICATO AL WHISTLEBLOWER

Tutto l'impianto di segnalazione, e qui la compliance si fa integrata, può e deve essere studiato ed attuato alla luce della normativa sulla responsabilità penale/amministrativa delle società (Dlgs 231/2001) ma anche della normativa privacy ed il ragionamento di attuazione normativa combinata è estensibile anche alla normativa antitrust. Si centra così l'obiettivo di strutturare un impianto di whistleblowing multi-compliant: virtuoso, trasparente, efficace, adatto ad ogni realtà aziendale, tutto sta nell'analizzare e strutturare il protocollo scelto, anche alla luce delle indicazioni fornite dalla autorità Garante della concorrenza e del mercato, e del Garante della privacy. È essenziale apprestare misure organizzative e tecniche adeguate a presidio del canale di whistleblowing: si parte da un'adeguata valutazione integrata dei rischi, si costruisce il protocollo alla luce della normativa di cui al Dlgs 231/2001, privacy ed antitrust. Il metodo di valutazione dell'impianto deve essere a tenuta alla luce delle tre normative dall'origine sino al termine del processo di segnalazione.

Attenzione alla progettazione, quand'anche l'applicativo scelto certifichi di operare del tutto in maniera conforme, magari facendo anche riferimento a certificazioni di settore — ad esempio, Iso 37001:2016, Iso/Iec 27001 e la Iso/Iec 277012—  è nei provvedimenti del garante privacy ed antitrust che si trovano indicazioni utili e concrete sulle caratteristiche che gli applicativi devono avere.

Preziosa, a tal fine, la lettura3 dei provvedimenti nn. 134 e 135 del 7 aprile 2022,  il Garante ha contestato ad entrambi gli Enti ispezionati diverse violazioni del Gdpr rilevando e considerando nel comminare la sanzione, l'assenza di alcune garanzie: l'accesso all'applicazione web di whistleblowing, basata su un software open source, avveniva attraverso sistemi privi di corretta configurazione poiché registravano e conservavano i dati di navigazione degli utenti,  consentendo l'identificazione dell'utilizzatore (whistleblower) che l'Ente doveva invece tutelare anche rispetto agli accessi degli amministratori di sistema. Sotto il profilo privacy il segnalante, il segnalato ed eventuali terzi cui si fa riferimento (direttamente o indirettamente) nella segnalazione sono tutti soggetti interessati al trattamento, ergo protetti ex lege e la tutela si impone anche se la segnalazione abbia ad oggetto una condotta antitrust. Le aziende sono chiamate a prestare attenzione non solo alle azioni (sbirciatine anche casuali degli "Ads" — avvisi — sui segnalanti e sui contenuti della segnalazione) ma anche alle omissioni organizzative. Da scongiurare: omessa informativa (l'Ente ispezionato non aveva provveduto a informare preventivamente i lavoratori in merito al trattamento dei dati personali effettuato per finalità di segnalazione degli illeciti), omessa "Dpia" (Data protection impact analisis — l'Ente ispezionato non aveva effettuato una valutazione di impatto privacy in ordine all'applicativo ed al trattamento effettuato mediante lo stesso), omessa iscrizione dell'attività di trattamento nel registro dei trattamenti, omessa gestione corretta delle credenziali di autenticazione per l'accesso all'applicazione web dedicata al whistleblowing e l'omessa nomina del fornitore della piattaforma a responsabile esterno del trattamento in riferimento al servizio di hosting dei sistemi che ospitavano l'applicativo con relativa  assenza di  istruzioni sul trattamento dei dati degli interessati oggetto del trattamento di fatto effettuato.

6. LA CONVENIENZA DI GARANTIRE L'ANONIMATO DEL DENUNCIANTE

La disciplina del whistleblowing prevede norme e tutele per chi segnala gli illeciti commessi sul luogo di lavoro.  In particolare, tutela chi, in buona fede, denuncia condotte illecite in ambito lavorativo; infatti, a causa della mancanza di riservatezza e del timore di ritorsioni personali, soprattutto i dipendenti potrebbero essere restii a denunciare gli illeciti. In tale quadro, al fine di avere sistemi di organizzazione gestione e controllo efficaci e preventivi delle condotte irregolari e criminose con l'obbiettivo di rassicurare il whistleblower e stimolarlo la narrazione dei fatti senza timore di ritorsioni, sempre più aziende si convincono della opportunità di consentire il racconto in forma anonima. Si evita in nuce che il solerte  soffiatore possa essere oggetto di atti di ritorsione o discriminatori, diretti e indiretti: si favorisce il racconto sacrificando, questo è vero (qui è richiesto uno sforzo di equilibrismo attuativo), la sanzionabilità del soffiatore in mala fede.4

L'esercizio di ragionamento in ottica di compliance integrata nella progettazione dell'applicativo e la possibilità di mantenere l'anonimato esattamente come quando si racconta una notitia criminis alla pubblica autorità,  rendono possibile e conveniente strutturare all'interno dell'azienda una procedura di whistleblowing che, partendo dall'attuazione del Dlgs 231/2001, si presta a soddisfare le indicazioni del Garante della privacy e gli auspici del Garante Antitrust5. È proprio quest'ultimo che raccomanda, nelle Linee guida sulla compliance antitrust del 25 settembre 20186, l'importanza di costruire procedure di whistleblowing adeguate nell'ambito di programmi di compliance relativi alla normativa di tutela della concorrenza. L'incentivo è la riduzione delle sanzioni comminate alle imprese sulla base dell'articolo 15, comma 1 della legge 287/1990. L'Agcm, dunque, nel definire le Linee guida sulle modalità di applicazione dei criteri di quantificazioni delle sanzioni amministrative pecuniarie irrogate dall'autorità stessa in applicazione dell'articolo 15, comma 1 della legge 287/1990, ha individuato, tra le possibili circostanze attenuanti, l'adozione ed il rispetto di uno specifico programma di compliance, adeguato e allineato alle Best practice europee e nazionali. In particolare, all'articolo 2 delle Linee guida sopracitate, l'Agcm indica, nell'ambito delle soluzioni previste e definite nel programma di compliance, lo strumento dei modelli di reporting interno che consentano al personale di segnalare rapidamente problematiche antitrust, ottenere chiarimenti su specifiche questioni, fino a consentire la denuncia, anche in forma anonima, di possibili violazioni. Lo sforzo aziendale è ripagato da un beneficio che pur non essendo un'esimente del calibro del modello di organizzazione gestione e controllo in esecuzione del Dlgs 231/2001 (che se idoneo banco iudicis scherma dal processo e quindi dalla sanzione), resta conveniente: sconto sulle sanzioni alle aziende dotate di programmi per la segnalazione degli illeciti antitrust. Anche per l'autorità Garante della concorrenza e del mercato è auspicabile, dunque, un sistema di whistleblowing che consenta la denuncia in forma anonima delle violazioni. L'anonimato ispira fiducia al solerte soffiatore, favorisce il racconto perché reca con sé oggettive ed intrinseche garanzie circa la protezione dei segnalanti da condotte ritorsive nei loro confronti; senza retropensieri o timori di ritorsioni cresce la cultura della legalità e della business ethics all'interno dell'organizzazione aziendale, si limitano possibili danni di immagini e richieste di risarcimento danni.

Un protocollo di whistleblowing polivalente è innegabilmente un formidabile strumento di prevenzione e dissuasione delle condotte illegali multiple: comportamenti anticoncorrenziali o che costituiscono reato o in contrasto con il codice etico e con il modello di organizzazione gestione e controllo. Ad adottare un tale tipo di strumento si potenzia la reputazione e l'immagine della società nel mercato, nei confronti di tutti gli stakeholder — soprattutto di clienti e fornitori — si migliora l'organizzazione interna attraverso il presidio delle attività aziendali, da parte di tutti gli attori che operando in azienda ne conoscono le dinamiche di dettaglio e ne assistono l'agito. Fondamentale, al fine di sfruttare al massimo l'applicativo che molte aziende già hanno in dotazione, è che il protocollo di whistleblowing consenta al personale di segnalare rapidamente anche problematiche antitrust, ottenere chiarimenti su specifiche questioni, fino a consentire la denuncia, anche in forma anonima7, di possibili violazioni privilegiando la protezione dei segnalanti da eventuali condotte ritorsive nei loro confronti.

Ed i prodotti informatici offerti dal mercato si prestano allo scopo ed all'uso multiplo (per la compliance 231 ed antitrust e privacy). È ampia l'offerta di applicativi garantiti, protetti da barriere tecniche e misure di sicurezza e corredati da possibilità di percorsi blindati personalizzabili a seconda del progetto di accountability immaginato dall'azienda titolare del trattamento.  Protocolli così blindati che neppure gli amministratori di sistema li possono violare, sbirciando l'identità del segnalante.

7. CARATTERISTICHE DEL SOFTWARE

Il mercato offre software avanzati dal punto di vista tecnologico che consentono denunce in forma anonima e non. L'identità del segnalante è tecnicamente protetta in ogni caso anche se costui ha scelto di segnalare in forma non anonima con i seguenti accorgimenti. La piattaforma (scelta dal titolare) deve:

• essere dotata di un protocollo di rete sicuro (quale il protocollo https) per proteggere il transito dei dati contenuti nelle segnalazioni;

• consentire di separare i dati identificativi del segnalante dal contenuto della segnalazione: questo vuol dire che la gestione della segnalazione è sempre anonimizzata per chi la gestisce, (spesso l'Odv, attraverso la sua segreteria) l'applicativo consentirà l'accesso all'identità del segnalante solo ove ne ricorrano i presupposti: ad esempio richiesta dell'autorità requirente. Ovvio che se la notizia rivelata riguardasse tematiche antitrust, sarà la procedura interna a fissare la regola che queste siano trasmesse all'"antitrust compliance officer" (ove presente) o al responsabile della funzione compliance, geneticamente strutturata per approfondire i temi narrati;

• gestire le segnalazioni in modo trasparente attraverso un iter procedurale definito, con termini certi per l'avvio e la conclusione dell'istruttoria;

• mantenere riservato il contenuto delle segnalazioni durante l'intera fase di gestione della segnalazione;

• la registrazione e la conservazione delle informazioni relative alle connessioni alla piattaforma, nei log degli apparati firewall, non deve consentire la tracciabilità dei segnalanti. Pertanto, qualsivoglia meccanismo di tracciamento degli accessi alla piattaforma che consenta la registrazione e la conservazione degli accessi alla piattaforma e/o delle operazioni eseguite mediante la stessa deve essere considerato in violazione del principio di "minimizzazione" e di "protezione dei dati per impostazione predefinita" (di cui, rispettivamente, agli articoli 5 e 25 del Gdpr);

• adottare protocolli sicuri per il trasporto dei dati in rete nonché l'utilizzo di strumenti di crittografia per i contenuti delle segnalazioni e dell'eventuale documentazione allegata;

• adottare adeguate modalità di conservazione dei dati e della documentazione affinché le segnalazioni vengano conservate in modo sicuro e per il tempo strettamente necessario.

Un applicativo con queste caratteristiche, che garantisca la riservatezza del whistleblower consentendo il racconto, anche in forma anonima, di comportamenti anticoncorrenziali, che costituiscano reato, in spregio al modello organizzativo costituisce un utile strumento per conseguire la conformità del canale di segnalazione a diverse fonti (Dlgs 231/2001, normativa privacy ed indicazioni dei Garante privacy ed antitrust) e rappresenta un'ottima sintesi organizzativa in ottica di compliance integrata.