Il whistleblowing: scenari aperti tra tutela della riservatezza e prevenzione dei reati e delle frodi

Premessa

Con la legge 179/2017, recante “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”, è stato introdotto nell’ordinamento italiano l’onere di predisporre, nella propria organizzazione aziendale, misure volte a favorire l’emersione di fatti di rilievo penale o, più in generale, illeciti che si verifichino nell’espletamento dell’attività di impresa.

Il whistleblowing, istituto di origine anglosassone, non del tutto sconosciuto all’ordinamento italiano per ciò che riguardava il settore pubblico, è stato esteso dalla novella del 2017 al settore privato, andando a incidere direttamente, per ciò che riguarda la responsabilità degli enti, sull’art l’art. 6 del D.lgs. 231/2001, cui sono stati aggiunti appositi commi 2-bis, 2-ter e 2-quater.

In questi termini la riforma è venuta a incidere direttamente sull’efficacia dei Modelli Organizzativi.

Dalla nuova formulazione dell’art. 6 succitato deriva innanzitutto che l’ente deve realizzare necessariamente “uno o più canali attraverso cui effettuare le segnalazioni, che consentano di garantire la riservatezza dei segnalanti”. In altri termini, vanno assicurati i canali di comunicazione tra il soggetto segnalante (c.d whistleblower) e gli organi apicali dell’azienda che, una volta ricevuta la segnalazione, devono determinarsi sul seguito cui attribuirle.

L’esistenza di tali canali di comunicazione, in uno alla predisposizione di idonee misure per favorire la formulazione delle stesse e la protezione dell’identità del segnalante, sono a tutti gli effetti elementi che costituiscono ulteriore requisito di idoneità del Modello agli occhi del giudice.

Centrale è allora, la ricostruzione del delicato equilibrio tra la spinta alla prevenzione dei reati e la tutela della riservatezza dei segnalanti, anche alla luce dell’attenzione che a quest’ultimo aspetto è dedicata a livello unionale attesa la recente direttiva UE in tema di protezione dei whistleblower.

 

La tutela della riservatezza del segnalante

Un soggetto che abbia interesse a segnalare una violazione consumatasi all’interno di una società può scegliere tre differenti strade: può farlo indicando i propri dati, può farlo in maniera riservata, ma identificabile, e può farlo, infine, in maniera anonima, salvo andare a verificare poi effettività e consistenza di questa ultima opzione.

Nessun particolare problema si pone nel caso in cui il segnalante, pur avendone la possibilità, rinunci ab origine alla riservatezza che gli sarebbe dovuta effettuando la segnalazione dichiarando espressamente di esserne l’autore.

Va da sé come in questa ipotesi non v’è modo di contestare l’adeguatezza dell’assetto organizzativo aziendale, non dovendo la società predisporre in un alcun modo strumenti tesi a evitare il divulgarsi dei dati del dichiarante.

Più complesso è il caso in cui il segnalante voglia restare anonimo.

Il legislatore si è occupato in maniera stringente di tutelare la posizione del soggetto segnalante successivamente alla comunicazione, sia prevedendo misure tese ad evitare eventuali ritorsioni derivanti dall’interno della compagine aziendale, sia imponendo la predisposizione di misure di riservatezza che permettano di evitare l’identificazione del segnalante sin dal principio.

Se il primo aspetto è affidato alla lettera della legge (all’art. 6 commi 2 bis e 2 quater), la tutela delle riservatezza del segnalante, intesa come necessità di preservarne l’identità, è invece addossata alla predisposizione di canali di segnalazione che siano in grado di assicurare l’anonimato e la riservatezza, con effetti anche sull’idoneità del modello.

Punto di partenza è, ancora una volta, la previsione normativa.

La norma prevede che è compito della società quello di predisporre “canali che garantiscono la riservatezza dell’identità del segnalante nelle attività di gestione e segnalazione”.

Tale esigenza di protezione del whistleblower va però bilanciata con la possibilità che la società si determini nel senso di dare seguito alle segnalazioni con iniziative disciplinari e non solo.

Pertanto, la tutela della riservatezza del segnalante va sviscerata secondo in tre differenti corollari.

In primo luogo, l’identità del segnalante può essere disvelata su richiesta del segnalato. Infatti, nel caso in cui la società decida di dare seguito in qualche modo ai contenuti della segnalazione prendendo provvedimenti, il segnalato deve essere messo in condizione di poter conoscere l’identità del whistleblower al fine di esercitare correttamente il proprio diritto di difesa.

In questo senso depone anche una recente pronuncia della Corte di Cassazione (Cass. 9047/2018) che, sebbene pronunciatasi in relazione alla disciplina previgente all’estensione del sistema di whistleblowing anche al settore privato, ha ritenuto che la riservatezza deve essere garantita in una fase iniziale, ma ha precisato che la protezione di cui gode il segnalante non è assoluta, dovendo cedere di fronte al diritto dell’accusato che deve difendersi dalle accuse rivoltegli.

In secondo luogo, e in linea di stretta connessione con quanto detto finora, la riservatezza del whistleblower va tutelata in relazione al contesto della discovery.

È infatti necessario che solo l’accusato sia messo a parte dell’identità dell’accusatore, sempre nell’ottica di preservare il contesto aziendale nel quale il dipendente si muove.

Quindi sebbene il segnalante, per dirlo con le parole della giurisprudenza di legittimità, “deve essere identificabile seppure protetto”, è anche vero che la società deve assicurare un sistema a due livelli: deve garantire, ai propri dipendenti, un canale di segnalazione che assicuri l’anonimato salvo permettere, nel caso in cui ne insorga la necessità, di identificare l’identità del whistleblower, e, al tempo stesso, predisporre strumenti di comunicazione al solo segnalato dell’identità del suo accusatore, evitando che, almeno per iniziativa della società, l’informazione divenga di pubblico dominio.

In ogni caso, al di là della predisposizioni di strumenti tecnici che possano assicurare la correttezza della triangolazione della comunicazione tra società, segnalato e segnalante, posta la posizione di iniziale riservatezza garantita al segnalante è da ritenersi che il diritto del segnalato matura solo nel caso in cui questi si veda oggetto di un’azione qualsiasi da parte della società, anche solo di natura disciplinare.

Ancora differente è l’ipotesi della segnalazione anonima, intendendo per tale quella della quale sia impossibile comprendere, anche successivamente, l’identità del dichiarante.

Nel silenzio del legislatore, in questo caso si pone un problema prima ancora sulla fondatezza della notizia e la società è lasciata libera sia di predisporre canali idonei per far pervenire tale segnalazione sia di scegliere se dare seguito o meno attraverso attività istruttorie.

Tuttavia, nel caso in cui questo accada sarà comunque onere della società, laddove si riesca a identificare il segnalante, quello di predisporre strumenti per proteggere l’identità del whistleblower.

Prevenzione dei reati e delle frodi

Il fine ultimo dell’estensione del whistleblowing anche al settore privato risiede in quello della prevenzione dei reati e delle frodi.

Questo implica che, a partire dalla segnalazione, si segue una catena procedurale interna all’azienda tesa, previo accertamento preliminare della fondatezza della notizia, a prendere provvedimenti disciplinari ed eventualmente a denunciare il fatto alle autorità giudiziarie, pur nella consapevolezza che non esiste obbligo di denuncia.

Tuttavia, è pur vero che le iniziative poste in essere dalla società a seguito di una segnalazione possono riverberarsi direttamente sul Modello e sulla sua efficacia: nessun sistema di prevenzione dei reati e delle frodi potrà dirsi efficacemente implementato se non sono definite anche le modalità  attraverso le quali provvedere alla verifica della fondatezza dell’oggetto della segnalazione e quali determinazioni assumere.

Innanzitutto è appena il caso di precisare che l’ente deve approfondire non ogni condotta oggetto di segnalazione, ma solo quelle che ineriscono direttamente la società: implicazione ne è che un’eventuale verifica deve vertere solo all’interno del contesto societario. Saranno pertanto oggetto dell’interesse aziendale solo segnalazioni che potrebbero comportare una condanna ai sensi del d.lgs. 231/2001, disvelando una “irresponsabilità organizzata” che poggia sulla colpa di organizzazione.

Attraverso la segnalazione, in ultima analisi, l’ente non fa altro che valutare se il Modello Organizzativo sia idoneo ed efficacemente implementato, risultando l’eventuale condotta delittuosa il frutto di un’elusione fraudolenta dello stesso.

In particolare, vale la pena ricordare che il raggio di azione dell’azienda deve limitarsi all’accertamento funzionale tra i fatti venuti a conoscenza del segnalante e l’esercizio della sua attività in azienda: sul punto, infatti, la Cassazione ha chiarito che la disciplina del whistleblowing non fonda “un obbligo di attiva acquisizione di informazioni, autorizzando improprie attività investigative, in violazione dei limiti imposti dalla legge”. (Cass. Sez. V. n. 35792/2018)

Di conseguenza, l’attività investigativa dell’azienda non può che soffrire degli stessi limiti propri del sistema del whistleblowing e limitarsi a valutare la veridicità dai fatti inerenti alle sole attività aziendali.

Infine, quand’anche la verifica effettuata dall’ente desse un risultato positivo in ordine alla fondatezza della segnalazione, la società dovrà prendere gli opportuni provvedimenti disciplinari, rispondendone eventualmente per mancata implementazione del modello, e procedere ad un correlato aggiornamento del sistema preventivo del modello.

Nessun obbligo invece grava in capo all’azienda per ciò che attiene ad un’eventuale denuncia all’autorità giudiziaria, cui sono tenuti solo i pubblici ufficiali.

Conclusioni

La tutela della riservatezza del segnalante, e più in generale la protezione da eventuali ritorsioni, è stata recentemente oggetto della Direttiva UE  sulla “Protezione degli individui che segnalano violazioni delle norme comunitarie”.

Il provvedimento, approvato dal Parlamento Europeo lo scorso 7 ottobre con 591 voti favorevoli, introduce maggiori tutele per la sicurezza dei potenziali informatori.

Tre sono i principali pilastri attorno ai quali tale direttiva si muove: la possibilità di inoltrare le comunicazioni direttamente alle autorità nazionali competenti, attraverso sistemi di segnalazione pur sempre interni all’ente; la salvaguardia degli informatori, e di coloro che eventualmente prestino loro assistenza, da ritorsioni attraverso la somministrazione, anche, di assistenza finanziaria, psicologica e legale e, in generale, un nuovo sistema per proteggere le informazioni sulle violazioni del diritto dell’UE.

L’attenzione rivolta a questi aspetti è la riprova che le segnalazioni che derivano dall’interno del contesto aziendale rappresentano un potenziale concreto per la prevenzione di frodi e reati e che il sistema interno delle aziende, di cui il Modello di Organizzazione e Gestione è lo specchio, deve essere tarato sulla protezione di questi soggetti per evitare indebite distorsioni di tali notizie ed essere giudicato eventualmente inidoneo ai sensi del D.lgs. 231/2001.