Sfide pratiche nell’implementazione della Direttiva europea sulla protezione delle persone che segnalano illeciti

Parte 3 – Requisiti per Consulenti legali e Responsabili del controllo della conformità

Nella parte 1 e parte 2 di questa serie di tre blog, abbiamo esaminato i cambiamenti apportati dalla nuova Direttiva europea sulla protezione delle persone che segnalano illeciti (UE 2019/1937) (“la Direttiva” o “EUWBD”) e gli aspetti che, invece, sono rimasti immutati. Ci siamo anche soffermati sui possibili comportamenti di chi denuncia dettati dalla nuova Direttiva.

Qui di seguito, ci concentreremo sulle azioni che i Consulenti legali e i Responsabili del controllo della conformità dovranno attuare per soddisfare i requisiti della Direttiva. Inoltre, delineeremo i passi pratici successivi necessari per adempiere la Direttiva.

Creatività di GC e CCO

Le funzioni Legale e Conformità apprezzeranno la chiarezza di parti della Direttiva e saranno anche in grado di individuare svariati vantaggi da essa offerti.

La Direttiva sostiene innanzitutto la segnalazione tramite canali interni. Non si tratta di un requisito, ma gli Stati membri hanno il dovere di “incoraggiare” tale approccio (Art. 7(2)). Serve a riconoscere che, spesso, è meglio che siano le organizzazioni stesse a gestire le lamentele, correlandole il più possibile alle problematiche. Le autorità, mi auguro, saranno coraggiose abbastanza da rimandare indietro casi non sottoposti inizialmente a un processo interno adeguato, nell’ipotesi che il problema sarebbe potuto essere risolto a tal punto. In breve, abbiamo la distinta possibilità di gestire adeguatamente le questioni prima che vengano coinvolte le autorità e prima che passino allo scrutinio pubblico. L’esatto meccanismo d’azione è ancora incerto, dal momento che gli Stati membri non hanno specificato come attueranno la Direttiva.

Le organizzazioni devono “accusare” ricevuta di una segnalazione entro sette giorni (Art. 9(1)(b)) e, quindi, “fornire un riscontro” a chi denuncia entro un limite di tempo relativamente breve di tre mesi (Art. 9(1)(f)). Queste tempistiche sono adeguate per la maggioranza di problemi, ma incredibilmente brevi per casi più complessi, che potrebbero richiedere oltre un anno di attento lavoro per giungere a compimento. Anche se per “riscontro” si intende semplicemente ‘rimanere in contatto’ con chi denuncia, tali comunicazioni devono essere gestite in maniera estremamente attenta.

Tutti gli sforzi della Direttiva sono presumibilmente mirati a casi complessi e non a segnalazioni ordinarie, che richiedono una semplice elaborazione. Gli astanti dovranno riconoscere la flessibilità associata al termine “riscontro” e la sua inclusione di “azioni previste” (Art. 5(13)).

I Consulenti legali (GC) e i Responsabili del controllo della conformità (CCO) dovranno continuare a dimostrarsi creativi nel rivelare le problematiche in maniera naturale durante lo svolgimento dell’attività. Possibilmente attraverso audit periodici, rassegne o valutazioni dei rischi, si potranno usare altri metodi per stabilire l’esito e gestirlo senza rivelare l’identità di chi ha segnalato l’illecito (o persino il fatto che la segnalazione sia avvenuta).

GC e CCO dovranno mostrare la loro creatività anche per far sì che la responsabilità ricada sempre sul livello in grado di gestire al meglio le questioni. Un uso più efficiente degli strumenti di gestione dei casi o delle risorse centrali di conformità da parte dei manager presenta svariate sfide dal punto di vista amministrativo, ma potrebbe essere necessario se vogliamo veramente captare ed elaborare adeguatamente tutti i casi che vengono alla luce all’interno dell’organizzazione.

Dal punto di vista culturale, è importante che dipendenti e manager collaborino insieme per gestire le questioni senza intensificarle ulteriormente. Naturalmente, c’è una valvola per lo scarico della pressione che non può essere gestita localmente, da manager scarsamente performanti oppure perché è troppo grande per poter essere gestita con cura. Per i team addetti alla conformità, la formazione dei manager nella gestione delle problematiche dovrebbe rimanere una priorità.

I passi successivi

Le organizzazioni dovranno valutare la Direttiva a seconda delle loro circostanze, rischi ed esigenze. Qui di seguito riportiamo alcuni esempi di quelle che riteniamo siano le principali priorità:

  • I principi basilari
    • Accertatevi di disporre di un sistema adeguato di segnalazione di comportamenti scorretti. Non abbiate paura a cambiare sistema, poiché potrebbe rivelarsi un’esperienza liberatoria. Fate il possibile per soddisfare i requisiti della Direttiva e decidete se desiderate spingervi oltre, ad esempio in base alle possibili esigenze future della vostra organizzazione.
  • Governance e politiche
    • Mettete formalmente a punto gli aspetti pratici attraverso apposite politiche e accertatevi che i sistemi in uso corrispondano a tali decisioni.
    • Discutete questioni complesse, quali anonimato, diritti di chi denuncia e della persona interessata (soggetto accusato), azioni formali volte a proteggere i segnalanti contro atti di ritorsione, protezione dei dati e conflitti con altri requisiti legali. Dovrebbero sussistere procedure ben chiare per l’escalation al direttivo, all’Amministratore Delegato, al Comitato di controllo e al Consiglio di Amministrazione.
    • Favorite un allineamento precoce per evitare sorprese, magari nel bel mezzo di un’intensa indagine. Il coinvolgimento e la responsabilità dovrebbero essere stabiliti il prima possibile, senza alcun ritardo.
    • Valutate l’auto-preservazione in maniera strategica. Quando dovrete tutelare la vostra organizzazione? La diffamazione è il rovescio della segnalazione di comportamenti scorretti; quando dovrete prendere posizione? E quando la presa di posizione vi porterà a perdere la buona fede?
    • Al pari di altre politiche, i controlli sono necessari per verificare che funzionino come previsto. Cosa potete aggiungere alla vostra struttura di controlli di conformità (ad esempio, escalation, approvazioni, separazione delle funzioni e così via)? Inoltre, è opportuno accertarsi che i team di comunicazione stiano monitorando attivamente il pubblico dominio per individuare eventuali casi emergenti.
  • Collaborazione
    • Coinvolgete le persone che contano nel processo di segnalazione di illeciti e negli aspetti di garanzia da ritorsioni. Collaborate strettamente con tutti i leader e manager della vostra organizzazione, con l’Ufficio Risorse Umane, i responsabili della protezione dei dati, i comitati aziendali e i sindacati. Coinvolgere i dipendenti e i loro rappresentanti nella discussione è probabilmente il modo più efficace per anticipare le problematiche.
  • Consapevolezza
    • I programmi di formazione dovrebbero includere dettagli pertinenti la Direttiva, che è piuttosto prescrittiva sulle informazioni che dovranno essere rese disponibili.
    • Parimenti, i programmi di comunicazione dovrebbero soddisfare i requisiti formali e probabilmente spingersi oltre, a seconda della cultura individuale e dei rischi dell’organizzazione.
    • La formazione basata su dilemmi etici per gruppi chiave, quali i dirigenti esecutivi (o funzioni esposte ai rischi), può stimolare gli individui a riflettere sulle sfide che si prospettano.
  • Casi passati
    • La Direttiva non è applicabile in modo retroattivo, ma il potenziale di rivangare vecchi casi è evidente (l’Art. 4.2 consente la segnalazione di illeciti associati a rapporti di lavoro passati). Dovete accertarvi di aver gestito i casi in maniera credibile e accurata, anche in passato.
    • Una rassegna di casi passati di notevole valore alla luce della nuova Direttiva potrebbe servire ad anticipare tale rischio.
  • Osservazione
    • Le incertezze delineate sopra rendono evidente il bisogno di ricerche e osservazioni.
    • Rimane da vedere, però, se le misure nazionali andranno (o sono già andate) ben oltre la Direttiva. La posizione del Regno Unito è ancora da vedere.
    • Le tensioni esistenti tra la protezione dei dati e i diritti di chi denuncia saranno avvertite più acutamente in alcune giurisdizioni piuttosto che in altre.
    • Un altro atto legislativo (il RGPD) è stato considerato da alcuni come eccessivamente ottimista, poco pratico e parzialmente non applicabile. Gli accordi di trattamento dei dati sono stati inondati di informazioni inutili, senza la disponibilità di risorse in grado di gestirle. La Direttiva potrebbe affrontare le stesse accuse, a meno che venga implementata e applicata come si deve.
    • La giurisprudenza dovrà sviluppare e guidare l’uso pratico della Direttiva, specialmente in termini di applicazione e se le sanzioni saranno considerate un deterrente valido abbastanza.

Parla con i nostri esperti

Volete saperne di più, discutere alcune idee o condividere opinioni?

Contattaci

Share this page