Recepimento della Direttiva sul Whistleblowing in Germania: luci e ombre
di Claudia Cantisani, Assegnista di ricerca in Diritto penale
1. Introduzione
Sul sito del Deutsches Institut für Compliance (DICO) è recentemente apparsa una notizia da tempo attesa: la Germania ha finalmente recepito con una legge la direttiva UE sul Whistleblowing (2019/1937). Con questo intervento, denominato Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, (Hinweisgeberschutzgesetz – HinSchG), il legislatore tedesco compie il definitivo passo per dare attuazione alla disciplina sulla protezione dei whistleblowers, seppur con apprezzabile ritardo, come è accaduto per il nostro ordinamento (per un recente approfondimento, si rinvia al link).
Il percorso per giungere all’approvazione definitiva del testo di legge è stato piuttosto travagliato (per un breve riepilogo delle tappe si rinvia al link) e la conclusiva deliberazione del Bundesrat del 12 maggio scorso rappresenta un approdo importante nella definizione delle strategie sulla compliance d’impresa, dal momento che la disciplina sulla protezione degli informatori costituisce un fattore irrinunciabile per l’efficacia dei Compliance Management Systems (CMS) e per il mantenimento dell’integrità aziendale.
Presumibilmente la legge entrerà in vigore per metà anno, ma prevede tempi diversi di attuazione per le società, in base ad un criterio dimensionale. In particolare, le società con 250 dipendenti o più, e così anche le istituzioni di certi settori, come quello finanziario, soggiacciono all’obbligo di istituire un “internal reporting office” in conformità con i requisiti della HinSchG entro tre mesi dalla promulgazione della legge. Per società con un numero di dipendenti compresi tra 50 e 249, invece, l’obbligo scatta dal 17 dicembre 2023. A parte ciò, verrà applicata una deadline estesa ed uniforme, identificata nel primo gennaio 2025, per l’implementazione dei canali di segnalazione anonimi.
Benché la legge sia stata accolta con favore, ci si rammarica del fatto che in molti punti permangono ancora incertezze, in particolare per quanto concerne la gestione delle segnalazioni anonime e le indagini interne.
Il DICO, che ha contribuito attivamente al processo legislativo sotto la guida del gruppo di lavoro denominato “Indagini interne e sistemi di whistleblowing” („InterneUntersuchungen & Hinweisgebersysteme“), rappresenta una delle fonti più autorevoli nel fornire prime indicazioni sulla disciplina. Di queste, in sintesi estrema, rendiamo conto nei paragrafi che seguono.
2. Le disposizioni di maggior interesse
Un primo profilo di disciplina accolto con commenti positivi riguarda la struttura organizzativa dei canali di segnalazione interna e delle misure di follow-up nelle società di gruppo (§ 14 HinSchG): il § 14 HinSchG attribuisce alle società notevoli margini di flessibilità, nonché un’efficace protezione: le società del gruppo hanno infatti la possibilità di scegliere se affidare a singoli individui, ad un organismo interno specializzato, a terzi o ad un organismo di un’altra società del gruppo i compiti propri di un ufficio centrale di segnalazione interna.
A seguire, DICO segnala la disciplina dei termini di cancellazione dei documenti relativi alle procedure di segnalazione (§ 11, Abs. 5 HinSchG – Löschfrist) caratterizzata da una marcata flessibilità, in modo che la documentazione delle procedure possa essere conservata per tutto il tempo necessario a soddisfare i requisiti legali. La disposizione assicura alle aziende maggiore flessibilità nell’archiviazione dei dati provenienti dalle segnalazioni dei whistleblowers, che deve essere orientata al singolo caso e non regolamentata in modo rigido.
Si precisa tuttavia che la legge ha mancato di regolare espressamente se la disciplina riguardi solo la segnalazione o anche la documentazione ad essa annessa.
Il terzo aspetto segnalato da DICO riguarda i sistemi di segnalazione anonimi: si riconosce che, al fine di evitare oneri aggiuntivi, soprattutto per le PMI, si è rinunciato all’obbligo legale di istituire sistemi di segnalazione anonimi. Molte aziende sono tuttavia consapevoli del valore di questi canali e continueranno a utilizzarli in futuro. Dall’attuale disciplina non è ancora chiaro se – e, in caso affermativo, quando – l’ambito di protezione assicurato dall’HinSchG sarà aperto anche a questi sistemi. Il breve rapporto DICO mette in luce che il legislatore avrebbe dovuto regolamentare questo aspetto in modo più chiaro.
Un quarto profilo d’interesse riguarda, infine, le indagini interne, di cui forniamo qualche dettaglio di seguito.
3. Le interne Untersuchungen: un’occasione mancata
La legge HinSchG fa più volte riferimento allo svolgimento di indagini interne come una misura centrale di follow-up per la ricostruzione dei fatti a seguito di una segnalazione (§ 18 n. 1 HinSchG), ma non prevede una loro organica regolamentazione, che rimane ancora, allo stato attuale, una lacuna in tema di compliance nell’ordinamento d’Oltralpe (per un breve focus sul tema si rinvia ad un precedente post, di cui a questo link).
Si segnala sul sito DICO che l’introduzione dell’HinSchG non solo sarebbe stata una buona opportunità per assicurare un quadro normativo omogeneo in materia, ma anche che essa è prova della necessità di conseguire una maggiore certezza in tema di indagini interne, attraverso la predisposizione di una disciplina legislativa mirata.
Il problema della mancanza di una regolamentazione giuridica per le indagini interne – oggi rimesse all’iniziativa privata delle singole imprese – era già stato esplicitamente sottolineato nella relazione della legge sulle sanzioni societarie (Verbandssanktionengesetz – Gesetz zur Stärkung der Integrität in der Wirtschaft), anch’essa mai attuata (per un riferimento, in uno dei precedenti posts, si rinvia al link).
Per far fronte a questa lacuna, DICO ha rimarcato in più occasioni che, in mancanza di soluzioni più soddisfacenti, potrebbe ritenersi plausibile ricorrere, in un prossimo futuro, ad una regolamentazione organica sul tema della compliance che comprenda anche il tema delle investigazioni endo-aziendali.
4. Breve sinossi sui contenuti essenziali della proposta di legge originaria
Premesso che il testo di legge definitivo non ha ricevuto ancora pubblicazione, è possibile ritenere che i suoi contenuti essenziali aderiscano a quelli della proposta di legge originaria. Tra questi si richiamano quelli di seguito elencati.
Ambito di applicazione soggettivo: sono coperte dalla proposta di legge tutte le persone che abbiano ottenuto informazioni su illeciti nel contesto lavorativo di afferenza. A differenza della direttiva, non esiste un elenco specifico di soggetti destinatari.
Società di gruppo: come già segnalato nel precedente post sul tema, e come anticipato poco sopra, mentre la direttiva opta per soluzioni decentrate, stabilendo, in particolare, che nei gruppi societari ogni impresa che superi un certo numero di dipendenti debba istituire un proprio ufficio di reporting interno, l’ordinamento tedesco adotta una disciplina più flessibile.
La bozza di legge tedesca propone infatti esplicitamente il cosiddetto “privilegio di gruppo” che permetterebbe di lasciare in piedi gli uffici centrali a livello di gruppo.
La tutela dell’informatore: a condizione che il whistleblower possa legittimamente ritenere che le informazioni divulgate siano vere, egli riceve ampia protezione da eventuali ritorsioni e danni, come il licenziamento.
Anche in questo caso, contrariamente a quanto previsto dalla direttiva, le ritorsioni non sono espressamente definite: la bozza di legge prevede, infatti, la tutela contro qualsiasi atto o omissione connessi all’attività professionale che rappresenti una “risposta” a una segnalazione.
In caso di ritorsioni o pregiudizi, poi, spetta al datore di lavoro dimostrare che questi non sono collegati alla segnalazione, bensì che si basano su giustificati motivi.
Segnalazioni e reporting: le autorità pubbliche – come l’Autorità federale di vigilanza finanziaria (BaFin), per il settore dei mercati finanziari – agiscono come autorità di segnalazione esterna e di monitoring a livello nazionale per violazioni specifiche (ad esempio, violazioni contro le disposizioni della legge sull’acquisizione di titoli e sulle offerte pubbliche di acquisto o sui diritti degli azionisti di società per azioni).
Devono inoltre essere previsti canali di segnalazione interni ed esterni, ugualmente validi, che l’informatore può liberamente scegliere.
Non è previsto l’obbligo per le autorità di segnalazione di trattare e/o tracciare le segnalazioni anonime che, come visto, non sono state regolamentate in modo organico e sistematico. Stando alla direttiva questo aspetto della disciplina viene lasciato alla discrezionalità degli Stati membri.
Tutela della riservatezza: in attuazione dei requisiti della direttiva e in conformità con la giurisprudenza della CEDU, l’identità del whistleblower non deve essere rivelata senza un esplicito consenso, se non a coloro che si occupano della segnalazione.
Inoltre, i whistleblowers che rivelano informazioni al pubblico sono protetti solo se non c’è stata una risposta tempestiva alla segnalazione esterna, se c’è la ragionevole aspettativa di un rischio imminente per gli interessi pubblici e se la segnalazione esterna non è stata efficace.
5. Sulla proposta di creazione di un’istituzione indipendente come potenziale centro di consulenza per il whistleblowing
Da ultimo, e a compendio dei commenti alle disposizioni introdotte con la legge sul whistleblowing, DICO segnala la potenziale utilità di un’istituzione indipendente e autonoma – ad esempio una fondazione o un’associazione – che offra servizi di supporto per i whistleblowers, per le aziende e per gli uffici di segnalazione esterni, e che possa anche agire come organo di mediazione.
6. Conclusioni
Non è ancora chiaro cosa sarà dell’attuazione di questa direttiva in concreto. Certo è che l’ordinamento tedesco si è premunito di alcuni strumenti a garanzia di una maggiore flessibilità per le imprese, a tutela della loro autonomia.
Rimangono aperti i temi introdotti all’inizio: le segnalazioni anonime e le indagini interne, due settori, per il vero, di non poco interesse per una uniforme attività di detection e accertamento.
Le novità più interessanti deriveranno, dunque, dall’introduzione di regole più puntuali con riferimento a queste due materie in particolare.