Un protocollo multicompliant per il whistleblowing. L’esperienza del gruppo api
È scaduto lo scorso 15 luglio il termine per le organizzazioni con più di 250 dipendenti, sia pubbliche che private, per dotarsi di un sistema di whistleblowing compliant alla legge, mentre quelle che contano tra 50 e 249 dipendenti avranno tempo fino al 17 dicembre. Se da un lato è doveroso rispettare le diverse fonti del settore, dall’altra è necessario prevedere un sistema che sia efficace per le aziende, al fine di evitare un modello di governance disfunzionale che operi a compartimenti stagni.
compliancedesign.it ne ha parlato con Milena Cirigliano, Responsabile della compliance integrata, antitrust e privacy e DPO di gruppo di IP Gruppo api (Italiana Petroli S.p.A).
Attuare le norme affidandosi a ragionamenti a compartimenti stagni procedendo all’esecuzione separata delle leggi e costruendo modelli organizzativi segregati dagli steccati normativi, può implicare la configurazione di un modello di governance disfunzionale in cui brulicano le duplicazioni, le sovrastrutture e si appesantiscono gli apparati organizzativi
Milena Cirigliano
I gruppi multinazionali hanno predisposto o aggiornato i propri sistemi di whistleblowing conciliando la nuova normativa con le esigenze interne di efficienza e i temi interdisciplinari. Qual è stata la risposta del gruppo api?
Le società del Gruppo api hanno scelto di sfruttare l’opportunità data dalle diverse normative che trattano il whistleblowing progettando un protocollo multicompliant.
Sono diverse le fonti che si occupano di whistleblowing: il decreto legislativo 231/2001 e le sue successive modificazioni, il decreto legislativo 24/2023, poi esistono le indicazioni del Garante della privacy, con diversi provvedimenti che menzionano il whistleblowing, e quelle dell’Autorità Garante della Concorrenza e del Mercato (AGCM) contenute nelle linee guida sulla compliance antitrust del 2018.
Attuare le norme affidandosi a ragionamenti a compartimenti stagni procedendo all’esecuzione separata delle leggi e costruendo modelli organizzativi segregati dagli steccati normativi può implicare la configurazione di un modello di governance disfunzionale in cui brulicano le duplicazioni, le sovrastrutture e si appesantiscono gli apparati organizzativi. Tutto ciò rappresenta una criticità per le aziende che ambiscono ad una conformità efficace e sostenibile. Per risolvere tale problema occorre un approccio integrato alla lettura normativa e nella ricerca di soluzioni.
L’obiettivo è, quindi, quello della semplificazione? Qual è stato l’approccio del gruppo api per individuare la soluzione più adatta per adempiere alle richieste normative?
Il gruppo api ha puntato sull’adozione di tecniche di design nella progettazione delle soluzioni applicando la metodologia della compliance integrata: una soluzione originale e creativa. Abbandonata la duplicazione degli strumenti organizzativi e l’attuazione delle norme a compartimenti stagni, il Gruppo api ha deciso di sperimentare una lettura simmetrica ed integrata delle richieste del legislatore e progetta un unico applicativo in ottica multicompliant.
Questa soluzione consente di non appesantire gli apparati organizzativi e di sfruttare al massimo l’investimento già effettuato ai fini del modello di organizzazione gestione e controllo in esecuzione del decreto legislativo 231/2001, implementandone l’utilizzo anche alla luce del decreto legislativo 24/2023 e della normativa antitrust, come previsto dalle linee guida sulla compliance antitrust del 2018 (attraverso un contest separato, è possibile segnalare all’attenzione del compliance officer antitrust comportamenti anticoncorrenziali o non improntati alla tutela del consumatore). Tutto deve avvenire nel rispetto delle indicazioni, anche tecniche, fornite dal Garante della privacy. L’applicativo consente al whistleblower, di effettuare segnalazioni anche in forma anonima.
Molte aziende meno strutturate sembrano non avere una struttura adeguata a far fronte agli adempimenti. Dal punto di vista organizzativo poi, la dilatazione delle fattispecie denunciabili rende difficile anche definire una gestione ottimale delle segnalazioni. Sulla base della sua esperienza, quali e come saranno affrontati tali temi?
La compliance integrata è una metodologia di lavoro che si presta ad essere adottata nelle aziende di piccole e grandi dimensioni. Sono evidenti le convenienze: i costi derivati dalla ricerca di conformità si riducono, mentre l’efficienza aumenta. Attraverso diversi “innesti normativi” che hanno dilatato l’ambito del decreto legislativo 231/2001 e con l’entrata in vigore del decreto legislativo 24/2023, le fattispecie rilevanti si sono trasformate da declinazione minimalista a catalogo copioso e il volume aumenta ulteriormente se si considerano anche le fattispecie rilevanti alla luce della normativa antitrust.
Per orientare il whistleblower interno alla società, la strada maestra è certamente la formazione, ma potrebbe essere utile anche la pubblicazione sul sito, che ospita l’applicativo, di un elenco esplicativo delle fattispecie rilevanti alla luce delle diverse normative. Utilissimi, inoltre, i questionari e i modelli di racconto che gli applicativi possono ospitare: possono guidare il whistleblower anche per evitare eccessi narrativi rispetto ai fatti ex lege rilevanti […] continua a leggere People in Compliance#26
