Articoli

L’Organismo di Vigilanza come supervisore del whistleblowing

La questione che si propone nell’articolo è se l’Organismo di Vigilanza possa essere la figura più adeguata a ricevere e gestire le segnalazioni relative a illeciti commessi dai soggetti di cui all’art. 5 co. 1 del Decreto 231, o a violazioni del Modello di organizzazione e gestione di una società (“whistleblowing”).

La questione è aperta e dibattuta, anche e soprattutto a causa della lunga vicenda relativa al recepimento nell’ordinamento italiano della Direttiva UE 2019/1937 (“Direttiva whistleblowing”), che impone agli Stati membri dell’Unione europea di conformarsi entro il 17 dicembre 2021 – termine che l’Italia non ha ancora rispettato, nonostante la prossima scadenza del 10 dicembre 2022 della legge di delegazione europea (Legge n. 127 del 4 agosto 2022).

L’assenza di poteri gestori dell’Organismo di Vigilanza

L’Organismo di Vigilanza, per il ruolo che svolge e le caratteristiche che gli sono attribuite dalla legge, è autonomo, indipendente e ha l’onere di vigilare sul funzionamento, sul rispetto e sull’aggiornamento del Modello di organizzazione e gestione della società.

Dal punto di vista della struttura della società, la dottrina ha nel tempo riportato che l’Organismo di Vigilanza non costituisce un organo della società, e non ha una funzione di garanzia degli interessi collettivi, o di terzi soggetti; esso è piuttosto un suo “ufficio”, la cui presenza costituisce una modalità organizzativa interna.

Il Decreto 231, inoltre, non attribuisce all’Organismo di Vigilanza poteri di intervento impeditivi nei confronti di comportamenti irregolari o illeciti, né poteri disciplinari e sanzionatori diretti, che richiederebbero un’autorità e una signoria sui comportamenti altrui all’interno e all’esterno della società.

La presenza in azienda di membri dell’Organismo di Vigilanza non risulta funzionale ad una gestione dell’ente e non consente ai componenti di intromettersi nelle scelte dell’imprenditore circa le modalità di conduzione dell’impresa.

Anche il Garante Privacy ha segnalato, nel suo parere sulla qualificazione soggettiva ai fini privacy degli Organismi di Vigilanza previsti dall’art. 6, d.lgs. 8 giugno 2001, n. 231 del 12 maggio 2020, che l’Organismo di Vigilanza, pur avendo funzioni di controllo, non è dotato di alcun potere impeditivo nei confronti degli eventuali autori del reato, e non ha obbligo di denuncia all’autorità giudiziaria in relazione agli illeciti di cui viene a conoscenza a causa e nell’esercizio delle sue funzioni.

Per la giurisprudenza di legittimità (Cass. Pen. Sez. VI n. 23401 del 11/11/2021) l’Organismo di vigilanza non può avere connotazioni di tipo gestorio, che ne minerebbero l’autonomia, ma ad esso spettano compiti di controllo sistemico continuativo sulle regole cautelari predisposte e sul loro rispetto nell’ambito del modello organizzativo di cui la società si è dotata.

Il whistleblowing non deve essere gestito, ma controllato dall’Organismo di Vigilanza

Il comma 2-bis dell’art. 6 del Decreto 231 prevede che i Modelli di Organizzazione e Gestione devono prevedere uno o più canali che consentano ai soggetti in posizioni apicali e a coloro che sono sottoposti alla loro direzione e controllo di presentare, a tutela dell’integrità della società, segnalazioni circostanziate di condotte illecite o di violazioni del Modello di organizzazione e gestione.

Il Decreto 231 non reca alcuna indicazione circa i destinatari delle segnalazioni, né individua i gestori dei canali previsti dal Decreto stesso.

Non spetta quindi ex lege all’Organismo di Vigilanza la gestione delle segnalazioni in questione, ed è anche rimessa alla discrezionalità della Società la scelta di individuare in un soggetto diverso il destinatario di tali segnalazioni, che avrà il compito di istruirle e adottare ogni provvedimento conseguente.

Il fatto che l’Organismo di Vigilanza non debba necessariamente essere il gestore del whistleblowing, però, non significa che esso possa rimanere estraneo alle segnalazioni e al loro seguito: l’Organismo di Vigilanza deve comunque vigilare sulle segnalazioni, in quanto parte necessaria del Modello di organizzazione e gestione.

_______________________________________________

Immagine di copertina di John Peters grazie a Unsplash

Organismo di Vigilanza: compiti, requisiti e responsabilità

L’organismo di vigilanza è un organo introdotto nel nostro ordinamento dal D. Lgs. 231/ 2001– che lo scorso 8 giugno ha compiuto 21 anni, diventando così maggiorenne in tutti gli stati del mondo – istituito al fine di vigilare sulla corretta applicazione del modello di organizzazione, gestione e controllo (cd. MOGC) e dei protocolli in esso previsti, in tutti quei casi in cui gli operatori imprenditoriali decidano di dotarsene.

È importante ricordare, infatti, che l’adozione del modello di organizzazione e gestione e la correlata istituzione di un organismo di vigilanza (anche “OdV”) sono rimesse alla facoltà di ciascuna entità produttiva; il legislatore lascia dunque loro piena libertà di decidere se equipaggiarsi o meno di questi strumenti di compliance.

L’OdV riveste nel panorama aziendale un ruolo centrale ed insostituibile: soltanto laddove questo funzioni in maniera corretta – attraverso una scrupolosa attività di vigilanza sull’osservazione del modello e di aggiornamento dello stesso, ove necessario – la società che lo ha nominato sarà in grado di ottenere l’esimente prevista dall’art. 6 del Decreto 231 in relazione ai reati-presupposto commessi da soggetti operanti al suo interno.

Cosa ci dice l’articolo 6

L’art. 6 comma 1, lettere b) e d) del D. Lgs 231/2001 stabilisce che l’ente può essere esonerato dalla responsabilità conseguente alla commissione di illeciti da parte di un dipendente – apicale o sottoposto – se:

  • prova che “il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” e
  • non vi è stata omessa o insufficiente vigilanza da parte dell’organismo”.

Già dai primi articoli il Decreto esprime in maniera chiara ed evidente la necessità che il modello, una volta adottato, non rimanga relegato allo stato di mero adempimento formale.

La corretta attuazione del MOGC passa, come è evidente, inevitabilmente attraverso una costante attività di controllo e vigilanza dei protocolli e delle procedure in esso previste, nonché di adeguamento laddove le stesso dovessero risultare in corso d’opera inadeguate al perseguimento degli obiettivi di tutela fissati dalla normativa 231.

Affinché tali attività vengano svolte nel migliore dei modi dall’OdV, la legge richiede la sussistenza nei suoi (o nel suo, a seconda dei casi) membri di particolari requisiti.

Composizione: monocratica o collegiale?

La legge non fornisce precise indicazioni per quanto concerne la composizione dell’OdV; agli operatori del settore è dunque demandata la scelta di optare tra un organismo monocratico o collegiale.

Sebbene la scelta sia sostanzialmente libera, è prassi consolidata quella di optare per un organismo collegiale (formato da componenti interni o esterni all’ente), soprattutto nelle strutture aziendali di grandi dimensioni e maggiormente articolate.

In questi casi, se l’ente ha natura di società di capitali, l’art. 6 del Decreto 231 comma 4 bis, il ruolo di OdV può essere ricoperto dal collegio sindacale, dal consiglio di sorveglianza e dal comitato per il controllo della gestione.

La scelta deve, in altre parole, sempre rispecchiare la complessità delle attività che l’organismo è chiamato a gestire: se optare per un Organismo di Vigilanza monocratico risulterebbe delicato e foriero di problematiche per una multinazionale, potrebbe certamente essere la soluzione ottimale per una piccola impresa in cui l’organizzazione interna non è particolarmente strutturata.

Proprio per tali ragioni, l’art. 6 comma 4 prevede la possibilità che nelle piccole imprese sia addirittura lo stesso organo dirigente a ricoprire il ruolo di OdV.

Requisiti

In considerazione delle delicate funzioni che la legge demanda alla competenza dell’Organismo di Vigilanza, si richiedere che i suoi membri siano dotati di particolari requisiti, elaborati dalla giurisprudenza sulla base di quanto espresso nel decreto 231.

Autonomia e indipendenza: la posizione dell’organismo di vigilanza deve essere tale da garantire un’azione di controllo autonoma, ossia svincolata da ogni forma di condizionamento proveniente da componenti dell’ente, in particolare dall’organo dirigente (che, al contrario, è uno dei soggetti controllati).

L’organismo deve inoltre essere personalmente ed economicamente indipendente: non deve cioè versare in condizioni di conflitto di interesse, nemmeno potenziali.

È chiaro che, quanto più l’organismo sia composto da soggetti estranei all’organizzazione, tanto maggiore sarà il suo grado di autonomia ed indipendenza globale.

A livello giurisprudenziale si è poi consolidata una posizione per cui, perché possa parlarsi di autonomia ed indipendenza dell’organismo deputato alla vigilanza del modello 231, non debba sussistere alcun tipo di sovrapposizione tra soggetto controllato e organo controllante.

Tale principio è stato messo nero su bianco anche nelle sentenze che hanno definito il caso (tragicamente famoso) dell’incidente avvenuto nello stabilimento torinese delle acciaierie Thyssenkrupp.

Professionalità: tale requisito, (elaborato da Tribunale di Napoli con sentenza del 26 giugno 2007) richiede che l’OdV sia dotato di specifiche competenze e conoscenze tecniche idonee a garantire un controllo adeguato.

Visti gli evidenti punti di contatto della normativa 231 con elementi di diritto penale, uno dei componenti dell’OdV dovrebbe preferibilmente essere un esperto della materia.

• Continuità di azione: l’OdV deve essere strutturato in maniera tale da garantire una attività di controllo costante e continuata, tale da garantire modifiche puntuali al modello ogni qual volta ciò risulti necessario in relazione a quello che è lo sviluppo della realtà aziendale che il modello è chiamato a regolare.

Compiti e responsabilità

I poteri, i compiti e le responsabilità affidati dalla normativa vigente alle cure dell’OdV sono tutti indirizzati alla prevenzione della commissione di reatipresupposto da parte dell’organizzazione che lo ha nominato e si sostanziano essenzialmente in attività tipo consultivo, proposito e di impulso, tra cui (a titolo esemplificativo e non esaustivo):

  • vigilare sulla corretta applicazione del modello;
  • curare l’aggiornamento e l’implementazione dello stesso, ove necessario;
  • verificare la diffusione del modello in ambito aziendale;
  • analizzare i flussi informativi;
  • svolgere audit.

_________________

Immagine di Agence Olloweb ottenuta grazie a Unsplash