Decreto Whistleblowing: i principali punti di attenzione per il settore farmaceutico

Il 15 marzo 2023 è stato pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana il Decreto Legislativo 10 marzo 2023, numero 24 che recepisce la Direttiva UE 2019/1937 sul whistleblowing. Questa normativa sta avendo un impatto significativo sull’operatività delle aziende, incluse quelle del settore farmaceutico. Infatti, soprattutto le grandi aziende multinazionali che già avevano adottato sistemi di segnalazione basati su schemi disegnati dalle società controllanti estere sono chiamate a dover valutare la compatibilità dei canali di segnalazione esistenti con i requisiti della nuova normativa. Il Decreto ha sostituito la precedente normativa in materia di whistleblowing, ampliando l’ambito di applicazione del divieto di misure ritorsive contro la persona segnalante e introducendo specifici obblighi in capo alle società sia pubbliche che private.

Il limite dei cinquanta dipendenti

Alla luce delle nuove disposizioni, infatti, tutte le società aventi in media almeno cinquanta lavoratori subordinati o operanti in specifici settori (servizi, prodotti e mercati finanziari, prevenzione del riciclaggio e del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente, ecc.); oppure che abbiano adottato un Modello di Organizzazione, Gestione e Controllo ai sensi del dlgs numero 231/2001 (Modello 231), sono tenute a istituire specifici canali di segnalazione interni aventi determinate caratteristiche stabilite dal Decreto. Tali canali sono volti a dare la possibilità ai cosiddetti whistleblower (es. dipendenti, soci, amministratori, consulenti, lavoratori autonomi, etc. ), di segnalare potenziali illeciti e violazioni di norme espressamente previste dal Decreto in determinati ambiti, quali ad esempio, rapporti con i pubblici ufficiali, tutela dei consumatori, privacy, concorrenza, ambiente, oltre a potenziali ulteriori reati che possono comportare la responsabilità amministrativa da reato dell’ente, ai sensi del dlgs 231/2001, nonché le eventuali violazioni del Modello 231.

Quando interviene l’Anac

Nel caso di mancato rispetto delle prescrizioni stabilite dalla normativa, la società può incorrere non solo in specifiche sanzioni irrogate direttamente dall’Autorità nazionale anticorruzione (Anac), ma deve anche fronteggiare il rischio che il segnalante effettui tale segnalazione all’esterno. Il Decreto infatti introduce, tra le altre, la facoltà del whistleblower di effettuare la segnalazione direttamente all’Anac qualora, ad esempio, la società non abbia stabilito un canale interno rispondente ai requisiti di legge, non abbia dato seguito alla segnalazione, ovvero in caso di rischio di ritorsioni. Inoltre, una volta ricevuta la segnalazione, l’Anac può indagare direttamente sul comportamento oggetto della segnalazione ovvero, qualora tale segnalazione non rientri nelle sue competenze, inoltrare la segnalazione alle autorità amministrative o giudiziarie competenti che si occuperanno di effettuare le indagini necessarie

Gli aspetti legati alla privacy

Infine, il Decreto ha espressamente disciplinato i principali aspetti privacy per il trattamento dei dati relativi alle segnalazioni al quale si applicano, in ogni caso, le previsioni del Regolamento (Ue) 2016/679 (Gdpr) e del Decreto Legislativo numero 196/2003 e seguenti misure. (Codice Privacy). Ad esempio, il Decreto si concentra sulla necessità di implementare adeguare misure di sicurezza (richiedendo di effettuare una valutazione d’impatto sulla protezione dei dati), prevede un tempo di conservazione massimo dei dati relativi alla segnalazione e determina i ruoli dei soggetti coinvolti nel trattamento.

Maggiori punti di attenzione per le società operanti nel farmaceutico

Per le aziende del settore farmaceutico, tradizionalmente operanti in più giurisdizioni e con capogruppo all’estero, i cambiamenti imposti dalla Direttiva e del Decreto comportano importanti conseguenze dal punto di vista organizzativo e di governance di gruppo.

Condivisione dei canali

Un primo problema deriva dall’impossibilità per tali società, tradizionalmente organizzate come grandi gruppi multinazionali, di condividere i canali di segnalazione e i relativi dati. Ai sensi del decreto, infatti, le società aventi una media non superiore a 249 dipendenti possono condividere i propri canali di segnalazione, a condizione che siano soddisfatte delle specifiche condizioni. Vale a dire:

• i canali di segnalazione esistano e siano resi disponibili a livello di subsidiary;
• il segnalante è chiaramente informato che una persona/un dipartimento designato della casa madre sarà autorizzato ad accedere alla segnalazione, e il segnalante ha il diritto di opporsi e di chiedere che la condotta segnalata sia indagata solo a livello locale;
• qualsiasi altra misura di follow-up adottata e il feedback al segnalante siano dati a livello locale.

Le società aventi una media superiore 250 dipendenti, invece, sono tenute a implementare specifici canali di segnalazione interni autonomi a livello locale. Di conseguenza, la gestione di tali segnalazioni a livello locale richiede sicuramente attente considerazioni interne a livello di management centrale. Inoltre, tradizionalmente, tali tipologie di gruppi societari dispongono di procedure e policy centralizzate e le stesse indagini relative alla segnalazione vengono gestite direttamente o con il supporto della capogruppo. Di conseguenza, è necessario un adeguamento a livello locale, per singola subsidiary al fine di istituire canali di segnalazione dedicati aventi le caratteristiche specifiche previste dal decreto. Tale adeguamento potrebbe comportare tempistiche non del tutto allineate con le scadenze indicate dal decreto. A tal riguardo, le aziende con 250 o più dipendenti avrebbero dovuto già conformarsi a quanto stabilito nel Decreto entro il 15 luglio 2023, mentre le aziende con fino a 249 dipendenti hanno tempo fino al 17 dicembre 2023 per implementare i canali di segnalazione interni.

Specificità multinazionali

Un tema significativo che si pone all’attenzione dei gruppi multinazionali con centralizzazione della gestione delle segnalazioni in capo alla capogruppo estera riguarda la capacità di indagare adeguatamente le condotte segnalate, che talvolta hanno rilievo multi-giurisdizionale: si pensi ad esempio alla rilevanza dei casi di corruzione/comparaggio di professionisti del settore medico i che possono essere qualificati come pubblici ufficiali stranieri secondo il Foreign Corrupt Practices Act (Fcpa) statunitense. Al fine di mitigare i possibili rischi conseguenti alla gestione delle segnalazioni a livello locale, le società italiane potrebbero incoraggiare i potenziali whistleblower a segnalare a livello globale, garantendo in ogni caso la possibilità di segnalare localmente. A tal riguardo, infatti, né la Direttiva Ue numero 2019/1937 né il decreto vietano di mantenere canali di whistleblowing anche livello centrale in parallelo a quelli locali, nonché di pubblicizzarne la disponibilità e incoraggiare i segnalanti delle subsidiaries a utilizzarli. Tuttavia, la segnalazione dovrà essere gestita e indagata rispettivamente a livello locale/globale in piena riservatezza e senza condividere le informazioni, a meno che il segnalante non lo consenta espressamente.

Quando serve il consenso per condividere l’identità del segnalante

Infatti, fatta eccezione per gli enti con una media di meno di 250 dipendenti, ai sensi del Decreto il consenso è necessario per la condivisione con terzi dell’identità del segnalante e di ogni altra informazione da cui tale identità possa essere desunta, direttamente o indirettamente. Pertanto, le società controllate non possono più fare affidamento sul legittimo interesse ai sensi dell’articolo 6 lettera f) del Gdpr per condividere le informazioni sulle violazioni. Naturalmente è fatto salvo il caso in cui il terzo con cui le informazioni sono condivise rivesta il ruolo di autorizzato ai sensi dell’articolo 29 del Gdpr o di responsabile del trattamento ai sensi dell’articolo 28 del Gdpr. Inoltre, anche ove la potenziale violazione oggetto di segnalazione sia rilevante anche ai sensi di normative straniere, come detto sopra, l’obbligo di perseguire la relativa condotta ai sensi della normativa straniera non potrebbe per sé legittimare la condivisione dei dati da parte della società locale nei confronti della capogruppo soggetta a tale normativa straniera. Per giustificare la condivisione, infatti, l’obbligo di legge dovrebbe gravare sul titolare del trattamento, ossia la società locale.

Canali di segnalazione interni telematici: le misure di sicurezza

L’articolo 4 del decreto impone alle società di dotarsi di appositi canali di segnalazione interni che assicurino, anche tramite mezzi di crittografia, la riservatezza dell’identità del segnalante, del segnalato, dei soggetti comunque menzionati nella segnalazione, nonché del contenuto della segnalazione e dei documenti a corredo. Da ultimo le linee guida adottate dall’Anac con Delibera numero 311 del 12 luglio 2023 e il relativo parere del Garante per la Protezione dei Dati Personali (provvedimento numero 304 del 6 luglio 2023 hanno precisato che canali informatici come l’e-mail ordinaria o registrata (PEC) non sono adeguati a garantire la riservatezza e coerentemente, dal tenore delle linee guida stesse, parrebbe che Anac individui come canale con modalità telematiche solo quello della piattaforma online.

Al riguardo, è probabile che le società farmaceutiche che fanno parte di un gruppo multinazionale abbiano già implementato un canale di segnalazione a livello di gruppo mediante piattaforma online. In tal caso, la realizzazione del canale locale, di cui alla sezione precedente, potrebbe essere affidata al medesimo fornitore della piattaforma implementata a livello di gruppo in modo da poter integrare i canali oppure tenerli separati a seconda delle esigenze (es. a seconda che il segnalante abbia o meno prestato il consenso alla condivisione dei dati della segnalazione a terzi). Una simile soluzione consente una gestione coordinata delle segnalazioni, ma non può prescindere dalla preliminare verifica dell’adeguatezza delle misure di sicurezza organizzative e tecniche che il fornitore può assicurare. A titolo esemplificativo, alla luce di precedenti provvedimenti del Garante, nonché delle nuove linee guida Anac di cui sopra e del relativo parere del Garante, la crittografia è da considerarsi di regola una misura adeguata e, nel caso in cui l’accesso al canale avvenga dalla rete dati interna della società, deve essere garantita la non tracciabilità del segnalante nel momento in cui viene stabilita la connessione a tali canali, sia sulle piattaforme informatiche che negli apparati (es. firewall o proxy) eventualmente coinvolti.