Whistleblowing e Security, nemici o alleati?

Apetizer ITSecPro: A. Rodolfi, G. Tavaroli, F. Pietrosanti

“Normativa italiano e sviluppo di politiche comunitarie sul Whistleblowing”Alessandro Rodolfi

Pacino Cafè, Milano

2 Febbraio 2012

1

“Blow the whistle”

• The reporting by employees or former employees of illegal, irregular, dangerous or unethical practices by employers (International Labour Organization - I.L.O.)

• Protection from discriminatory or disciplinary action public and private sector employees who report in good faith and on reasonable grounds to the competent authorities (Anti-Bribery Recomm. OECD 2009)

• Any person who reports in good faith and on reasonable grounds to the competent authorities any facts concerning offences established in accordance with this Convention (UNCAC 2005)

• Employees who have reasonable grounds to suspect corruption and who report in good faith their suspicion to responsible persons or authorities (Council of Europe Civil Law Convention on Corruption 1999)

2

WB Code of Pratices• Whistleblowing is the popular term used when someone who works in or for an organization

(referred to in this document as an “employee”) raises a concern about a possible fraud, crime, danger or other serious risk that could threaten customers, colleagues, shareholders, the public or the organization’s own reputation. As an early warning system, whistleblowing can help alert employers to risks such as:

• a danger in the workplace;

• fraud in, on or by the organization;

• mis-selling or price fixing;

• offering, taking or soliciting bribes;

• dumping damaging material in the environment;

• misreporting performance data;

• medical negligence in a hospital;

• supplying food unfit for consumption; or

• wanton neglect of people in care.

3

“The Whistleblowers”

4

Normativa italiana

5

C.P. art. 361: omessa denuncia di reato da parte del pubblico ufficialeC.C. art. 2408: segnalazione del socio al collegio sindacaleD.L. 8/91: e ss. mod.: norme per la protezione dei testimoni di giustiziaD.Lgs. 81/08: segnalazione dei lavoratori sulla sicurezzaD.Lgs. 231/07: norma antiriciclaggioCodice Autodisciplina Borsa Italiana, CONSOB, Corte dei Conti

...qualche problema• Garante Privacy- Segnalazione al Parlamento e al Governo sull'individuazione, mediante

sistemi di segnalazione, degli illeciti commessi da soggetti operanti a vario titolo nell'organizzazione aziendale (dic. 2009)

• individuare i presupposti di liceità del trattamento effettuato per il tramite dei citati sistemi di segnalazione, in particolare delineando una base normativa che definisca, innanzi tutto, l'ambito soggettivo di applicazione della disciplina e le finalità che si intendono perseguire;

• valutare in particolare, nel processo di perimetrazione sul piano soggettivo della disciplina, se estenderla a ogni tipo di organizzazione aziendale ovvero, per esempio, riferirla alle sole società ammesse alle negoziazioni su mercati regolamentati;

• definire la portata del diritto di accesso previsto dall'art. 7 del Codice da parte del soggetto al quale si riferisce la segnalazione (interessato), con riguardo ai dati identificativi dell'autore della segnalazione (denunciante);

• stabilire l'eventuale ammissibilità dei trattamenti derivanti da segnalazioni anonime.

6

Documentazione SAeT

• Il Servizio Anticorruzione e Trasparenza (S.A.eT.), creato nell'ambito del Dipartimento della Funzione Pubblica, ha origine dall'ufficio dell’Alto Commissario per la prevenzione e il contrasto della corruzione e delle altre forme di illecito nella pubblica amministrazione, nato in conseguenza degli obblighi internazionali dell’Italia derivanti dalla partecipazione ad organizzazioni internazionali quali l’OCSE e l’ONU.

7

Rapporto periodo 2004-2008

• Percezione del fenomeno della corruzione: ALTA da parte dell’opinione pubblica BASSA nella P.A.

8

Strumenti per le P.A.

9

Risk Management

10

D.L. n. 2156

• Art 4. (Tutela del dipendente pubblico che segnala illeciti)

• 1. Fuori dei casi di responsabilità a titolo di calunnia o diffamazione, il pubblico dipendente che denuncia o riferisce condotte illecite di cui sia venuto a conoscenza in ragione del rapporto di lavoro non può essere sanzionato, licenziato o sottoposto ad una misura discriminatoria, diretta o indiretta, avente effetti sulle condizioni di lavoro per motivi collegati direttamente o indirettamente alla denuncia.

• 2. Salvi gli obblighi di denuncia previsti dalla legge, l’identità del segnalante non può essere rivelata, senza il suo consenso, fino alla contestazione dell’addebito disciplinare.

11

D.Lgs. n. 231/2001

• L’art. 6, secondo comma, lettera c), prevede obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli.

• Alcuni modelli esaminati dal Tribunale di Milano nel 2004 (G.I.P. Secchi, ord. 20 settembre 2004) sono stati ritenuti inadeguati poiché “i canali di informazione cui si riferisce il modello organizzativo per la loro grande rilevanza dovrebbero, invece, essere resi noti – anche tramite la diffusione del modello stesso – ai dipendenti della società”

12

Canali di segnalazione• Best Pratices “ERM – Enterprise Risk Management”, alcune domande:

• I meccanismi di reporting e i protocolli sono organizzati in modo tale da far sentire il personale a suo agio?

• Quali procedure saranno adottate per rendere affidabili questi canali di comunicazione nei confronti del personale, eliminando qualsiasi timore per possibili ritorsioni?

• Come saranno stabilite le priorità dei fatti segnalati?

• In che modo saranno individuate le risorse appropriate per le azioni di follow up?

• Quali sono i target dei tempi di risposta?

• Quali sono gli standard di documentazione?

• Quali processi di monitoraggio sono posti in essere?

• Le risorse tecnologiche e di sicurezza sono adeguate per gestire il sistema?

• Chi sarà incaricato di svolgere le necessarie indagini?

• Come saranno documentate e seguite le segnalazioni ricevute?

• Come sarà informata la persona che ha segnalato i fatti in merito alle conclusioni raggiunte e ai provvedimenti presi?

• Che tipo di report di sintesi è necessario e con quale frequenza?

• Quali meccanismi saranno posti in essere per assicurare che i provvedimenti necessari siano intrapresi per i fatti segnalati e che siano effettuati, se dal caso, i necessari cambiamenti migliorativi dei sistemi per prevenire il ripetersi dei fatti?

13

Serbanes Oxley Corporate Reform Act• Normativa applicabile a tutte le aziende quotate al

listino del New York Stock Exchange, sebbene non logisticamente localizzate all’interno degli Stati Uniti.

• Sezione 301: obbligo di adottare “procedure per la ricezione, l’archiviazione e il trattamento di denunce ricevute dalla società e riguardanti la tenuta della contabilità, i controlli contabili interni e la revisione contabile, nonché per la presentazione in via confidenziale o anche anonima di segnalazioni da parte di dipendenti in merito a pratiche contabili o di revisione censurabili”

14

Segnalazioni anonime?

15

Dati SAeT

16

Leak site, attivismo e social community

17

G-20 Anticorruption Action Plan

18

G-20 Anticorruption Action Plan

19

G-20 Anticorruption Action Plan

20

Settore privato

21

WB e security

22

Fonte Rapporto Osservatorio 2008 Politecnico di Milano

alessandro.rodolfi@gmail.com

23http://rodolfi.org

Queste slide sono da utilizzare secondoi termini della Licenza Creative Commons:Attribuzione & Condividi allo stesso modo

...Niente è più pericoloso della verità!