Tot ce trebuie să știe companiile despre cerințele Legii privind avertizorii în interes public

Ceea ce este definit prin lege ca ”avertisment de integritate” reprezintă, de fapt, o modalitate prin care se încearcă protejarea interesului public – clienți, acționari, angajați, furnizori etc. – de situații și fapte cu caracter penal. În general, este acceptat faptul că denunțul constituie una dintre cele mai eficiente modalități de a detecta și de a preveni corupția ori alte cazuri de încălcare a legii, prin care sunt aduse daune interesului public.

Anonimatul celui care face denunțul (avertizorul de integritate) trebuie să fie obligatoriu protejat, înainte de toate pentru a contracara eventualele represalii ulterioare împotriva acestuia. Din nefericire, avertizorul se confruntă adesea cu represalii din partea angajatorului după ce semnalează nereguli. Potrivit unui studiu efectuat de profesorii de la Universitatea Bradley, aproape două treimi dintre avertizori au suferit următoarele forme de represalii: 69% și-au pierdut locul de muncă sau au fost forțați să demisioneze, 64% au primit evaluări negative privind performanța lor la locul de muncă, 68% au fost monitorizați mai îndeaproape de către supraveghetori, 69% au fost criticați sau ostracizați de către colegii de lucru, iar 64% au fost puși pe „lista neagră” în tentativa de a obține un alt loc de muncă.

Potrivit Legii 361/2022 privind avertizorii de interes public – așa-numita Lege whistleblowing (din engleză avertizare), angajații, furnizorii și clienții unei companii pot raporta comportamente incorecte sau acțiuni care încalcă legea și/sau codul de conduită, fiind însă protejați de eventualele consecințe negative ale unei astfel de plângeri.

Prin această lege a fost transpusă în România Directiva Europeana nr. 1937/2019 privind protecția persoanelor ce raportează încălcari (așa numita Lege Whistleblowing – din engleză avertizor) care stabilește regulile prin care angajații, furnizorii și clienții unei companii pot raporta comportamente incorecte sau acțiuni ale acesteia care încalcă legea și/sau codul de conduită, și sunt protejați prin lege de consecințele negative ale unui astfel de denunț.

Prin urmare, companiile sunt obligate să implementeze un sistem de protecție nu numai pentru angajații care raportează nereguli, ci și pentru aplicanții la locuri de muncă, foști angajați și jurnaliștii. Aceste persoane sunt protejate de concediere sau alte forme de discriminare. Protecția acordată de lege se aplică doar raportărilor de infracțiuni legate de legislația UE aplicabilă în domenii precum frauda fiscală, spălare de bani sau infracțiunile legate de achizițiile publice, siguranța produselor și a drumurilor, protecția mediului, sănătatea publică și protecția consumatorilor și a datelor.

Ce trebuie, de fapt, să ia în considerare companiile atunci când implementează un sistem de raportare a abaterilor?

Legea privind privind avertizorii în interes public se aplică tuturor societăților cu 50 sau mai mulți angajați sau cu o cifră de afaceri anuală de peste 10 milioane euro și instituțiilor și autorităților publice. Există însă și organizații care sunt obligate să creeze canalul de raportare prin care să poată fi sesizate nereguli din companie, deși nu îndeplinesc condiția de a avea 50 de angajați, cum ar fi spitalele, companiile din domeniul bancar, instituţiile financiare nebancare.

Canalul de raportare șapte condiții trebuie să îndeplinească nu mai puțin de 7 condiții:

Cerințele principale pentru un sistem de avertizare sunt destul de simple:
1. Ușor accesibil 24/24 ore, 7zile din 7, 365 de zile/an;
2. Corespunzător localizat și suficent de sigur pentru a proteja identitatea celui care face raportarea;
3. Conform legii, canalele de raportare a abaterilor trebuie să permită atât raportarea scrisă cât și cea verbală – cum ar fi o linie telefonică sau la un robot telefonic.Canalul de raportare trebuie să permită raportarea anonimă;
4. Toate informațiile transmise de avertizor trebuie să fie securizate, prin criptare;
5. Identitatea avertizorului trebuie să fie păstrată confidențială pe parcursul investigației dacă acesta nu-și exprima opțiunea de a fi facută publică identitatea sa;
6. Toate datele cu caracter personal referitoare la avertizori și persoane acuzate trebuie să fie tratate în conformitate cu prevederile GDPR;
7. Fiecare companie trebuie să numească „persoanele cele mai potrivite” pentru primirea și monitorizarea cazurilor de denunțare.

Odată creat canalul de avertizare a abaterilor, companiile trebuie să-și informeze angajații, furnizorii de servicii și partenerii de afaceri cu privire la procesul intern de raportare. De asemenea, acestea vor trebui să trimită avertizorilor confirmarea de primire a raportării în termen de cel mult șapte zile de la primire, apoi trebuie să-i informeze pe avertizorii cu privire la măsurile luate, la stadiul investigațiilor interne și la rezultatele acestora, în termen de trei luni de la confirmarea primirii denunțului. Raportările vor fi centralizate, potrivit legii, într-un registru electronic special, care va conține inclusiv informații despre soluționarea acestora și vor trebui păstrate timp de cinci ani.

Care este, de fapt, rolul acestei legi, dincolo de obligația României, ca stat membru al Uniunii Europene, de a implementa directivele acesteia? Unul dintre paragrafele acesteia precizează faptul că sunt vizate încălcările legii care s-au produs sau care sunt susceptibile să se producă, în cadrul autorităților, instituțiilor publice, altor persoane juridice de drept public, precum și în cadrul persoanelor juridice de drept privat – adică inclusiv ONG-uri. Prin urmare, vorbim despre o cale suplimentară prin care statele (nu doar România) încearcă să protejeze interesul public și sănătatea unui ecosistem format din companii, angajați și parteneri de afaceri, dar și instituții și contribuabili.

Cristiana Deca este Expert în cybersecurit data, Managing Partner data Decalex