Circa 42% dintre fraudele din companii au fost depistate in urma sesizarilor primite de la avertizori de integritate (i.e. persoane care raporteaza, intr-un context profesional, fapte neetice, incalcari de legi, reguli sau proceduri), conform unui studiu al Asociatiei Internationale a Examinatorilor de Frauda.

Astfel de raportari ar trebui incurajate avand in vedere ca fraudele/criminalitatea economica produc atat pierderi financiare semnificative, cat si reputationale, respectiv conduc la erodarea increderii pe care publicul o are intr-o institutie/companie.

Romania, dar si alte state europene, nu au inca o legislatie clara in acest domeniu si exista o teama de consecinte negative pe care le pot suporta avertizorii de integritate ca urmare a raportarilor. In acest context, la data de 16 decembrie 2019 Uniunea Europeana a adoptat Directiva 2019/1937 privind protectia persoanelor care raporteaza incalcari ale dreptului european, aceasta urmand a fi implementata in legislatia tuturor statelor membre, inclusiv prin extinderea domeniului sau de aplicare, la aspecte legate de incalcarea dreptului national.

Pe scurt, persoanele care raporteaza incalcari legislative (ex. acte frauduloase, dar nu numai), vor fi protejate de lege si nu vor trebui sa se teama de consecinte, iar companiile vor trebui sa implementeze proceduri interne de tratare a acestor raportari.

In Romania, desi termenul limita pentru transpunerea la nivel national a directivei a expirat deja (i.e. decembrie 2021), legea ce ar urma sa fie adoptata in acest sens se afla inca in procedura legislativa in Parlament. In stadiul actual, se preia destul de fidel textul Directivei, fiind incluse prevederi legale referitoare la raspunderea civila, disciplinara, contraventionala sau penala, dupa caz, a celor ce incalca reglementarea, dar si sanctiuni corespunzatoare.

Anticipand nevoile care vor fi generate de noua legislatie a avertizorilor de integritate, PwC a dezvoltat o platforma online care faciliteaza raportarea si investigarea sesizarilor avertizorilor de integritate, identificand totodata prin implicarea unei echipei multidisciplinare PwC si D&B printr-o analiza de tip forensic si, respectiv, juridic (dreptul muncii si protectia datelor personale) si aspectele cele mai importante pe care reprezentantii companiilor ar trebui sa le ia in considerare inca de acum, spre a nu fi ulterior luati prin surprindere la momentul cand se vor aplica aceste norme ce contin exigente extrem de ridicate si sanctiuni aferente dure.

 

Directiva stabileste, printre altele, cadrul de protectie a avertizorilor de integritate, aria de aplicabilitate, tipurile de canale de raportare, respectiv cine ar trebui sa le implementeze (ex. institutii publice si entitati private cu mai mult de 50 de angajati) si responsabilitati (ex. atributii de primire si investigare a sesizarilor primite).

Protectia se aplica atat angajatilor actuali care raporteaza fapte sau suspiciuni de incalcare a legii, cat si fostilor angajati, celor in proces de recrutare sau celor care doresc sa isi pastreze anonimatul. Legat de ultimul aspect, conform Directivei, raportarea poate fi facuta si anonim, insa ramane de vazut ce prevederi va avea legea din Romania cu privire la raportarile anonime.

Canalele de raportare pot fi online, cutii postale, linii telefonice dedicate, intalniri la solicitarea persoanei care efectueaza raportarea. Indiferent de forma, canalele trebuie sa permita protectia identitatii avertizorului, iar datele cu caracter personal trebuie prelucrate conform prevederilor legale aplicabile.

Directiva mai prevede urmatoarele termene de informare:

1) avertizorul trebuie sa fie informat de primirea raportarii in termen de cel mult sapte zile calendaristice de la primirea acesteia;

2) avertizorul trebuie sa fie informat asupra stadiului actiunilor subsecvente raportarii, in termen de trei luni de la data confirmarii primirii sesizarii.

Principalul canal de raportare este cel intern implementat de o companie, urmat de canalele externe de raportare implementate de autoritati competente, si de divulgarea in spatiul public. Avertizorul poate decide sa foloseasca direct canalul extern de raportare, daca canalele interne nu exista sau daca considera ca aspectele sesizate nu pot fi remediate prin intermediul canalelor interne de raportare. In cazul in care raportarea pe canalele interne sau externe nu a dat rezultate sau daca avertizorul nu a fost notificat cu privire la actiunile subsecvente in termen de trei luni (sau sase luni in cazurile temeinic justificate), acesta poate alege ca o ultima solutie divulgarea in spatiul public. Divulgarea publica poate fi utilizata si in caz de pericol iminent sau evident pentru interesul public (ex. risc de prejudiciu ireversibil) sau daca prin utilizarea raportarii externe exista un risc de represalii / ca incalcarea sa nu fie remediata.

Ce pot si trebuie sa faca inca de acum societatile pentru a se conforma cerintelor legislative aplicabile dupa transpunerea Directivei in lege si intrarea acesteia din urma in vigoare?

Modalitatea de implementare a prevederilor viitoarei legi pentru companii este foarte importanta, mai ales in contextul impactului pe care un asemenea act normativ l-ar putea avea asupra afacerii. Sa nu uitam ca, de exemplu, nerespectarea reglementarilor in materia protectiei datelor cu caracter personal poate conduce la aplicarea unor sanctiuni pecuniare semnificative (ex. de pana la 4% din cifra de afaceri globala) sau ca anumite companii pot fi atrase in scandaluri media cu efecte financiare si reputationale de nedorit.

In aceste conditii, tinand cont si de complexitatea si tehnicitatea problemelor in discutie, ar trebui ca entitatile private sa aiba in vedere inca de dinaintea intrarii in vigoare a viitoarei legi ce transpune Directiva, respectiv:

1) cu implementarea si evaluarea canalelor de raportare;

2) cu investigarea sesizarilor primite, mai ales atunci cand cazurile sunt complexe si riscante pentru o companie (ex. investigatii de sesizari de acte de coruptie, spalare de bani, hartuire, scheme complexe de frauda, cazuri de hartuire, etc).

 

Chiar daca momentul in care se va aplica noua lege este inca incert, este de asteptat ca acest proces sa fie accelerat de riscul inerent al unei proceduri de infringement initiate de catre Comisia Europeana, asa cum s-a mai intamplat in alte cazuri cand Romania a ratat termenele de transpune a actelor europene. Ar fi deci doar o iluzie pentru cei vizati de normele mai sus-descrise sa creada ca ar mai fi ceva timp pentru a se pregati in vederea unei aplicari corespunzatoare a acestora cand, in realitate este deja destul de tarziu. Astfel, companiile ar trebui sa inceapa inca de acum sa actioneze in sensul pregatirii implementarii prevederilor, pentru a nu avea ulterior dificultati si surprize neplacute.