Ana Sebov, PwC România, şi Dan Dascălu, Partener D&B David şi Baias: România este pe cale să aprobe Directiva privind avertizorii de integritate. Cât de pregătite sunt companiile pentru noile reglementări?

Ziarul Financiar 17.05.2022

Circa 42% dintre fraudele din companii au fost depistate în urma sesizărilor primite de la avertizori de integritate (i.e. persoane care raportează, într-un context profesional, fapte neetice, încălcări de legi, reguli sau proceduri), conform unui studiu al Asociaţiei Internaţionale a Examinatorilor de Fraudă.

Astfel de raportari ar trebui încurajate având în vedere că fraudele/criminalitatea economică produc atât pierderi financiare semnificative, cât şi reputaţionale, respectiv conduc la erodarea încrederii pe care publicul o are într-o instituţie/companie.

România, dar şi alte state europene, nu au încă o legislaţie clară în acest domeniu şi există o teamă de consecinţe negative pe care le pot suporta avertizorii de integritate ca urmare a raportărilor. În acest context, la data de 16 decembrie 2019 Uniunea Europeană a adoptat Directiva 2019/1937 privind protecţia persoanelor care raportează încălcări ale dreptului european, aceasta urmând a fi implementată în legislaţia tuturor statelor membre, inclusiv prin extinderea domeniului său de aplicare, la aspecte legate de încălcarea dreptului naţional.

Pe scurt, persoanele care raportează încălcări legislative (ex. acte frauduloase, dar nu numai), vor fi protejate de lege şi nu vor trebui să se teamă de consecinţe, iar companiile vor trebui să implementeze proceduri interne de tratare a acestor raportări.

În România, deşi termenul limită pentru transpunerea la nivel naţional a directivei  a expirat deja (i.e. decembrie 2021), legea ce ar urma să fie adoptată în acest sens se află încă în procedură legislativă în Parlament. În stadiul actual, se preia destul de fidel textul Directivei, fiind  incluse prevederi legale referitoare la răspunderea civilă, disciplinară, contravenţională sau penală, după caz, a celor ce încalcă reglementarea, dar şi sancţiuni corespunzătoare.

Anticipând nevoile care vor fi generate de noua legislaţie a avertizorilor de integritate, PwC a dezvoltat o platformă online care facilitează raportarea şi investigarea sesizărilor avertizorilor de integritate, identificând totodată prin implicarea unei echipei multidisciplinare PwC şi D&B printr-o analiză de tip forensic şi, respectiv, juridic (dreptul muncii şi protecţia datelor personale) şi aspectele cele mai importante pe care reprezentanţii companiilor ar trebui să le ia în considerare încă de acum, spre a nu fi ulterior luaţi prin surprindere la momentul când se vor aplica aceste norme ce conţin exigenţe extrem de ridicate şi sancţiuni aferente dure.

Ce prevede directiva?

Directiva stabileşte, printre altele, cadrul de protecţie a avertizorilor de integritate, aria de aplicabilitate, tipurile de canale de raportare, respectiv cine ar trebui sa le implementeze (ex. instituţii publice şi entităţi private cu mai mult de 50 de angajaţi) şi responsabilităţi (ex. atribuţii de primire şi investigare a sesizărilor primite).

Protecţia se plică atât angajaţilor actuali care raportează fapte sau suspiciuni de încălcare a legii, cât şi foştilor angajaţi, celor în proces de recrutare sau celor care doresc să îşi păstreze anonimatul. Legat de ultimul aspect, conform Directivei, raportarea poate fi făcută şi anonim, însă rămâne de văzut ce prevederi va avea legea din România cu privire la raportările anonime.

Canalele de raportare pot fi online, cutii poştale, linii telefonice dedicate, întâlniri  la solicitarea persoanei care efectuează raportarea. Indiferent de formă, canalele trebuie să permită protecţia identităţii avertizorului, iar datele cu caracter personal trebuie prelucrate conform prevederilor legale aplicabile.

Directiva mai prevede următoarele termene de informare: 1) avertizorul trebuie sa fie informat de primirea raportării în termen de cel mult şapte zile calendaristice de la primirea acesteia; 2) avertizorul trebuie sa fie informat asupra stadiului acţiunilor subsecvente raportării, în termen de trei luni de la data confirmării primirii sesizării.

Principalul canal de raportare este cel intern implementat de o companie, urmat de canalele externe de raportare implementate de autorităţi competente, şi de divulgarea în spaţiul public. Avertizorul poate decide să folosească direct canalul extern de raportare, dacă canalele interne nu există sau dacă consideră că aspectele sesizate nu pot fi remediate prin intermediul canalelor interne de raportare. În cazul în care raportarea pe canalele interne sau externe nu a dat rezultate sau dacă avertizorul nu a fost notificat cu privire la acţiunile subsecvente în termen de trei luni (sau şase luni în cazurile temeinic justificate), acesta poate alege ca o ultimă soluţie divulgarea în spaţiul public. Divulgarea publică poate fi utilizată şi în caz de pericol iminent sau evident pentru interesul public (ex. risc de prejudiciu ireversibil) sau dacă prin utilizarea raportării externe există un risc de represalii / ca încălcarea să nu fie remediată.

Ce pot şi trebuie să facă încă de acum societăţile pentru a se conforma cerinţelor legislative aplicabile după transpunerea Directivei în lege şi intrarea acesteia din urmă în vigoare?

Modalitatea de implementare a prevederilor viitoarei legi pentru companii este foarte importantă, mai ales în contextul impactului pe care un asemenea act normativ l-ar putea avea asupra afacerii. Să nu uităm că, de exemplu, nerespectarea reglementărilor în materia protecţiei datelor cu caracter personal poate conduce la aplicarea unor sancţiuni pecuniare semnificative (ex. de până la 4% din cifra de afaceri globală) sau ca anumite companii pot fi atrase în scandaluri media cu efecte financiare şi reputationale de nedorit.

În aceste condiţii, ţinând cont şi de complexitatea şi tehnicitatea problemelor în discuţie, ar trebui ca entităţile private să aibă în vedere încă de dinaintea intrării în vigoare a viitoarei legi ce transpune Directiva, respectiv:

Chiar dacă momentul în care se va aplica noua lege este încă incert, este de aşteptat ca acest proces să fie accelerat de riscul inerent al unei proceduri de infringement iniţiate de către Comisia Europeană, aşa cum s-a mai întâmplat în alte cazuri când România a ratat termenele de transpune a actelor europene.

Ar fi deci doar o iluzie pentru cei vizaţi de normele mai sus-descrise să creadă că ar mai fi ceva timp pentru a se pregăti în vederea unei aplicări corespunzătoare a acestora când, în realitate este deja destul de târziu. Astfel, companiile ar trebui să înceapă încă de acum să acţioneze în sensul pregătirii implementării prevederilor, pentru a nu avea ulterior dificultăţi şi surprize neplăcute.

Ana Sebov, Liderul Departamentului de Forensic Services PwC România

Dan Dascălu, Partener D&B David şi Baias