Daca anul trecut, in luna decembrie, intra in vigoare Legea 361/2022 privind protectia avertizorilor in interes public, fiind stabilit cadrul general cu privire la protectia persoanei care sesizeaza incalcari ale legii (avertizorul in interes public), doar pentru institutiile publice si companiile private cu mai mult de 249 de angajati, incepand din acest an (17 decembrie, mai exact), prevederile vor fi aplicabile si persoanelor juridice private care au intre 50 si 249 de angajati.

Legea defineste cadrul, necesar si obligatoriu, de transparenta si corectitudine prin care se poate crea si mentine o buna cultura a integritatii organizationale de catre companiile romanesti si entitatile publice deopotriva.

In virtutea acestei legi, aidoma institutiilor si companiilor care au intrat sub umbrela prevederilor inca de anul trecut, si companiile mici si medii (ca numar de angajati) vor avea cateva obligatii foarte clar stipulate in lege. Este vorba in primul rand despre obligatia de a stabili canale de raportare, cu indeplinirea catorva criterii: confidentiale, interne (accesibile si tertilor), care sa fie concepute, stabilite si utilizate intr-un mod sigur, astfel incat sa permita mentinerea comunicarii cu avertizorul. Se adauga obligatia de informare, care inseamna confirmarea de primire a raportului catre avertizor in termen de sapte zile si feedback in termen de trei luni. La fel de importanta este realizarea investigatiilor interne in urma sesizarii avertizorului, prin care se verifica si se solutioneaza aspectele raportate ca fiind in neregula. De asemenea, companiile au obligatia de a asigura protectia identitatii (confidentialitatea), protectia avertizorilor de integritate impotriva represaliilor, la care se adauga aceea de a furniza informatii clare si accesibile privind procedurile de raportare externa. De altfel, pentru faptul ca nu au asigurat prin proceduri clare de lucru confidentialitatea avertizorilor, legea prevede pentru companii cea mai drastica sanctiune, respectiv 40.000 lei (circa 8.000 euro echivalent).

Cei cinci pasi esentiali pentru conformitate

1. Intelegerea organizatiei si stabilirea obiectivelor, in functie de dimensiunea, cultura, tipul de activitate si guvernanta corporativa.
Primul si cel mai important pas este definirea obiectivelor pe care compania doreste sa le indeplineasca aplicand legea avertizorului, iar raspunsul poate fi de la simplu (doar conformitate, pentru ca asa cere legea) la complex, caz in care compania vizeaza mai mult de atat, respectiv, crearea unei culturi de integritate.

2. Intocmirea unui plan de actiune si stabilirea responsabilitatilor
Este importanta stabilirea responsabililor si completarea cadrului procedural cu un ofiter de etica, responsabil sa primeasca rapoartele si sa administreze canalul de raportare convenit intern. Acest responsabil poate fi o persoana sau o echipa, interna sau externa. In cazul alegerii variantei interne, aceasta poate fi formata din angajati ai departamentului juridic, HR, compliance etc., pentru ca sunt angajatii care se ocupa, prin natura atributiilor, si de partea de integritate a salariatilor si a companiei. Varianta externalizarii este de luat in calcul, cel putin din punct de vedere al eficientei, rapiditatii si independentei in rezolvarea raportarilor. In plus, sa nu uitam de nivelul ridicat de specializare al unui potential responsabil extern, care se va ocupa de preluarea, trierea si rezolvarea sesizarilor. De asemenea, in implementarea planului de actiune privind aplicarea legii trebuie avut in vedere, ca pas esential, stabilirea canalului/ canalelor de raportare.

3. Identificarea canalului de raportare adecvat
Legea nu face mentiuni speciale si, practic, acest aspect este lasat la aprecierea fiecarei companii si a persoanei responsabile din companie. De asemenea, nu este obligatoriu sa existe un canal de raportare anonima, dar trebuie asigurata maxima confidentialitate a raportarilor. Canalul de raportare trebuie astfel conceput, incat sa protejeze confidentialitatea (sau chiar anonimitatea) avertizorilor, usor accesibil, in mod ideal cu mai multe optiuni de raportare (de ex.. e-mail, telefon, website sau aplicatie mobila), protectia impotriva represaliilor, dar si impartialitatea, prin gestionarea clara a proceselor si independenta persoanei desemnate.

Pe de alta parte, acesta trebuie sa fie clar si fiabil, sa permita colectarea de informatii suficiente pentru a initia o investigatie. Importanta este si persoana desemnata, care va trebui sa fie instruita permanent pentru a primi rapoarte, a intelege diferitele tipuri de activitati frauduloase, astfel incat sa aplice cu acuratete politicile si procedurile stabilite.

4. Implementarea procesului de raportare, redactarea si implementarea procedurilor
Procedura de gestionare a cazurilor este la fel sau chiar mai importanta ca politica privind avertizarile in interes public, pentru ca ajuta in gestionarea rapida a unor cazuri sensibile. Prin urmare, aceasta procedura trebuie sa fie bine gandita, creata in acord cu realitatea companiei si implementata prin instruiri periodice pentru a le reaminti persoanelor responsabile cum ar trebui sa actioneze si ce anume trebuie sa faca pentru a atinge obiectivele stabilite prin Politica de Whistleblowing. Companiile pot opta pentru o politica de raportare integrata in regulamentul intern existent sau sa creeze un regulament separat (varianta recomandata).

5. Campania de comunicare si instruirea personalului relevant
In opinia noastra, ar trebui create doua categorii de traininguri pentru a asigura o buna implementare a legii, respectiv una pentru angajati si una pentru echipa de preluare si raspuns. In acest din urma caz, sunt obligatorii detalii despre forma si variantele de raportare – catre autoritati sau divulgare publica (cu risc reputational asociat), in afara celui intern.

Am recomandat companiilor carora le asiguram asistenta pe zona de instruire a personalului pe implementarea Legii Whistleblowing sa trateze distinct cele doua categorii de personal, intrucat in sarcina echipei de preluare si raspuns intra mai multe atributii.

Important de mentionat este faptul ca planul de actiune are implicatii pe zona de consultare cu reprezentantii salariatilor/ sindicatul. Astfel ca, devine obligatie legala pentru companie de a-i informa pe acestia cu privire la intentia de a implementa o astfel de politica. Cu alte cuvinte, sa aiba loc o consultare, anterior implementarii, pentru a vedea daca modul in care a fost conceput canalul de raportare este conform, ca metode de asigurare a securitatii datelor, modul de acces si temeiul legal al prelucrarii.

Sanctiunile prevazute de Legea 361/2022

La o prima vedere, pare ca legiuitorul a prevazut sanctiuni relativ mici sau, in orice caz, nu atat de drastice, incat companiile romanesti sa fie ingrijorate in caz ca vor fi gasite cu lipsuri in aplicarea legii. Pentru cele trei mari obligatii, sumele variaza intre 3.000 si 40.000 lei care, in functie de dimensiunea companiei si a cifrei de afaceri, poate avea (sau nu) un impact semnificativ. Dincolo de riscul unor masuri punitive financiare, vorbim despre un risc mult mai mare, respectiv riscul reputational al companiei despre care se afla ca a incalcat prevederile legale in ceea ce priveste integritatea companiei si a angajatilor sai.

Este fara indoiala faptul ca un mecanism de raportare sigur si confidential, creat si oferit angajatilor unei companii, va spori increderea in cadrul organizatiilor. Acest lucru are ca rezultat un mediu de lucru mai deschis, transparent, promoveaza si ajuta la crearea unei culturi a integritatii. Un raport de avertizare intocmit si transmis corespunzator poate oferi dovezile necesare, atunci cand se efectueaza investigatii privind practicile frauduloase sau alte comportamente neetice.

Asigurarea conformitatii cu legea privind protectia avertizorilor de integritate nu numai ca asigura respectarea obligatiilor legale impuse organizatiilor, ci demonstreaza si beneficiile unei culturi a integritatii pentru angajati, clienti, investitori si alte parti interesate.

Autori: Andreea Simion (foto stanga sus), Manager, Forensic & Integrity Services, EY Romania,
Anca Atanasiu (foto dreapta), Avocat, Senior Managing Associate, Bancila, Diaconu si Asociatii