În decembrie 2019 a intrat în vigoare Directiva privind protecția persoanelor care raportează încălcări ale dreptului Uniunii (Directiva UE 2019/1937). Potrivit acesteia, persoanele care dezvăluie nereguli în cadrul companiilor sau autorităților publice, denumiți avertizori de integritate, trebuie să fie protejați în întreaga Uniune. Statele membre UE au termen până la sfârșitul acestui an, respectiv 17 decembrie 2021, să transpună directiva în legislația națională.
Ministerul de Justiție a publicat în cursul acestei luni un proiect de lege privind protecția avertizorilor în interes public (în continuare „Proiectul de lege”). Proiectul de lege își propune să alinieze legislația națională la standardele impuse de directivă, însă sub anumite aspecte depășește cerințele directivei, după cum vom arăta în continuare.
Domeniul de aplicare - ce încălcări pot avertizorii să raporteze?
Proiectul de lege extinde domeniul de aplicare al directivei, în sensul că nu se limitează la anumite domenii, ci protecția urmează să fie acordată avertizorilor care raportează nerespectări ale dispozițiilor legale ce reprezintă abateri disciplinare, contravenții sau infracțiuni din toate domeniile, precum și acțiunile și omisiunile ce contravin obiectului sau scopului acestora, inclusiv nerespectarea normelor deontologice sau a celor profesionale.
În expunerea de motive se arată că această protecție suplimentară în raport cu exigențele directivei este fundamentată pe necesitatea de a menține standardele deja existente în legislația națională încă din 2004, făcându-se referire la Legea nr. 571/2004 privind protecția personalului din autoritățile publice, instituțiile publice și din alte unități care semnalează încălcări ale legii, în sectorul public, precum și de a asigura în același timp transpunerea corectă şi completă a directivei.
Considerăm că, din acest punct de vedere, proiectul nu este la adăpost de critici, iar amendarea sa în sensul clarificării/particularizării domeniului de aplicare ar fi bine-venită.
În primul rând, Proiectul de lege nu specifică încălcarea căror legi ar trebui raportată - de la nivelul UE și/sau național. Având în vedere referirea generică la încălcarea legii, dar și faptul că directiva obligă la acordarea protecției persoanelor care raportează încălcări ale dreptului Uniunii, probabil intenția a fost aceea ca protecția să vizeze deopotrivă raportările privind încălcările dreptului UE, cât și ale legislației interne, indiferent dacă ea implementează sau nu prevederi europene.
În al doilea rând, considerăm că protecția oferită avertizorilor de integritate ce sesizează încălcări ale legii săvârșite în mediul privat este nejustificat de largă, nerespectându-se exigența proporționalității între protejarea interesului public și ingerințele în activitatea companiilor. Spre exemplu, considerăm că protejarea secretului comercial ar trebui să primeze asupra divulgării încălcărilor minore, ce nu pot avea un impact semnificativ pentru societate. Pe de altă parte, nu putem să nu ne întrebăm unde este interesul public, spre exemplu, în ipoteza divulgării abaterilor disciplinare săvârșite de angajați și cine altcineva în afară de angajator ar putea fi interesat de o astfel de sesizare.
Nu în ultimul rând, raportarea unei sfere largi de încălcări poate însemna o îngreunare a procesului de înregistrare și soluționare a raportărilor, ceea ce, pe termen lung, va conduce la descurajarea avertizorilor de a semnala suspiciunile lor. Or, scopul legii ar trebui să fie acela de a preveni încălcările care creează riscuri semnificative pentru bunăstarea societății, spre exemplu faptele de corupție și fraudă, iar nu acela de a se cunoaște toate încălcările legii, ceea ce nu poate fi decât o utopie.
Prin urmare, considerăm că, în ceea ce privește încălcările săvârșite în mediul privat, legea ar trebui să particularizeze faptele de încălcare a legii a căror raportare oferă protecție avertizorilor, fie prin indicarea domeniilor de interes - așa cum o face directiva, fie prin revizuirea noțiunii de „încălcare a legii” astfel încât, pentru mediul privat, să vizeze numai infracțiunile și contravențiile, nu și abaterile disciplinare care pot fi generate de încălcarea unor norme interne sau încălcarea normele profesionale. Având în vedere sfera largă de persoane cărora li se adresează legea, claritatea legii este mai mult decât necesară pentru atingerea scopului acesteia.
Eliminarea din legea a acestei protecții ar putea conduce la evitarea unor practici de delațiune publică ea fiind însă posibilă - și recomandată - la nivelul fiecărei entități. Fiecare entitate ar putea prevedea în actele de organizare internă norme specifice de protecție a avertizorilor care ar semnala încălcări ale unor norme interne sau a celor specifice organizării unei profesii.
Ce obligații instituite noua reglementare în sarcina companiilor?
Proiectul de lege stabilește un sistem de raportare pe trei paliere: (i) raportarea internă, în cadrul companiei; (ii) raportarea externă, către Agenția Națională de Integritate sau alte autorități; (iii) divulgarea publică a informațiilor.
Obligația de a înființa un sistem intern de raportare se aplică companiilor care au cel puțin 50 de angajați. Pentru companiile care au între 50 și 249 de angajați, există o perioadă de tranziție de aproximativ un an până când implementarea unui sistem de raportare este obligatorie, respectiv până la 1 ianuarie 2023.
Pentru companiile mai mari (de la 250 de angajați), această obligație se va aplica imediat după intrarea în vigoare a legii, care ar trebui să se întâmple în luna decembrie a acestui an.
Nerespectarea obligației de a institui canale interne de raportare ar urma să fie contravenție sancționată cu amendă de la 2.500 lei la 25.000 lei.
Sistemele interne de raportare pot fi înființate în cadrul companiei fiind desemnați responsabili angajații companiei, spre exemplu un coordonator al conformității, un responsabil HR, un jurist, un director financiar, un auditor. Important este ca această persoană să fie independentă și imparțială. Este permisă însă și externalizarea acestei responsabilități către terți care furnizează astfel de servicii. De asemenea, este posibil să se creeze un sistem comun de raportare pentru mai multe companii cu 50 până la 249 de angajați, spre exemplu în cazul companiilor care fac parte din același grup.
Cine sunt avertizorii și cum sunt aceștia protejați?
Avertizori pot fi salariații care își desfășoară activitatea în cadrul companiilor, dar și orice altă persoană care, datorită activității sale profesionale, ia cunoștință de încălcări ale legii la nivelul companiei, precum persoanele care desfășoară o activitate independentă, acționarii, administratorii, directorii, furnizorii de produse sau subcontractanții unor servicii, precum și voluntarii și stagiarii remunerați sau neremunerați.
Raportarea se efectuează, în principal, prin intermediul canalelor interne de raportare existente la nivelul companiei, însă în anumite situații avertizorul poate să utilizeze direct canalele externe de raportare sau chiar divulgarea publică (prin intermediul rețelelor de socializare, mass-media, etc.), spre exemplu în cazul în care avertizorul consideră că există risc de represalii și că încălcarea raportată nu poate fi remediată în mod eficace prin intermediul canalelor interne sau dacă consideră că încălcarea poate constitui un pericol iminent sau evident pentru interesul public ori există riscul producerii unui prejudiciu care nu mai poate fi remediat.
Avertizorul nu răspunde pentru dobândirea informațiilor care sunt raportate sau divulgate public sau pentru accesul la acestea, cu condiția ca accesul la acele informații sau modalitatea de dobândire să nu constituie infracțiune.
Avertizorii urmează să fie protejați împotriva represaliilor precum: modificarea, suspendarea sau încetarea raportului de serviciu, retrogradarea sau împiedicarea promovării, aplicarea unei sancțiuni disciplinare, constrângerea, intimidarea, hărțuirea, discriminarea, crearea unui alt dezavantaj etc.
Proiectul prevede o inversare a sarcinii probei în cazul contestării represaliilor, angajatorii fiind cei care trebuie să demonstreze că o măsură dispusă conform legislației muncii este justificată de alte motive decât cele care au legătură cu raportarea sau divulgarea publică. Așa cum se întâmplă și în materia discriminării, este posibil ca acest mecanism să fie folosit de unii angajați în mod abuziv, încercând de fapt să își creeze un avantaj în eventuale negocieri legate de o încetare a contractului individual de muncă. De aceea este recomandabil ca fiecare măsură de tipul concedierii să fie temeinic documentată, iar eventualele proceduri legate de integritate să fie derulate separat și fără legături documentare între ele, cu excepția cazului în care, desigur, astfel de legături există.
În cazul încălcării interdicției represaliilor, avertizorii au dreptul, printre altele, la anularea măsurii dispuse de angajator împotriva acestora, dar și la măsuri reparatorii.
Implicații privind protecția datelor cu caracter personal
Toate activitățile de prelucrare a datelor cu caracter personal care vor fi efectuate în baza noii legi, inclusiv în ceea ce privește schimbul sau transmiterea datelor cu caracter personal de către autoritățile competente, trebuie să fie desfășurate cu respectarea obligațiilor în materia protecției datelor personale. Acest lucru include respectarea principiilor Regulamentului General privind Protecția Datelor (EU) 2016/679 (”GDPR”), cuprinzând, printre altele, necesitatea operatorilor de a se asigura că prelucrarea se efectuează în baza unui temei legal (și respectarea condițiilor pentru prelucrarea categoriilor speciale de date, în cazul în care raportările conțin și asemenea categorii) sau că vor fi prelucrate doar categoriile de date personale care sunt necesare și suficiente pentru soluționarea unei raportări.
Operatorii ar trebui să implementeze proceduri care să asigure faptul că identitatea fiecăreia dintre persoanele care efectuează raportarea, a persoanelor vizate și a persoanelor terțe la care se face referire în raportare (spre exemplu, martori sau colegi) este protejată în toate etapele procedurii. Totodată, ar trebui să se asigure că mecanismele stabilite pentru instituirea sistemelor de raportare sunt armonizate cu cerințele legislației privind protecția datelor încă de la momentul conceperii și pe întreg parcursul funcționării acestora.
Interferența dintre legislația din materia protecției datelor cu caracter personal și cea din materia sistemelor de raportare/avertizare a fost abordată într-un ghid adoptat în 2006 la nivel european de Grupul de Lucru Articolul 29 (”WP29”), înainte de intrarea în vigoare a GDPR, ghid care se raporta doar la anumite domenii de activitate. Comitetul European pentru Protecția Datelor (”EDPB”), continuatorul activității WP29, nu a ratificat acest ghid până la acest moment, astfel că rămâne de văzut dacă va emite un document armonizat prevederilor GDPR.
Concluzii
Proiectul de lege ar trebui amendat în sensul particularizării faptelor de încălcare a legii și deontologiei profesionale săvârșite în mediul privat care să constituie avertizare în interes public, forma actuală a proiectului fiind pe de o parte confuză, iar pe de altă parte, de natură să îngreuneze atingerea scopului legii putând conduce la crearea unui fenomen de delațiune
De partea cealaltă, companiile vizate ar trebui să ia în considerare implementarea canalelor interne de raportare sau adaptarea sistemelor existente în timp util pentru a fi pregătite pentru modificările legale începând cu decembrie 2021. Mai mult, provocarea pentru acestea este să conceapă sisteme de raportare atractive pentru angajați, astfel încât să încurajeze raportarea internă pentru a împiedica scurgerea de informații confidențiale în afara companiei.
Autori: Ioan Dumitrașcu (partner), Raluca Pușcaș (partner), George Trantea (counsel), Lisaura Ungureanu (senior associate), Cristina Radu (associate), Denisa Gonciulea (associate)
