di Rita Santaniello, Rödl & Partner
La Direttiva (UE) 2024/1760 del Parlamento Europeo e del Consiglio del 13 giugno 2024, pubblicata in Gazzetta il 5 luglio 2024, relativa al dovere di diligenza delle imprese ai fini della sostenibilità, meglio nota come CSDDD, entrerà in vigore in modo graduale a partire dal 26 luglio 2027 e sarà applicabile ‘a pieno regime’ solo a far data dal 26 luglio 2029. Da tale data si applicherà a tutte le imprese UE con più di 450 milioni di euro di fatturato e oltre 1000 dipendenti. Si applicherà anche ai franchising con oltre 80 milioni di euro, di cui almeno 22,5 derivanti da diritti di licenza, e alle società extra-UE che, indipendentemente dal numero di dipendenti, generino nell’UE un fatturato superiore a 450 milioni di euro.
I doveri di diligenza nascenti dalla CSDDD
La CSDDD impone alle grandi imprese precisi doveri di diligenza, da realizzarsi con politiche per la tutela delle persone e dell’ambiente, integrando il dovere di diligenza nelle strategie, nel processo decisionale e in tutti i processi dell’impresa. A garanzia della trasparenza e dell’effettività di tale sistema di governance aziendale, come tutti i sistemi di gestione o i modelli organizzativi che si rispettino, la Direttiva prevede altresì l’implementazione di un canale di segnalazione (procedura di reclamo) che consenta a tutti (interni o esterni all’organizzazione, ivi inclusi utenti, consumatori, associazioni, sindacati) di segnalare rischi – anche solo potenziali – per le persone e per l’ambiente. I doveri di diligenza non si limitano a impattare l’organizzazione dell’impresa ma si estendono all’esterno del perimetro aziendale, coinvolgendo tutta la ‘catena delle attività’, quindi, non solo la catena di fornitura, ma tutte le relazioni commerciali dell’impresa, spingendosi anche a livello Tier 2 e Tier 3.
Il ruolo centrale del risk management e le ricadute contrattuali
La base di tutto è il risk management: le imprese, in collaborazione con i propri stakeholder, dovranno mappare e identificare i rischi, valutarne la gravità e predisporre di conseguenza idonee misure di prevenzione e mitigazione del rischio. Nel caso in cui il rischio si manifesti e si tramuti in un impatto attuale, le imprese avranno l’obbligo di arrestarlo e di procedere con misure di riparazione, incluso il risarcimento dei danni.
Ma come è possibile vigilare su tutte le relazioni d’affari consolidate (con tali intendendosi quelle stabili e non occasionali) oltre il Tier 1?
La CSDDD prevede a tal fine un ‘sistema a cascata contrattuale’, ovverossia la previsione di clausole contrattuali che impongano al proprio partner commerciale il rispetto del proprio codice di condotta e l’obbligo di fare lo stesso nei rapporti contrattuali di quest’ultimo.
A garanzia del rispetto di tale codice di condotta, la CSDDD prevede lo svolgimento di una regolare attività di monitoraggio fondata su audit, anche servendosi di auditor professionali esterni.
E se il proprio partner commerciale non dimostrasse di rispettare e/o di essere in grado di rispettare le regole? La Direttiva prevede l’obbligo di cessare la relazione d’affari, ma prevede un sistema graduale e proporzionale alle capacità e risorse del partner. Innanzitutto, occorrerà pretendere e ottenere un piano di prevenzione e miglioramento e vigilare sui progressi. L’impresa più grande dovrà supportare le PMI mettendo loro a disposizione risorse, conoscenze, buone prassi e know-how. In caso di rischi gravi dovrà sospendere temporaneamente la relazione d’affari per consentire al proprio partner di allinearsi agli standard di condotta richiesti e solo quando non sia ragionevole attendersi la compliance del Partner, cessare la relazione d’affari.
Le attività di due diligence non sono rinviabili
Ma possiamo attendere il 2029? No.
Il rispetto dei diritti umani e dell’ambiente è condizione di legittimità dell’esercizio dell’attività d’impresa. Lo dice la nostra Costituzione. E ciò vale anche quando una parte dell’attività sia esternalizzata, ad esempio attraverso il ricorso al contratto d’appalto. Anche in tale caso, infatti, il rispetto dei diritti umani e dell’ambiente resta nel campo di responsabilità dell’impresa committente.
Esattamente come nel campo della salute e sicurezza sui luoghi di lavoro, occorre valutare e prevenire i rischi anche quando l’attività si estenda al di fuori dell’azienda.
Qual è la novità? La novità è che le Autorità sono oggi sempre più sensibili e attente al tema e i controlli sono in aumento, spostandosi dalla forma alla sostanza. Non basta essersi dotati di un codice etico o di un modello organizzativo ai sensi del D.Lgs. 231/2001, per andare indenne da responsabilità l’impresa deve dimostrare di avere effettivamente vigilato e agito in prevenzione.
I casi giudiziari relativi alla violazione degli obblighi di diligenza e dei diritti nei rapporti con le filiere produttive
Ce lo dimostrano i recenti casi di cronaca giudiziaria, relativi a provvedimenti di natura diversa e assunti da Autorità diverse, che però hanno un tratto in comune che in qualche modo anticipa i contenuti della CSDDD.
I provvedimenti di amministrazione giudiziaria assunti dal Tribunale di Milano nei confronti di tre note società operanti nel settore fashion nell’ambito di inchieste sullo sfruttamento dei lavoratori evidenziano quanto i fenomeni di sfruttamento dei lavoratori e gravi violazioni della normativa in materia di salute e sicurezza siano ancora ben radicati nel tessuto imprenditoriale italiano.
In particolare, nei casi appena citati è stata contestata la mancata applicazione di misure idonee alla verifica delle reali condizioni lavorative, ovvero delle capacità tecniche delle aziende appaltatrici. Tre distinti provvedimenti avverso aziende che adottavano il medesimo schema: esternalizzare l’attività produttiva mediante contratto di appalto con committenti i quali, a loro volta, subappaltavano a soggetti terzi che si avvalevano della prestazione di lavoratori che operavano in condizioni di sicurezza e di igiene precarie, condizioni retributive e orari di lavoro nettamente difformi rispetto a quelli contrattualmente previsti.
Nel primo provvedimento in ordine temporale, risalente al mese di gennaio 2024, alla società è stata attribuita la colpa di non aver mai verificato “la reale capacità imprenditoriale delle società appaltatrici alle quali affidare la produzione e nel non aver mai effettuato ispezioni o audit per appurare in concreto le reali condizioni lavorative e gli ambienti di lavoro”. Condotta ancor più grave se si tiene conto che nei contratti di appalto era espressamente prevista e dettagliatamente regolata la possibilità di ricorrere al sub-appalto.
Tuttavia, sulla procedura, seppur prevista, non veniva svolta alcuna verifica. Stando a quanto ricostruito dal giudice sulla base delle indagini svolte, la società appaltatrice non avrebbe controllato la catena produttiva, restando inerte pur venendo a conoscenza dell’esternalizzazione della produzione da parte delle società fornitrici, senza assumere iniziative quali “la richiesta formale di verifica della filiera dei sub-appalti, di autorizzazione alla concessione dei sub appalti o la rescissione dei legami commerciali”. Pertanto, è stata ritenuta concretizzata la condotta agevolatrice richiesta dalla fattispecie ex art. 34, D.lgs. 159/2011 (c.d. Codice Antimafia) per l’applicazione della misura di prevenzione dell’amministrazione giudiziaria.
La necessità dei controlli
Con il successivo provvedimento, del mese di aprile 2024, il Tribunale di Milano ha emesso un nuovo decreto di amministrazione giudiziaria nei confronti di una società operante nell’industrializzazione e produzione di abbigliamento e accessori. Macchinari privi di dispositivi di sicurezza, materiali chimici e altamente infiammabili lasciati incustoditi in condizioni non sicure, spazi adibiti a dormitorio ricavati in abusivismo edilizio, paghe pari a 2-3 euro all’ora: sono solo alcune delle risultanze emerse a seguito delle indagini condotte dal Nucleo Ispettorato del Lavoro del Comando Carabinieri di Milano.
La Procura ha rilevato la sussistenza di plurime violazioni delle norme in materia di sicurezza ed igiene sui luoghi di lavoro, la sottoposizione dei lavoratori a condizioni alloggiative degradanti e ad orari di lavoro difformi rispetto a quelli contrattualmente pattuiti, nonché una retribuzione oraria nettamente inferiore a quella prevista dal contratto collettivo applicato. In particolare, è stato accertato che la società committente non abbia mai effettivamente controllato la catena produttiva, verificando la reale capacità imprenditoriale delle società con le quali aveva concluso i contratti di fornitura, nonché le concrete modalità di produzione adottate dalle stesse. È stata altresì contestata l’omessa assunzione di una serie di misure – quali la verifica della filiera dei subappalti o di autorizzazione alla concessione degli stessi – con ciò configurandosi anche in tal caso quella condotta agevolatrice richiesta per l’applicazione dell’amministrazione giudiziaria.
Analogo il terzo caso del mese di giugno 2024. Anche in questa circostanza è emersa l’incapacità della società di prevenire e contrastare lo sfruttamento lavorativo nella sua catena produttiva. Erano ben quattro gli opifici cinesi coinvolti, tutti risultati irregolari, mentre ammontavano a 32 i lavoratori identificati, di cui sette in nero. L’attività produttiva avveniva in condizione di sfruttamento ed in ambienti inadeguati ed insalubri, fra turni massacranti e retribuzioni irrisorie.
Le contestazioni del Garante Privacy
Ed infine, ma non da meno, il provvedimento del 17 luglio 2024 del Garante Privacy ha colpito un’altra primaria società, quest’ultima operante nell’ambito della fornitura di energia elettrica e gas, che si è vista comminare una sanzione pari a 5 milioni di euro a fronte di gravi violazioni e omissioni nel proprio sistema di gestione commerciale, in particolare in relazione al canale di vendita porta a porta.
A seguito della propria istruttoria, scattata a seguito di numerose segnalazioni degli utenti, il Garante ha contestato alla Società l’insufficienza dei controlli interni adottati nei confronti di agenzie e agenti. L’Autorità ha rilevato la complessiva inadeguatezza del processo di verifica della volontà negoziale dei clienti mediante quality call, a causa della totale assenza di misure per bloccare il processo di contrattualizzazione nel caso di irreperibilità dei clienti. Non solo. Del tutto inadeguato è risultato il sistema di monitoraggio e verifica dell’operato delle agenzie, in quanto inefficace nell’identificare le anomalie e consentire alla Società di attivare adeguate azioni rimediali.
Come nei casi sopra citati verificatisi nel mondo del fashion, anche in questo caso l’Autorità ha contestato che le agenzie non risultavano soggette a regolari audit, né a verifiche, nemmeno a campione, in merito al puntuale rispetto delle norme privacy e all’effettiva legittimità della raccolta del consenso alla stipula dei contratti. Alla società è stata inoltre contestata l’assenza di specifiche iniziative finalizzate alla formazione in materia di protezione dei dati personali delle agenzie e dei singoli agenti.
CSDDD: che cosa fare subito
Tutti questi casi, citati per la loro notorietà, ma che non sono certo casi isolati, insegnano che non si può attendere la CSDDD restando inerti. Occorre implementare sin da subito un sistema di controllo rigoroso sulla filiera dei fornitori e su tutte le relazioni d’affari consolidate. Le imprese sono chiamate ad un’assunzione piena di responsabilità e all’implementazione di un’efficace governance interna che assicuri un’adeguata tutela delle persone e dell’ambiente e la prevenzione del rischio di violazioni e delle conseguenti severe sanzioni, che -oltre ad esporre l’impresa a possibili ulteriori azioni sul piano civile da parte dei danneggiati- espongono anche ad un forte rischio di danno reputazionale.
Poiché le misure da intraprendere sono significative e impattanti, conviene muoversi sin da subito, iniziando dalla mappatura delle relazioni d’affari e dei rischi, per prevenire e mitigare i rischi senza alcun indugio e per non farsi trovare impreparati, quando, con la CSDDD pienamente applicabile, oltre ai rischi sanzionatori e reputazionali citati, vi sarà anche il rischio di pesanti sanzioni (fino al 5% del fatturato) per la violazione della Direttiva.