Ghid actualizat 2026

Ghid de implementare canal de avertizare — Legea 361/2022

Legea 361/2022 privind protecția avertizorilor în interes public obligă mii de organizații din România să pună la dispoziție un canal intern securizat prin care angajații și colaboratorii pot semnala nereguli fără teama de represalii. Acest ghid acoperă integral cadrul legislativ, obligațiile concrete, termenele pe care trebuie să le respectați, sancțiunile pentru neconformitate și pașii practici pentru implementare. Indiferent dacă sunteți o companie privată cu peste 50 de angajați sau o instituție publică, veți găsi aici tot ce aveți nevoie pentru a fi în deplină conformitate.

1. Context legislativ

Legea nr. 361/2022 privind protecția avertizorilor în interes public a fost publicată în Monitorul Oficial al României și transpune în legislația națională Directiva europeană 2019/1937. Aceasta stabilește cadrul juridic pentru raportarea încălcărilor de drept al Uniunii Europene și al legislației naționale, garantând protecție persoanelor care semnalează nereguli în contextul profesional. Legea se aplică atât sectorului public, cât și celui privat, și acoperă o gamă largă de domenii — de la achiziții publice, servicii financiare și protecția mediului, până la protecția consumatorilor, securitatea alimentară și protecția datelor cu caracter personal.

Directiva europeană 2019/1937 a fost adoptată de Parlamentul European și Consiliu pe 23 octombrie 2019, cu scopul de a crea un standard minim de protecție pentru avertizorii din toate statele membre. Directiva a stabilit un sistem de raportare pe trei niveluri — canal intern, canal extern (autoritatea competentă) și divulgare publică — și a impus statelor membre transpunerea până la 17 decembrie 2021 pentru companiile mari și până la 17 decembrie 2023 pentru companiile cu 50–249 de angajați. România a finalizat transpunerea prin Legea 361/2022, preluând integral cerințele europene și adăugând prevederi specifice dreptului național.

România a avut un parcurs legislativ complex în domeniul protecției avertizorilor. Deși exista anterior Legea 571/2004, aceasta acoperea exclusiv sectorul public și nu oferea mecanisme eficiente de protecție. Legea 361/2022 înlocuiește practic cadrul vechi și extinde obligațiile semnificativ, inclusiv către companiile private, aliniind România la standardele europene.

Important: Toate companiile cu 50 sau mai mulți angajați și toate entitățile din sectorul public au obligația de a avea implementat un canal intern de raportare funcțional. Nerespectarea acestei obligații se sancționează cu amenzi contravenționale de până la 30.000 lei. Dacă organizația dumneavoastră nu a implementat încă un canal de avertizare, riscați sancțiuni din partea Agenției Naționale de Integritate (ANI).

2. Cine este obligat

Legea 361/2022 stabilește două categorii principale de entități obligate să instituie canale interne de raportare: organizațiile din sectorul privat și cele din sectorul public. Obligația se aplică indiferent de forma juridică a entității, iar pragul de angajați se calculează pe baza numărului mediu de angajați din anul anterior.

Sector privat

Toate companiile cu cel puțin 50 de angajați sunt obligate să implementeze un canal intern de avertizare. Această obligație este imperativă și nu poate fi înlocuită prin proceduri informale. Entitățile din sectorul financiar — bănci, societăți de asigurare, fonduri de investiții, instituții de plată — sunt obligate indiferent de numărul de angajați, dată fiind natura reglementată a activității lor. De asemenea, companiile supuse legislației privind prevenirea și combaterea spălării banilor și a finanțării terorismului trebuie să aibă canale interne de raportare, indiferent de dimensiunea lor. Companiile între 50 și 249 de angajați pot partaja resurse pentru primirea și investigarea rapoartelor, dar fiecare entitate rămâne individual responsabilă pentru conformitate.

Sector public

Toate autoritățile și instituțiile publice cu 50 sau mai mulți angajați sunt obligate să implementeze canale de avertizare interne. Unitățile administrativ-teritoriale cu peste 10.000 de locuitori au aceeași obligație, indiferent de numărul de angajați ai primăriei sau consiliului local. Toate instituțiile publice centrale — ministere, agenții, autorități de reglementare — intră sub incidența legii, indiferent de numărul de angajați. Autoritățile publice trebuie să desemneze un ofițer de integritate sau o structură dedicată responsabilă de primirea, înregistrarea și gestionarea rapoartelor, asigurând confidențialitatea și imparțialitatea procesului.

3. Ce trebuie să conțină canalul de raportare

Legea 361/2022 stabilește cerințe minime obligatorii pe care orice canal intern de raportare trebuie să le îndeplinească pentru a fi considerat conform. Neîndeplinirea chiar și a unei singure cerințe poate atrage sancțiuni și poate invalida procedura de raportare:

  • Posibilitatea de raportare în scris (formular online, email dedicat) și oral (linie telefonică, întâlnire față în față la cerere)
  • Garantarea confidențialității identității avertizorului și a oricărei terțe persoane menționate în raport
  • Acceptarea raportărilor anonime — legea nu impune identificarea avertizorului ca o condiție de admisibilitate
  • Confirmarea primirii raportului în termen de maximum 7 zile calendaristice de la înregistrare
  • Furnizarea unui răspuns (feedback) către avertizor privind acțiunile întreprinse, în termen de maximum 3 luni de la confirmare
  • Desemnarea unei persoane sau a unui departament imparțial, cu competență și independență, pentru gestionarea rapoartelor
  • Ținerea unui registru al rapoartelor primite, păstrat în condiții de confidențialitate pentru o perioadă de minimum 5 ani
  • Asigurarea protecției datelor cu caracter personal în conformitate cu Regulamentul General privind Protecția Datelor (GDPR)

4. Termene legale

AcțiuneTermen
Confirmare primire raport7 zile calendaristice de la înregistrare
Feedback către avertizor privind măsurile luateMaximum 3 luni de la data confirmării
Păstrare registru rapoarte în condiții de confidențialitateMinimum 5 ani de la data primirii raportului
Ștergere date personale care nu sunt relevanteConform principiilor GDPR — fără întârziere nejustificată

WhistleBox monitorizează automat termenele de 7 zile și 3 luni stabilite de lege, trimițând alerte prin email și Telegram către persoanele desemnate. Nu mai trebuie să urmăriți manual fiecare raport — platforma vă notifică înainte de expirarea termenului.

5. Sancțiuni pentru neconformitate

Amenzi contravenționale prevăzute de Legea 361/2022:

  • 3.000 – 30.000 lei — neinstituirea canalului intern de raportare sau necomunicarea informațiilor privind procedura de raportare
  • 4.000 – 40.000 lei — obstrucționarea raportării, tentativa de a împiedica raportarea sau încercarea de a identifica avertizorul în afara procedurii legale
  • 2.000 – 20.000 lei — încălcarea obligației de confidențialitate privind identitatea avertizorului sau a persoanelor vizate de raport

Pe lângă amenzile contravenționale, legea prevede răspundere civilă pentru repararea prejudiciilor cauzate avertizorului prin acte de represalii. Orice formă de represalii constituie abatere disciplinară, iar în cazurile grave — cum ar fi dezvăluirea deliberată a identității avertizorului — poate atrage și răspunderea penală. Instanțele competente pot dispune măsuri reparatorii, inclusiv reintegrarea în funcție, plata retroactivă a salariilor și despăgubiri pentru daune morale.

6. Protecția avertizorului

Legea 361/2022 instituie un regim extins de protecție împotriva represaliilor pentru persoanele care raportează încălcări. Protecția se aplică nu doar angajaților cu contract de muncă, ci și fostilor angajați, candidaților la angajare, voluntarilor, practicanților, acționarilor, administratorilor, furnizorilor și subcontractorilor. De asemenea, protecția se extinde și asupra persoanelor care facilitează raportarea, colegilor și rudelor avertizorului care ar putea suferi represalii în context profesional.

  • Concediere, suspendare, retrogradare sau refuzul promovării ca urmare a raportării
  • Intimidare, hărțuire, discriminare sau orice alt tratament defavorabil la locul de muncă
  • Refuzul nejustificat al promovării sau al accesului la formare profesională
  • Evaluare profesională negativă nejustificată sau referință de angajare negativă
  • Neconvertirea contractului de muncă temporar într-un contract pe perioadă nedeterminată, atunci când avertizorul avea așteptări legitime
  • Includerea pe liste negre informale la nivel de industrie sau sector, afectând posibilitatea de angajare ulterioară

Un principiu fundamental al legii este inversarea sarcinii probei: în cazul în care avertizorul demonstrează că a suferit un tratament defavorabil după efectuarea unei raportări, angajatorul trebuie să dovedească că măsura luată nu are nicio legătură cu raportarea. Această inversare oferă o protecție reală și eficientă avertizorilor în fața instanțelor de judecată.

7. Cum implementezi — pas cu pas

1

Desemnează responsabilul

Numește un ofițer de conformitate, un consilier de integritate sau o echipă dedicată care va primi și gestiona rapoartele. Persoana desemnată trebuie să fie imparțială, să nu aibă conflict de interese și să beneficieze de independență funcțională. Asigurați-vă că are pregătirea necesară privind legislația aplicabilă, inclusiv GDPR.

2

Alege platforma tehnică

O platformă securizată precum WhistleBox acoperă toate cerințele legale din primul moment: raportare scrisă și orală, comunicare bidirecțională anonimă, criptare end-to-end și monitorizarea automată a termenelor. Evitați soluțiile improvizate (email generic, formular nesecurizat) care nu garantează confidențialitatea.

3

Configurează canalul

Personalizează platforma cu identitatea vizuală a organizației: adaugă logo-ul, definește categoriile de raportare relevante pentru activitatea dumneavoastră (fraudă, corupție, discriminare, protecția mediului etc.) și stabilește limba sau limbile de raportare. Configurarea în WhistleBox durează sub 2 minute.

4

Informează angajații și colaboratorii

Distribuie link-ul de raportare prin email intern, intranet, afișaj în sediu și în contractele de muncă. Legea impune ca informațiile privind canalul intern să fie vizibile și ușor accesibile. Organizează o sesiune de informare pentru a explica procedura, drepturile avertizorilor și protecția oferită de lege.

5

Adoptă procedura internă scrisă

Redactează și aprobă o procedură internă care descrie fluxul complet al raportării: primirea raportului, confirmarea în 7 zile, investigarea, furnizarea feedback-ului în 3 luni, arhivarea și protecția datelor. Procedura trebuie să precizeze responsabilii, termenele și măsurile de protecție a confidențialității.

6

Monitorizează și actualizează

Respectă riguros termenele legale pentru fiecare raport primit. WhistleBox automatizează monitorizarea — primiți notificări automate la 5 zile (înainte de expirarea termenului de confirmare), la 2 luni și jumătate (înainte de expirarea termenului de feedback) și oricând un raport nou este înregistrat. Revizuiți procedura internă anual sau ori de câte ori apar modificări legislative.

8. De ce WhistleBox

WhistleBox a fost construit special pentru a ajuta organizațiile din România și din Uniunea Europeană să respecte integral cerințele Directivei 2019/1937 și ale legislațiilor naționale de transpunere, inclusiv Legea 361/2022. Platforma elimină complexitatea tehnică și juridică a implementării, oferind un canal de raportare complet funcțional în mai puțin de 2 minute, fără a necesita intervenție din partea departamentului IT. Cu WhistleBox, vă concentrați pe investigarea rapoartelor, nu pe administrarea infrastructurii tehnice.

Configurare completă în 2 minute, fără cunoștințe tehnice și fără implicarea departamentului IT
Criptare end-to-end cu arhitectură zero-knowledge — nici măcar echipa WhistleBox nu poate accesa conținutul rapoartelor
Zero cookies și zero trackere pe paginile de raportare, garantând anonimatul complet al avertizorului
Comunicare bidirecțională anonimă între avertizor și persoana desemnată, fără a compromite identitatea
Monitorizare automată a termenelor legale de 7 zile și 3 luni, cu alerte proactive
Notificări în timp real prin email și Telegram la primirea unui raport nou sau apropierea unui termen
Audit trail complet și registru al rapoartelor conform cerințelor legale de păstrare pe 5 ani
Deplin conform GDPR, cu hosting exclusiv în Uniunea Europeană și prelucrare transparentă a datelor
Disponibil în 24 de limbi europene, ideal pentru organizații multinaționale sau cu angajați vorbitori de limbi diferite
Plan Starter gratuit — nu este necesar cardul bancar, puteți testa platforma fără niciun angajament financiar
Creează cont gratuitProgramează un demo