Il 15 marzo 2023 è stato pubblicato in Gazzetta Ufficiale il D.Lgs 24/2023 relativamente alla tematica delle segnalazioni whistleblowing.
Le novità introdotte riguardano gli enti pubblici, i Comuni con più di 10mila abitanti, e gli enti del settore privato, che, nello specifico:
- abbiano adottato Modelli di Organizzazione, Gestione e Controllo ai sensi del D. Lgs. 231/2001, indipendentemente dal settore di attività e dal numero di dipendenti occupati;
- rientrano nell’ambito di applicazione degli atti dell’unione relativi ai settori indicati nell’allegato (es. bancario, del credito, dell’investimento, dell’assicurazione ecc.) anche se non abbiano raggiunto la media indicata nel punto precedente;
- anche se privi del Modello 231, abbiano occupato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato.
Che cos’è il whistleblowing?
Il whistleblowing è uno strumento di compliance aziendale, tramite il quale il personale dipendente o terze parti – definiti whistleblowers – possono segnalare, in modo riservato, condotte illecite, casi di corruzione o situazioni a rischio.
Le violazioni oggetto delle segnalazioni riguardano comportamenti, atti od omissioni, che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato e che possono consistere in illeciti amministrativi, contabili, civili o penali o condotte rilevanti ai sensi del D. Lgs. 231/2001 o violazioni del Modello 231, atti od omissioni che ledono gli interessi finanziari dell’UE e/o riguardanti il mercato interno.
Come si è voluta la normativa e cosa sta facendo l’Italia
La normativa italiana ha introdotto con la Legge 30 novembre 2017, n. 179 una prima disciplina sul whistleblowing, per prevenire la corruzione all’interno delle Pubbliche Amministrazioni e delle Organizzazioni del settore privato dotati di Modello Organizzativo 231.
Successivamente l’Unione Europea ha focalizzato l’attenzione sulla cultura della legalità e della compliance nei contesti organizzativi, con la Direttiva UE 2019/1937 riportando all’attenzione la disciplina del whistleblowing e le relative best practice internazionali. L’Italia ha recepito la direttiva europea il 9 marzo 2023 dandone poi attuazione concreta tramite il Dlgs del marzo 2023.
Cosa prevede la nuova normativa sul whistleblowing?
La nuova direttiva ha infatti introdotto importanti novità riguardo alla tutela dei segnalatori (whistleblowers) di illeciti che devono essere tutelati da qualsiasi conseguenza ritorsoria a seguito di segnalazione. Sono previste tutele anche per i soggetti che hanno supportato i whistleblowers nel processo di segnalazione, i cosiddetti “facilitatori”, oltre ad ulteriori figure “vicine” come colleghi e familiari.
La gestione del canale di segnalazione è affidata ad una persona interna o ad un ufficio interno autonomo dell’ente, oppure può essere affidata ad un soggetto esterno appositamente formato e autonomo.
Le segnalazioni possono essere effettuate in forma scritta (anche digitale) o orale (telefonica, messaggistica, appuntamento). Per i soggetti che abbiano occupato una media di lavoratori non superiore a 249, i canali di segnalazione possono essere condivisi. Una attenzione particolare quindi deve essere prestata alla creazione dei canali di segnalazione interna da parte degli enti privati.
Le segnalazioni e la relativa documentazione sono conservate per il tempo strettamente necessario al trattamento della segnalazione e comunque non oltre 5 anni dalla data della comunicazione dell’esito finale della procedura di segnalazione.
Inoltre, sono state ampliate le violazioni oggetto di segnalazione; infatti si possono ora includere anche le azioni che vanno ad incidere negativamente sugli interessi strategici comunitari, per esempio antitrust, e che consistono in una violazione degli standard etici a cui l’ente aderisce.
Quali obblighi sono previsti per la gestione delle segnalazione interne?
- Va garantita la riservatezza della identità del segnalante, della persona coinvolta nella segnalazione e del contenuto della segnalazione medesima – definiti all’art. 12 e seguenti del Decreto;
- le persone che gestiscono la segnalazione devono:
• rilasciare al segnalante un avviso di ricevimento entro 7 giorni dalla data di ricezione;
• mantenere una interlocuzione con il segnalante e chiedere integrazioni allorquando necessario;
• dare seguito alla segnalazione e fornire un riscontro entro 3 mesi dalla data dell’avviso di ricevimento della segnalazione o, in mancanza, entro 3 mesi dalla scadenza del termine di 7 giorni dalla data di presentazione della segnalazione;
• informare in maniera chiara ed esaustiva sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché sul canale e procedure e presupposti per effettuare segnalazioni esterne.
Quando è possibile effettuare una segnalazione esterna?
Quando:
- non è prevista l’attivazione di un canale interno di segnalazione o, se previsto, non è conforme a quanto indicato dal Decreto;
- il segnalante ha già effettuato una segnalazione interna e questa non ha avuto seguito;
- la persona segnalante ha fondato motivo di ritenere che la segnalazione non sarebbe efficace o che potrebbe determinare ritorsioni;
- la persona segnalante ha fondato motivo di ritenere che la segnalazione possa costituire un pericolo imminente o palese per il pubblico interesse.
I canali esterni sono attivati e gestiti da ANAC, ovvero l’Autorità Nazionale Anticorruzione, che dovrà, entro 3 mesi dall’entrata in vigore del Decreto, adottare linee guida relative alle procedure per la presentazione e gestione delle segnalazioni esterne.
Quali misure devono adottare le Organizzazioni per non incorrere in sanzioni?
Poiché per la violazione delle nuove disposizioni sono previste sanzioni che possono arrivare sino a Euro 50.000, occorrerà:
- per le società che abbiano adottato Modelli 231 e procedure whistleblowing, provvedere tempestivamente ad aggiornare il Modello e le procedure whistleblowing in modo tale da prevedere disposizioni interne compliant con la nuova normativa;
- per le società rientranti nel campo di applicazione della normativa, che non abbiano ancora adottato Modelli 231, implementare obbligatoriamente canali per la gestione delle segnalazioni whistleblowing, nonché idonee procedure volte a disciplinare la gestione delle medesime segnalazioni.
Senza trascurare gli adempimenti privacy, quali:
- aggiornare il registro dei trattamenti e le misure di sicurezza a protezione dei dati inerenti le segnalazioni;
- allineare, fin dalla progettazione, ogni operazione ai principi di protezione dei dati personali fissati dall’art. 5 del GDPR e dall’art. 3 del D.lgs.51/2018;
- eseguire una Valutazione di Impatto sulla Protezione dei Dati Personali (c.d. DPIA);
- formare ed autorizzare al trattamento i dipendenti chiamati a gestire il canale di segnalazione;
- designare come “responsabili del trattamento” eventuali fornitori esterni che trattano dati personali per loro conto.
Quali sono i tempi di attuazione della normativa?
Il decreto entrerà in vigore il 15 luglio 2023 e si applicherà a tutti i datori di lavori del settore pubblico e privato, a prescindere dall’adozione del modello organizzativo 231.
Solo per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media pari fino a 249 lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, l’obbligo di istituzione del canale di segnalazione interna ha effetto a decorrere dal 17 dicembre 2023.
Hai bisogno di rivedere la procedura di whistleblowing?
Vuoi valutare l’impatto privacy delle disposizioni previste dal nuovo decreto?
