Whistleblowing: l’Italia recepisce la direttiva UE e introduce nuovi obblighi normativi per le aziende con almeno 50 lavoratori subordinati.
Whistleblowing: breve intro
Whistleblower, letteralmente, significa “soffiatore di fischietto”. E’ quel dipendente, pubblico o privato, che segnala un illecito di cui viene a conoscenza nello svolgimento del proprio lavoro oppure nel contesto dell’ambiente in cui lavora. In italiano non esiste un termine equivalente, per cui si è adottata la versione inglese.
La necessità di normative che tutelino il whistleblower nasce dalla necessità di tutelare il segnalatore da ogni forma di ritorsione come conseguenza della segnalazione stessa. Il concetto non è comunque nuovo, nella normativa italiana. La legge 190 del 2012, che introduce una serie di elementi per la prevenzione della corruzione, già introduceva la tutela del whistleblower in ambito della PA. Il 2017 vede poi l’estensione della tutela alle società che hanno adottato modelli di organizzazione, gestione e controllo secondo il d.lgs 231/01.
Per saperne di più > Whistleblower senza privacy: il Garante sanziona un ospedale
Il Presidente dell’autorità nazionale anti corruzione, Giuseppe Busia, ha così commentato l’approvazione del Decreto Legislativo:
“preservare da comportamenti ritorsivi chi segnala illeciti o violazioni della legge sia nelle pubbliche amministrazioni che nelle aziende private è l’imperativo dell’Autorità che con questo decreto vede rafforzate le proprie competenze sulla materia: l’Anac diventa infatti l’unico soggetto competente a valutare le segnalazioni e l’eventuale applicazione delle sanzioni amministrative sia per quanto concerne il settore pubblico che quello privato”.
Direttiva Whistleblowing: per chi scattano i nuovi obblighi?
L’Italia ha recepito la Direttiva UE 2019/1937, giornalisticamente definita la Direttiva Whistleblowing, con il d.lgs n° 24 del 10.03.2023. Decreto legislativo che, appunto, introduce una serie di nuovi obblighi soprattutto allo scopo di rendere chiari i processi di gestione delle segnalazioni. I nuovi obblighi normativi scattano, nel settore privato, per quelle aziende che nell’ultimo anno abbiano impiegato la media di almeno 50 lavoratori subordinati.
Le disposizioni sono entrate in vigore dal 15 Luglio 2023.
Questa è infatti, una delle prime grandi novità del Decreto Whistleblowing: ciò che prima, per le aziende private, rientrava nel campo delle scelte facoltative diviene ora un obbligo. Tutte le aziende riguardate dalla normativa quindi avranno l’obbligo di istituire canali di segnalazione interna e forme di tutela del segnalante.
Non solo: il Decreto estende anche la lista degli illeciti che possono essere oggetto di segnalazione. Non più solo segnalazioni attinenti al campo degli illeciti penali (come corruzione o frode), ma anche cattive pratiche anche non necessariamente di rilievo penale ma che comunque incidono sugli “interessi strategici nazionali” (come antitrust, ambiente, privacy ecc…) oppure che violano standard etici ai quali si presume le organizzazioni aderiscano spontaneamente.
Infine, altra importante novità, è che le tutele previste per il whistleblower sono estese anche a tutti i soggetti che lo hanno supportato nel processo di segnalazione. Si va dai “facilitatori”, fino ai colleghi e perfino, in alcuni casi, ai familiari.
Decreto Whistleblower: quali novità?
I nuovi obblighi riguardano, tendenzialmente, due macro ambiti:
- i canali di segnalazione, che devono garantire la riservatezza sia dell’identità del whisleblower sia dei contenuti della segnalazione;
- l’adeguatezza (in termini di protezione dei dati) dei canali e processi utilizzati per inviare e gestire la segnalazione.
Sul primo punto, la normativa prevede che le segnalazioni potranno avvenire in forma scritta, anche digitale, oppure con segnalazioni orali tramite “linee telefoniche, sistemi di messaggistica vocale, incontro diretto…). Doverosa indicazione: l’ANAC avrà comunque a disposizione un proprio canale di segnalazione, esterno alle imprese, che i whistleblower potranno usare nei casi in cui le segnalazioni avvenute tramite i canali interni all’organizzazione di appartenenza non ottengano riscontro.
Il whistleblower potrà anche rendere pubblica la propria segnalazione, tramite mass media o social. Questa opzione è riconosciuta come “extrema ratio”, qualora
- abbia effettuato la segnalazione tramite i debiti canali senza ottenere riscontri;
- ritenga che l’illecito denunciato sia lesivo per l’interesse pubblico o per l’integrità della pubblica amministrazione e/o ente privato.
I nuovi obblighi
Concretamente, quali nuovi obblighi graveranno sulle aziende e le PA con il Decreto Whistleblower?
Dell’obbligo, anche per le aziende private con almeno 50 dipendenti subordinati, abbiamo già parlato. Ma il decreto Whistleblower porta con sé molte previsioni attinenti alla protezione dei dati e alle previsioni del GDPR. D’altronde è abbastanza conseguente immaginare come un processo di segnalazione attivi trattamenti di dati personali che richiedono, tra l’altro, il più alto grado possibile di sicurezza e riservatezza. Nulla di impossibile, va detto. Ciò che sarà sufficiente è un’accurata analisi sui canali e le modalità di gestione delle segnalazioni. Alcuni spunti:
- il consiglio è di iniziare dalla definizione del modello di ricevimento e gestione delle segnalazioni. Ti consigliamo di eseguire una valutazione d’impatto DPIA;
- le misure tecnico e organizzative da adottare dovranno garantire uno standard di sicurezza adeguato ai rischi derivanti da questo specifico trattamento. I principi di privacy by design e by default dovranno fungere da stella polare nell’adozione dello strumento di segnalazione e delle procedure di gestione;
Un utile spunto: Linee Guida sul whistleblowing dell’Autorità Nazionale Anticorruzione, Giugno 2021
- definisci i ruoli dei soggetti preposti a gestire le segnalazioni. Se i soggetti prescelti appartengono ad un ufficio interno all’azienda, questi dovranno essere autorizzati allo specifico trattamento dati ai sensi dell’art 29 del GDPR. Se invece l’azienda decide di affidarsi ad un soggetto esterno, dovrà procedere alla nomina a responsabile del trattamento del soggetto esterno, in conformità alle previsioni dell’art 28 GDPR;
- se decidi di utilizzare un software per gestire le segnalazioni, nomina il fornitore come responsabile del trattamento;
- predisponi adeguata informativa e mettila a disposizione, nei luoghi preposti, del personale dipendente;
- stabilisci i tempi di conservazione delle segnalazioni. Ricorda che l’art. 14 prevede un tempo massimo di 5 anni dalla data di comunicazione dell’esito finale della procedura di segnalazione;
- aggiorna il registro dei trattamenti…
Restano validi tutti i principi previsti dal GDPR (soprattutto minimizzazione) e diviene necessaria la stipula dell’accordo di contitolarità del trattamento nel caso in cui il ricevimento e la gestione della segnalazione preveda una condivisione delle risorse con terzi.
Devi adeguare la tua azienda alla normativa sul Whistleblowing e non sai da dove iniziare? Fallo fare ai nostri esperti!