whistleblowing

Whistleblowing

19 Giugno 2023

Il D. lgs. 24/2023 ha recepito la Direttiva Europea in materia di Whistleblowing, contenente prescrizioni in tema di segnalazione di illeciti di cui il soggetto sia venuto a conoscenza all’interno del contesto lavorativo pubblico o privato.

La norma vincola le aziende a conformarsi entro il termine del 15 luglio 2023, se hanno più di 250 dipendenti, e il 17 dicembre c.a., per quelle con meno di 250 dipendenti.

Occorre, però, far chiarezza su presupposti, destinatari e adempimenti.

Procediamo per gradi.

Chi è obbligato?

I vincoli normativi sono rivolti a:

  1. Soggetti del settore pubblico: Pubbliche amministrazioni, autorità amministrative indipendenti di garanzia, vigilanza o regolazione, enti pubblici economici, concessionari di pubblico servizio, società a controllo pubblico.
  2. Soggetti del settore privato che:
    1. Hanno impiegato nel corso dell’ultimo anno una media di 50 lavoratori subordinati.
    2. A prescindere dal numero di lavoratori impiegati, rientrano nell’ambito di applicazione degli atti dell’Unione indicati nel punto I.B e II dell’Allegato al D. Lgs.: in materia di antiriciclaggio e prevenzione del terrorismo; servizi, prodotti e mercati finanziari; sicurezza dei trasporti; tutela dell’ambiente.
    3. A prescindere dal numero di lavoratori impiegati, sono sottoposti alla normativa in tema di responsabilità amministrativa delle persone giuridiche (D. Lgs. 231/2001) ed adottano i relativi modelli di organizzazione e gestione.

Quali sono le violazioni rilevanti? I reati presupposto del whistleblowing

Le condotte rilevanti ai fini delle segnalazioni sono quelle indicate nell’art. art. 2, comma 1., lett. a), consistenti in:

  1. Illeciti amministrativi, contabili, civili e penali
  2. Condotte illecite rilevanti ex d. Lgs. 231/2001
  3. Condotte elusive ed illeciti in violazione di atti dell’Unione e/o nazionali nei settori di:
    1. servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo.
    2. Requisiti di sicurezza e conformità dei prodotti immessi nel mercato dell’Unione;
    3. Sicurezza dei trasporti.
    4. Tutela dell’ambiente;
    5. Sicurezza nucleare;
    6. Sicurezza degli alimenti, mangimi, salute e benessere degli animali;
    7. Salute pubblica (anche prodotti medicinali e dispositivi di impiego medico);
    8. Protezione dei consumatori;
    9. Tutela della vita privata, dei dati personali, della sicurezza delle reti e dei sistemi informativi;
    10. Appalti pubblici.
  4. Condotte che ledono interessi finanziari dell’Unione
  5. Condotte che violano le regole del mercato interno, concorrenza, aiuti di Stato, sistema fiscale.
  6. Atti e comportamenti che vanificano le finalità delle disposizioni sopra elencate.

Chi è il whistleblower: sei a conoscenza di un illecito? Fa’ un fischio

Whistleblower, letteralmente tradotto come “soffiatore di fischietto”, è il soggetto che segnala l’illecito ed è destinatario delle tutele del predetto Decreto.

Si può trattare di dipendenti delle amministrazioni pubbliche, degli enti pubblici economici, lavoratori subordinati, lavoratori autonomi, collaboratori, liberi professionisti e consulenti tirocinanti e volontari anche non retribuiti, azionisti e soggetti apicali.

La segnalazione, inoltre, può provenire anche da soggetti che non sono legati da un rapporto contrattuale, ma vengono a conoscenza degli illeciti durante le fasi precontrattuali, durante il periodo di prova o successivamente allo scioglimento del rapporto di lavoro.

Non sono, però, soggette alle tutele predisposte dalla normativa tutte quelle segnalazioni che scaturiscono da contestazioni o richieste legate ad un interesse di carattere personale del segnalante e quelle in materia di difesa e sicurezza nazionale.

Riservatezza del whistleblower

Anonimato o riservatezza? Nulla osta alla previsione di modalità di segnalazione anonima (tanto emerge dall’Art. 16, co.4), ergo alla possibilità di interloquire con il soggetto senza conoscerne l’identità.

Ma la norma non impone di assicurare l’anonimato del segnalante, bensì la necessità di assicurare la riservatezza circa la sua identità nei confronti di tutti i soggetti (ad eccezione, ovviamente, di quello/i a cui è demandata la gestione del canale di segnalazione). Senza il consenso del whistleblower, non potranno esser rivelate ad altri soggetti né l’identità, né altre informazioni dalle quali la stessa possa evincersi.

Inoltre, l’identità del segnalante potrà esser rivelata, previo consenso, nei soli casi in cui tanto si renda indispensabile a fini dell’esercizio del diritto di difesa del segnalato nel corso del procedimento disciplinare.

Tutela, quella riservata al whistleblower, che si estende fino al riconoscimento del divieto di ritorsione con annesse misure di protezione ad hoc.

Adempimenti per le aziende: i canali di segnalazione

L’art. 4 del D. Lgs. 24/2023 prescrive una serie di adempimenti obbligatori per il datore di lavoro, pubblico o privato che sia.

È, infatti, indispensabile predisporre un canale di segnalazione interno a disposizione del segnalante, che offra opportune garanzie di riservatezza dell’identità, del contenuto della segnalazione e della relativa trasmissione. Garanzie da sottoporre ad opportuna verifica, per evitare di incorrere in provvedimenti sanzionatori da parte dell’Autorità Garante per la protezione dei dati.

Come dev’essere il canale di segnalazione?

Il canale di segnalazione può avere differenti forme, tutte parimenti valide a condizione di soddisfare i requisiti normativi.

La segnalazione può esser effettuata in forma scritta, anche attraverso procedimento cartolare o modalità informatiche (ivi compresi software di whistleblowing normativamente conformi), o in forma orale, a mezzo di linee telefoniche, sistemi di messaggistica vocale o, su richiesta del segnalante, mediante un incontro diretto fissato entro un termine ragionevole.

Nel caso di segnalazione effettuata in forma orale, occorre dare atto del contenuto tramite trascrizione di un verbale, che il segnalante può verificare, rettificare e confermare mediante la propria sottoscrizione.

La gestione del canale di segnalazione

Il canale può esser affidato ad un soggetto interno, ad un ufficio interno o ad un soggetto esterno. Fondamentale è che questo soggetto soddisfi requisiti di autonomia, venga appositamente individuato e adeguatamente formato al rispetto delle prescrizioni normative. Per quanto riguarda i soggetti pubblici sottoposti all’obbligo di prevedere la figura del responsabile della prevenzione della corruzione e della trasparenza (art. 1, co. 7, l 190/2012), affidano a questi la gestione del canale.

Il soggetto designato avrà l’onere di rilasciare al segnalante un avviso di ricevimento della segnalazione entro 7 giorni dalla ricezione, di interloquire con il segnalante, dar seguito alle richieste e fornire riscontro entro 3 mesi dal data di avviso di ricevimento o dalla scadenza del termine di 7 giorni.

Il Titolare ha l’obbligo di mettere a disposizione informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare segnalazioni interne o esterne.
Informazioni che devono devono esser facilmente visibili nei luoghi di lavoro, accessibili alle persone che non li frequentano, ma intrattengono un rapporto giuridico ex. Art. 3 co. 4 e 5, e che vanno pubblicate all’interno di una sezione dedicata del sito internet, se presente.

Il canale di segnalazione esterno dell’ANAC

L’Autorità nazionale in materia di Anticorruzione (ANAC) predispone un canale cd. esterno di cui il whistleblower può servirsi per effettuare una segnalazione. L’utilizzo di questo canale viene, però, relegato ad ipotesi meramente residuali e predeterminate.

Il soggetto può servirsi di questo canale esclusivamente nei casi in cui: non sia prevista l’adozione obbligatoria del canale interno o sia previsto, ma non sia stato implementato conformemente, la segnalazione non ha avuto seguito, il segnalante ha fondato motivo di ritenere che la segnalazione interna non avrebbe efficace seguito ovvero possa conseguirne il rischio di ritorsione, il segnalante ha fondato motivo di ritenere che la violazione potrebbe costituire un pericolo imminente o palese per il pubblico interesse.

Quali sono le implicazioni Privacy del Whistleblowing?

Il sistema Whistleblowing comporta una serie di adempimenti inderogabili derivanti dall’integrazione della normativa di riferimento con quella relativa al settore della legge sulla Privacy e della Data Protection.

Il trattamento dei dati coinvolti nel processo deve avvenire in conformità ai princìpi di cui all’Art. 5 del GDPR, avendo particolare riguardo a quelli di limitazione delle finalità e di minimizzazione dei dati raccolti. Princìpi, che comportano la necessità di fornire un’adeguata informativa agli interessati circa le modalità e finalità del trattamento.

L’art. 14 determina, inoltre, il termine massimo di conservazione delle segnalazioni e della documentazione connessa in anni 5 dalla data della comunicazione dell’esito finale della procedura di segnalazione. Termine da intendere come extrema ratio, in quanto il trattamento deve avvenire in conformità con il principio di limitazione della conservazione, con tutte le implicazioni in termini di tenuta della documentazione relativa alle segnalazioni.

Fondamentale, nel caso di esternalizzazione del canale di segnalazione ad es. attraverso l’implementazione di un software ad-hoc, è l’individuazione dei ruoli Privacy di Titolare e Responsabile del trattamento in conformità con gli Artt. 24ss GDPR. Il rapporto tra le parti deve esser disciplinato tramite un contratto, o altro atto giuridico parimenti vincolante, che determini le modalità di trattamento in conformità con le stringenti prescrizioni in materia di riservatezza del segnalante.

È, infatti, necessario il trattamento della segnalazione si svolga in una condizione di adeguata sicurezza, implicante l’adozione di appropriate misure a garanzia del segnalante. Adeguatezza, da valutare concretamente sulla base dell’integrazione delle prescrizioni derivanti dal GDPR e dal D. Lgs. 24/2023.

Inoltre, i soggetti competenti a gestire le segnalazioni devono esser istruiti ed espressamente autorizzati ai sensi degli artt. 29 e 32 co. 4 GDPR e dell’art. 2-quaterdecies Codice della privacy.

Infine, l’art. 13 ultimo capoverso stabilisce l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati (DPIA ex Art. 35 GDPR) che vada a valutare i rischi del trattamento, la portata delle relative conseguenze e le misure tecniche ed organizzative che determino un livello di rischio residuo accettabile per lo svolgimento del trattamento.

Cosa devono fare le aziende per il Whistleblowing?

Il quadro normativo del whistleblowing onera l’azienda di una serie di adempimenti stringenti.

Il carattere altamente sensibile della questione impone una capillare valutazione dei molteplici aspetti, al fine di predisporre un sistema che rispetti i dettami normativi, assicuri un trattamento conforme e presti le adeguate garanzie in tutte le sue implicazioni.

Ricordiamo le scadenze più immediate: adempimento entro 15 luglio 2023 per le aziende con più di 250 dipendenti; adempimento entro il 17 dicembre c.a. per quelle con meno di 250 dipendenti.

Luigi Campaniello
About Luigi Campaniello

Giurista di formazione penalistica, abilitato alla professione forense e specializzato in Data Protection

richiedi informazioni

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci