COSA SI INTENDE PER WHISTLEBLOWING
Per whistleblowing si intende l’atto attraverso il quale il dipendente decide di segnalare alle autorità un illecito commesso dall’azienda per la quale lavora. È importante sottolineare che tale segnalazione deve riguardare l’interesse generale e non esclusivamente quello del singolo lavoratore. Alcuni esempi di segnalazione possono essere: corruzione, frodi nei confronti di creditori, frodi nei confronti del fisco, gestione illecita dei fondi pubblici.
LO SCOPO
L’insieme di norme previste hanno lo scopo di prevedere un sistema che tuteli gli interessi del lavoratore che decide di sporgere la segnalazione. Infatti, il whistleblower (segnalatore), a seguito della denuncia, non può essere licenziato, trasferito o demansionato. Questa tutela serve per evitare che il soggetto, per paura di ritorsioni, non segnali l’illecito di cui è venuto a conoscenza. In Italia l’ente preposto alla gestione degli illeciti è l’ANAC (Autorità Nazionale Anticorruzione), la quale ha pubblicato il 12 luglio 2023 le nuove linee guida, volte a dare tutte le indicazioni per la presentazione all’autorità delle segnalazione esterne e per la relativa gestione. Esse forniscono indicazioni e principi di cui gli enti pubblici e privati possono tener conto per i propri canali e modelli organizzativi interni, su cui ANAC si riserva di adottare successivi atti di indirizzo.
LA NORMATIVA
Il Decreto Legislativo 10 marzo 2023 n. 24 è entrato in vigore il 30 marzo e ha coinvolto inizialmente tutti gli enti pubblici e le società pubbliche o private con un modello organizzativo 231, per poi espandere il proprio campo di applicazione il 15 luglio con le aziende senza un modello organizzativo, ma con un minimo di 250 dipendenti. Dal 17 dicembre tutte le aziende con un minimo di 50 dipendenti saranno obbligate ad adeguarsi alla normativa. Qualora le imprese operino in settori sensibili, come quello finanziario, la disciplina troverà applicazione a prescindere dalla consistenza dell’organico aziendale.
IL RUOLO DI ANAC
Le competenze affidate ad ANAC si sono estese ulteriormente perché l’autorità sarà ora competente anche a ricevere segnalazioni sia dal settore pubblico che da quello privato. Sarà la persona segnalante che deve operare un giudizio discrezionale, valutando se fare segnalazione esterna. Quest’ultima è possibile se:
- Non vi è possibilità di fare segnalazione interna;
- La segnalazione interna non ha avuto riscontro;
- La persona segnalante ha fondati motivi di ritenere che, se effettuasse segnalazione interna, alla stessa non sarebbe dato efficace seguito ovvero che la stessa segnalazione possa determinare il rischio di ritorsione;
- La persona segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.
COSA CAMBIA
La nuova disciplina impone una riorganizzazione integrale in materia di whistleblowing da parte di enti pubblici e privati. Diventa essenziale dotarsi di un piano di azione che tenga presente molteplici aspetti, che vanno dalla predisposizione di canali di segnalazione adeguati e tecnologicamente affidabili alla formazione interna dei dipendenti ed esterna degli stakeholder sull’utilizzo dello strumento.
COME ADEGUARSI ALLA NUOVA NORMATIVA
Per adeguarsi alla normativa le organizzazioni, sia pubbliche che private, devono:
- Gestire le segnalazioni tramite un software che utilizza sistemi crittografici e che garantisca la riservatezza dell’identità di chi segnala, della persona coinvolta e/o menzionata nella segnalazione;
- Gestire il trattamento dei dati personali e la documentazione inerente alle segnalazioni a norma GDPR, effettuando una valutazione d’impatto (DPIA) specifica per assicurare un livello di sicurezza informatica (cyber security) commisurato ai rischi;
- Strutturare adeguatamente la governance del sistema di whistleblowing e affidare la gestione delle segnalazioni a personale con formazione specifica;
- Informare il personale sul canale di segnalazione e sulle procedure da seguire per effettuare una segnalazione interna.
Riguardo al punto 1, i canali conformi alla nuova legge sono software e app con sistemi di crittografia, i quali consentono totale riservatezza e rispetto dei principi di privacy by design e by default. Non sono conformi sistemi di gestione delle segnalazioni tramite e-mail/PEC e/o form cartacei e/o segnalazioni in presenza. Le segnalazioni possono essere effettuate anche in forma orale, a patto che siano effettuate linee telefoniche o sistemi che garantiscano la riservatezza. Il sistema deve dunque:
- Garantire l’anonimato al dipendente;
- Non deve essere accessibile a soggetti non autorizzati;
- Conforme alle norme sulla privacy.
COME FUNZIONA IL PROCESSO DI SEGNALAZIONE
Le organizzazioni hanno l’obbligo di implementare un processo di ricezione e gestione delle segnalazioni:
- Attuare una procedura conforme alla normativa (tempi limite di 7 giorni per presa in carico e 90 giorni per chiusura indagine, designazione di personale formato e garanzie di riservatezza);
- Adottare un canale, possibilmente informatico, idoneo a garantire la riservatezza sull’identità del segnalante e sul contenuto della segnalazione;
- Redigere un privacy impact assessment e una privacy policy sul Whistleblowing.
PRIVACY E RISERVATEZZA
L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere in alcun modo rilevate senza il consenso esplicito della persona segnalante.
La documentazione inerente ciascuna segnalazione deve essere conservata per il tempo necessario e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.
SANZIONI PREVISTE
Le sanzioni previste dalle violazioni whistleblowing sono suddivise in due gruppi:
- Da 5.000,00 a 30.000,00 euro in caso di ritorsioni, ostacoli alla segnalazione e/o violazioni della riservatezza del segnalante;
- Da 10.000,00 a 50.000,00 euro nel caso in cui non sia stato istituito un canale di segnalazione, non siano state adottate procedure di gestione o la gestione delle procedure non sia conforme alla normativa, e in caso di mancato svolgimento dell’attività di verifica e analisi delle segnalazioni.
Essendo tematica inerente alla privacy, è bene ricordare che le sanzioni applicate per le violazioni GDPR sono ancora peggiori. A seconda della gravità possono arrivare al 4% del fatturato complessivo o 20 milioni di euro. L’Italia è il secondo paese in Europa dopo la spagna per numero totale di violazioni sanzionate.
Effe Diligence, azienda di consulenza certificata ISO 9001:2015, si occupa di assistere il cliente nella corretta gestione degli obblighi relativi al trattamento dei dati personali. Riguardo al Whistleblowing, l’azienda mette a disposizione tutti gli strumenti e le procedure per adempiere alla normativa. Prenota una consulenza gratuita e scopri come migliorare la tua politica di trattamento dei dati personali.