IDG HUB

Audit & Assessment compliance

Compliance Analysis
Real Estate

Executive compliance

Sicurezza sul Lavoro
Igiene degli Alimenti
Igiene Pubblica
Prevenzione Incendi
Ambiente
Privacy

Business Improvement

Business Strategy
Sostenibilità
Marketing
Design e Progettazione
Certificazioni

Formazione

Formazione online
Formazione in aula

Richiedi informazioni

Prenota una consulenza

Sfoglia il Magazine

Whistleblowing diventa legge: gli obblighi per le aziende

COSA SI INTENDE PER WHISTLEBLOWING

Per whistleblowing si intende l’atto attraverso il quale il dipendente decide di segnalare alle autorità un illecito commesso dall’azienda per la quale lavora. È importante sottolineare che tale segnalazione deve riguardare l’interesse generale e non esclusivamente quello del singolo lavoratore. Alcuni esempi di segnalazione possono essere: corruzione, frodi nei confronti di creditori, frodi nei confronti del fisco, gestione illecita dei fondi pubblici.

 

LO SCOPO

L’insieme di norme previste hanno lo scopo di prevedere un sistema che tuteli gli interessi del lavoratore che decide di sporgere la segnalazione. Infatti, il whistleblower (segnalatore), a seguito della denuncia, non può essere licenziato, trasferito o demansionato. Questa tutela serve per evitare che il soggetto, per paura di ritorsioni, non segnali l’illecito di cui è venuto a conoscenza. In Italia l’ente preposto alla gestione degli illeciti è l’ANAC (Autorità Nazionale Anticorruzione), la quale ha pubblicato il 12 luglio 2023 le nuove linee guida, volte a dare tutte le indicazioni per la presentazione all’autorità delle segnalazione esterne e per la relativa gestione. Esse forniscono indicazioni e principi di cui gli enti pubblici e privati possono tener conto per i propri canali e modelli organizzativi interni, su cui ANAC si riserva di adottare successivi atti di indirizzo.

 

LA NORMATIVA

Il Decreto Legislativo 10 marzo 2023 n. 24 è entrato in vigore il 30 marzo e ha coinvolto inizialmente tutti gli enti pubblici e le società pubbliche o private con un modello organizzativo 231, per poi espandere il proprio campo di applicazione il 15 luglio con le aziende senza un modello organizzativo, ma con un minimo di 250 dipendenti. Dal 17 dicembre tutte le aziende con un minimo di 50 dipendenti saranno obbligate ad adeguarsi alla normativa. Qualora le imprese operino in settori sensibili, come quello finanziario, la disciplina troverà applicazione a prescindere dalla consistenza dell’organico aziendale.

 

IL RUOLO DI ANAC

Le competenze affidate ad ANAC si sono estese ulteriormente perché l’autorità sarà ora competente anche a ricevere segnalazioni sia dal settore pubblico che da quello privato. Sarà la persona segnalante che deve operare un giudizio discrezionale, valutando se fare segnalazione esterna. Quest’ultima è possibile se:

  • Non vi è possibilità di fare segnalazione interna;
  • La segnalazione interna non ha avuto riscontro;
  • La persona segnalante ha fondati motivi di ritenere che, se effettuasse segnalazione interna, alla stessa non sarebbe dato efficace seguito ovvero che la stessa segnalazione possa determinare il rischio di ritorsione;
  • La persona segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.

 

COSA CAMBIA

La nuova disciplina impone una riorganizzazione integrale in materia di whistleblowing da parte di enti pubblici e privati. Diventa essenziale dotarsi di un piano di azione che tenga presente molteplici aspetti, che vanno dalla predisposizione di canali di segnalazione adeguati e tecnologicamente affidabili alla formazione interna dei dipendenti ed esterna degli stakeholder sull’utilizzo dello strumento.

 

COME ADEGUARSI ALLA NUOVA NORMATIVA

Per adeguarsi alla normativa le organizzazioni, sia pubbliche che private, devono:

  1. Gestire le segnalazioni tramite un software che utilizza sistemi crittografici e che garantisca la riservatezza dell’identità di chi segnala, della persona coinvolta e/o menzionata nella segnalazione;
  2. Gestire il trattamento dei dati personali e la documentazione inerente alle segnalazioni a norma GDPR, effettuando una valutazione d’impatto (DPIA) specifica per assicurare un livello di sicurezza informatica (cyber security) commisurato ai rischi;
  3. Strutturare adeguatamente la governance del sistema di whistleblowing e affidare la gestione delle segnalazioni a personale con formazione specifica;
  4. Informare il personale sul canale di segnalazione e sulle procedure da seguire per effettuare una segnalazione interna.

Riguardo al punto 1, i canali conformi alla nuova legge sono software e app con sistemi di crittografia, i quali consentono totale riservatezza e rispetto dei principi di privacy by design e by default. Non sono conformi sistemi di gestione delle segnalazioni tramite e-mail/PEC e/o form cartacei e/o segnalazioni in presenza. Le segnalazioni possono essere effettuate anche in forma orale, a patto che siano effettuate linee telefoniche o sistemi che garantiscano la riservatezza. Il sistema deve dunque:

  1. Garantire l’anonimato al dipendente;
  2. Non deve essere accessibile a soggetti non autorizzati;
  3. Conforme alle norme sulla privacy.

 

COME FUNZIONA IL PROCESSO DI SEGNALAZIONE

Le organizzazioni hanno l’obbligo di implementare un processo di ricezione e gestione delle segnalazioni:

  • Attuare una procedura conforme alla normativa (tempi limite di 7 giorni per presa in carico e 90 giorni per chiusura indagine, designazione di personale formato e garanzie di riservatezza);
  • Adottare un canale, possibilmente informatico, idoneo a garantire la riservatezza sull’identità del segnalante e sul contenuto della segnalazione;
  • Redigere un privacy impact assessment e una privacy policy sul Whistleblowing.

 

PRIVACY E RISERVATEZZA

L’identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere in alcun modo rilevate senza il consenso esplicito della persona segnalante.

La documentazione inerente ciascuna segnalazione deve essere conservata per il tempo necessario e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.

 

SANZIONI PREVISTE

Le sanzioni previste dalle violazioni whistleblowing sono suddivise in due gruppi:

  • Da 5.000,00 a 30.000,00 euro in caso di ritorsioni, ostacoli alla segnalazione e/o violazioni della riservatezza del segnalante;
  • Da 10.000,00 a 50.000,00 euro nel caso in cui non sia stato istituito un canale di segnalazione, non siano state adottate procedure di gestione o la gestione delle procedure non sia conforme alla normativa, e in caso di mancato svolgimento dell’attività di verifica e analisi delle segnalazioni.

Essendo tematica inerente alla privacy, è bene ricordare che le sanzioni applicate per le violazioni GDPR sono ancora peggiori. A seconda della gravità possono arrivare al 4% del fatturato complessivo o 20 milioni di euro. L’Italia è il secondo paese in Europa dopo la spagna per numero totale di violazioni sanzionate.

Effe Diligence, azienda di consulenza certificata ISO 9001:2015, si occupa di assistere il cliente nella corretta gestione degli obblighi relativi al trattamento dei dati personali. Riguardo al Whistleblowing, l’azienda mette a disposizione tutti gli strumenti e le procedure per adempiere alla normativa. Prenota una consulenza gratuita e scopri come migliorare la tua politica di trattamento dei dati personali.

 

PRENOTA UNA CONSULENZA

Cos’è e come si misura la carbon footprint di prodotto (CFP)

Leggi

Il ruolo della sicurezza sul lavoro per gli obiettivi di sostenibilità

Leggi

GDPR: installazione impianti di videosorveglianza in azienda

Leggi

Apertura di un nuovo locale: i requisiti del preposto

Leggi

Gli obiettivi degli standard tematici sociali (Social).

Leggi

Gli obiettivi degli standard tematici ambientali (Environment):

Leggi

Pubblicazione primo set ESRS (EFRAG): gli obiettivi

Leggi

Gli step per costruire un brand purpose di successo

Leggi

La nostra Relazione di impatto 2022

Leggi

Bilancio di sostenibilità: Il concetto di doppia materialità negli standard ESRS

Leggi

Obblighi di rendicontazione delle Società Benefit: la relazione di impatto.

Leggi

La sostenibilità intesa come vantaggio competitivo.

Leggi

La nuova certificazione di parità di genere: PdR UNI 125:2022

Leggi

ESRS: il primo set di standard europei per la sostenibilità

Leggi

Dati obbligatori da inserire nel 2022 sul tuo sito web

Leggi