Austria
Belgio
Estonia
Finlandia
Francia
Germania
Grecia
Islanda
Irlanda
Italia
Olanda
Norvegia
Polonia
Portogallo
Spagna
Svezia
Svizzera
Turchia
Regno Unito
Australia
Hong Kong
Nuova Zelanda
India
Indonesia
Malesia
Filippine
Tailandia
Singapore
Brasile
Cile
Colombia
Messico
Perù
Bahrain
Israele
Marocco
Oman
UAE
Tanzania
Turchia
Direttiva Whistleblowing: adempimenti e privacy
Published
Read time
Aziende ed enti devono adeguare le proprie procedure per non incorrere in sanzioni
Direttiva Whistleblowing:
adempimenti e privacy
Il decreto legislativo 24/2023, in vigore dal 30 marzo 2023, recepisce la cosiddetta Direttiva Whistleblowing, introducendo una serie di novità nel nostro ordinamento e prevedendo diversi adempimenti che organizzazioni pubbliche e private devono porre in essere. Dalla procedura per le segnalazioni interne, alla gestione dei dati nei cinque anni previsti dalla norma, passando per gli obblighi GDPR e Privacy, diversi sono i fronti su cui aziende ed enti dovranno operare per adeguarsi a protezione della riservatezza dei whistleblower.
Direttiva Whistleblowing: recepita la direttiva UE
Dal 30 marzo 2023 è in vigore il decreto legislativo 24/2023, pubblicato nella G.U. n. 63 del 15 marzo 2023, che recepisce nell'ordinamento italiano la Direttiva UE 2019/1937, sulla protezione delle persone che segnalano violazioni, di cui siano venuti a conoscenza in un contesto lavorativo pubblico o privato che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di disposizioni normative nazionali o dell’Unione europea, la cosiddetta Direttiva Whistleblowing.
Le novità introdotte riguardano sia il settore pubblico che quello privato e impattano sulle procedure da porre in essere per il loro adempimento, in particolare:
- progettazione e realizzazione di canali di segnalazione;
- garanzia di affidabilità degli strumenti tecnologici adottati;
- formazione dei dipendenti e degli stakeholder;
- particolare attenzione agli aspetti legati alla privacy.
Le norme contenute nel decreto sono efficaci dal 15 luglio 2023 per gli enti pubblici e per parte dei soggetti del settore privato. Per le aziende private con meno di 250 addetti, l’obbligo di istituzione del canale di segnalazione interna, di cui vedremo in seguito, decorre dal 17 dicembre 2023.
Destinatari degli obblighi e oggetto della segnalazione
La Direttiva amplia l’ambito di applicazione della tutela imponendo gli obblighi di adeguamento a tutti gli enti del settore pubblico. Per quanto concerne il settore privato, gli obblighi riguardano invece:
- le aziende con almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
- le aziende che operano nei settori regolamentati a livello europeo (ad esempio del settore Finance o sicurezza dei trasporti) anche se con numero di addetti inferiore a 50;
- le aziende che adottano modelli di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/01 anche se con meno di 50 addetti.
Le segnalazioni potranno riguardare violazioni effettive o potenziali della normativa europea o della normativa nazionale e regolamentare, attraverso comportamenti, atti, omissioni o informazioni per i quali il segnalante abbia fondati sospetti che possano concretizzare violazioni, supportati da elementi concreti.
Prevista inoltre una clausola di salvaguardia generale in favore delle disposizioni di procedura penale e di quelle sulle prerogative sindacali dei lavoratori e sulla repressione delle condotte antisindacali.
Soggetti tutelati
I soggetti tutelati dalla nuova normativa sono tutti coloro che, indipendentemente dal rapporto di lavoro o collaborazione con l'organizzazione oggetto della violazione, segnalano gli illeciti e di conseguenza potrebbero essere soggetti a possibili atti ritorsivi.
La norma dunque delinea una platea molto ampia:
- dipendenti pubblici e i lavoratori subordinati, i lavoratori autonomi e collaboratori che svolgono la propria attività presso i soggetti pubblici e privati oppure forniscono beni o servizi;
- liberi professionisti e consulenti;
- volontari e tirocinanti anche non retribuiti;
- azionisti;
- persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.
Soggetti dunque che vengono a conoscenza di condotte illecite nel loro contesto lavorativo, anche quando il rapporto di lavoro non sia ancora iniziato, durante il periodo di prova o successivamente allo scioglimento del rapporto purché le informazioni siano state acquisite nel corso del rapporto stesso o durante il processo di selezione.
La norma fornisce una triplice tutela:
- tutela della riservatezza;
- tutela contro le ritorsioni;
- previsione di cause di esclusione della responsabilità.
La platea, poi, arriva ad abbracciare anche i cosiddetti "facilitatori", coloro che assistono il segnalante nel processo di segnalazione, le persone legate ad essi da uno stabile legame affettivo o di parentela, i colleghi di lavoro che operano all’interno del medesimo contesto lavorativo del segnalante e gli enti di proprietà del segnalante o in cui il segnalante lavora.
Processo di segnalazione interna, esterna e divulgazione pubblica
Sono previsti tre diversi canali di segnalazione: interno, esterno e divulgazione pubblica. Questi canali possono essere utilizzati a partire dal primo, quello interno, e in via sussidiaria.
Segnalazione interna
Questo va attivato da enti e imprese, sentite le organizzazioni sindacali e deve prevedere adeguate misure di sicurezza, anche informatiche, per garantire la riservatezza del segnalante, delle persone coinvolte e comunque menzionate nella segnalazione, nonché del contenuto della stessa e della relativa documentazione.
Occorre nominare i soggetti che gestiranno il canale e provvedere alla loro formazione o in alternativa affidare l'incarico ad un soggetto esterno.
Le segnalazioni possono assumere forma scritta, anche con modalità informatiche, oppure in forma orale attraverso linee telefoniche o sistemi di messaggistica vocale ma anche, su richiesta del whistleblower, mediante un incontro diretto fissato entro un termine ragionevole.
Di seguito l'iter che deve seguire la segnalazione:
- entro 7 giorni dalla presentazione, l’incaricato deve rilasciare un avviso di ricevimento al segnalante e ove necessario chiedere integrazioni;
- entro 7 giorni la segnalazione pervenuta ad un soggetto non competente deve essere inoltrata al corretto destinatario;
- entro 3 mesi occorre fornire riscontro al segnalante.
La norma impone che le condizioni e le procedure per effettuare le segnalazioni siano chiare, visibili e facilmente accessibili a tutti i possibili destinatari, anche a chi non frequenta i luoghi di lavoro.
Infine rileviamo che i dati conservati a supporto della segnalazione hanno una "scadenza", la loro conservazione non deve superare i cinque anni, dopodiché devono essere eliminati. Dunque le organizzazioni devono dotarsi di un sistema di alert che regoli la cancellazione delle informazioni trascorso il tempo massimo.
Segnalazione esterna
La segnalazione esterna è una novità della nuova Direttiva che consente al segnalante di scegliere autonomamente se attivare questo canale al verificarsi di una delle seguenti condizioni:
- se il canale di segnalazione interno non è obbligatorio, non è stato attivato o non è organizzato nel rispetto della normativa;
- se a seguito di segnalazione interna, questa non ha avuto seguito o si è conclusa con un provvedimento finale negativo;
- se il whistleblower ha fondato motivo di ritenere che, se effettuasse una segnalazione interna, alla stessa non sarebbe dato efficace seguito oppure che la stessa segnalazione possa determinare il rischio di ritorsione;
- se il whistleblower ha fondato motivo di ritenere che la violazione segnalata possa costituire un pericolo imminente o palese per il pubblico interesse.
Come detto l'Anac dovrà attivare la relativa piattaforma di segnalazione, offrendo le medesime garanzie di riservatezza previste per il canale di segnalazione interna.
Divulgazioni pubbliche
Si tratta di un canale di segnalazione residuale, che può essere utilizzato con garanzia di protezione, soltanto al verificarsi di determinate condizioni e cioè che il whistleblower:
- abbia previamente effettuato una segnalazione interna o esterna senza aver ricevuto riscontro nei termini previsti;
- abbia fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse;
- abbia fondato motivo di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni o possa non avere efficace seguito in ragione delle specifiche circostanze del caso concreto, come quelle in cui possano essere occultate o distrutte prove oppure in cui vi sia fondato timore che chi ha ricevuto la segnalazione possa essere colluso con l’autore della violazione o coinvolto nella violazione stessa.
Resta tuttavia la clausola di salvaguardia, in merito al segreto professionale degli esercenti la professione giornalistica, con riferimento alla fonte della notizia.
GDPR e valutazione d'impatto
Appare evidente che per quanto concerne i processi di segnalazione, in particolar modo quelli interni poiché coinvolgono l'organizzazione di enti e imprese, che il trattamento di dati personali debba tener conto e conformarsi agli obblighi previsti dal regolamento GDPR o dal D.Lgs. 196/2003.
Le procedure di segnalazione devono dunque essere adeguate al combinato disposto delle norme.
Il Decreto prevede inoltre l’obbligo, per tutti in soggetti tenuti alla definizione del canale di segnalazione interna, di effettuare, prima di avviare il trattamento già nella fase di progettazione del disegno organizzativo, la valutazione di impatto sulla protezione dei dati (DPIA) come da art. 35 del GDPR.
Dunque per attivare correttamente il canale di segnalazione interna è d'obbligo:
- progettare il trattamento delle segnalazioni applicando le normative in vigore sulla protezione dei dati personali;
- definire i ruoli di responsabilità a partire dalla indicazione del titolare del trattamento e i designati al trattamento;
- eseguire la DPIA;
- formare ed autorizzare al trattamento i dipendenti chiamati a gestire il canale di segnalazione;
- informare tutti i soggetti interessati;
- designare e dare istruzioni, in forma scritta, ai responsabili del trattamento.
Adeguamento alla normativa GDPR e sicurezza informatica, diventano dunque due fattori abilitanti anche sul fronte della Direttiva Whistelblowing, oltre che per le più generali esigenze di continuità del business e di tutela in caso incidenti che portino alla diffusione di dati sensibili.
Questa normativa diviene un tassello aggiuntivo sull'impianto legislativo che rende imprescindibile l'attività di adeguamento su questi fronte e di previsione di strumenti assicurativi a protezione delle organizzazioni e dei soggetti che vi operano.
Sanzioni
Il Decreto, infine, fissa le sanzioni amministrative pecuniarie applicabili in caso di accertamento di violazioni nei confronti di tutti i soggetti obbligati dalla nuova disciplina.
Nel dettaglio l’Anac applica sanzioni che vanno da 10.000 a 50.000 euro quando accerta che:
- sono state commesse ritorsioni;
- la segnalazione è stata ostacolata o che si è tentato di ostacolarla o è stato violato l’obbligo di riservatezza;
- non sono stati istituiti canali di segnalazione o non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero l’adozione o la loro implementazione non è conforme alla normativa;
- non è che non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute.
Per quanto concerne privacy, le sanzioni vanno da 500 a 2.500 euro quando l'Anac accerta che è stato violato l’obbligo di riservatezza circa l’identità del segnalante.
Previsto infine l’obbligo, per le piccole aziende che applicano i modelli organizzativi previsti dal D.Lgs. 231/01, di prevedere nel loro sistema disciplinare esplicite sanzioni per i soggetti responsabili degli illeciti.