Come molti sanno la Direttiva whistleblowing è stata – finalmente – attuata in Italia (D.lgs. 10 marzo 2023, n. 24) ed entrerà ufficialmente in vigore il prossimo 15 luglio, salvo naturalmente rinvii di cui si vocifera da qualche settimana.
Le aziende si sono attivate già da mesi, molto si è detto e anche noi ne abbiamo già parlato, ma in vista della partenza ufficiale, ecco delle FAQ esplicative sugli adempimenti whistleblowing, le dieci cose da sapere per adeguarsi, scritte anche grazie ai quesiti a cui abbiamo risposto in questi mesi.
Indice
A quali aziende si applica la normativa sugli adempimenti whistleblowing?
Le aziende con meno di 50 dipendenti sono escluse dall’applicazione della normativa.
Viceversa, le seguenti aziende sono tenute ad adeguarsi:
- le imprese che hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati (con contratti di lavoro a tempo indeterminato o determinato);
- le aziende che – indipendentemente dal numero di dipendenti – hanno adottano un proprio Modello di organizzazione e gestione ai sensi del D.lgs. 231/2001;
- le aziende che – indipendentemente dal numero di lavoratori – rientrano nell’ambito di applicazione degli atti del diritto dell’Unione in quanto operanti in materia di servizi, prodotti e mercati finanziari, prevenzione del riciclaggio e del finanziamento del terrorismo, tutela dell’ambiente e sicurezza dei trasporti.
Cosa deve fare l’azienda? Il sistema di segnalazione interno
La definizione di un sistema di segnalazione degli illeciti interno alla società è al centro degli adempimenti whistleblowing. La nuova disciplina prevede infatti 3 diversi canali di segnalazione che potranno essere utilizzati, al verificarsi di determinate condizioni, in via progressiva e sussidiaria.
Il principale è, appunto, il canale di segnalazione interno. Quest’ultimo deve essere progettato con misure di sicurezza tali da garantire la riservatezza dell’identità del segnalante, delle persone coinvolte e comunque menzionate nella segnalazione, nonché del contenuto della stessa e della relativa documentazione.
La gestione del canale interno deve essere affidata a una persona o a un ufficio interno (o esterno) autonomo dedicato e con personale specificamente formato.
Le segnalazioni possono essere fatte in forma scritta, anche con modalità informatiche, oppure in forma orale attraverso linee telefoniche o sistemi di messaggistica vocale ma anche, su richiesta del whistleblower, mediante un incontro diretto fissato entro un termine ragionevole.
È, poi, definito l’iter procedurale successivo alla segnalazione:
- entro 7 giorni dalla presentazione, l’incaricato deve rilasciare un avviso di ricevimento al segnalante e ove necessario chiedere integrazioni, mantenere le interlocuzioni e dare diligente seguito;
- entro 3 mesi occorre fornire riscontro al segnalante;
- entro 7 giorni la segnalazione pervenuta ad un soggetto non competente deve essere inoltrata al corretto destinatario.
Le modalità, le condizioni e le procedure per effettuare le segnalazioni devono essere chiare, visibili e facilmente accessibili a tutti i possibili destinatari. Ove possibile, tutte le informazioni devono essere pubblicate in una sezione dedicata sul sito internet dell’azienda per assicurarne la conoscenza a tutti.
I canali di segnalazione interna diventano strumento indispensabile per chi ha un Modello Organizzativo ai sensi del DLgs 231/01.
Un’ultima precisazione. La normativa non obbliga i datori di lavoro ad utilizzare tool o sistemi di gestione delle segnalazioni automatizzate, ma sicuramente questa è la possibilità più in linea con i requisiti della normativa. In questi mesi, su richiesta dei nostri clienti, ne abbiamo viste molte, tutte interessanti e valide… se scegliete questa opzione ricordatevi del GDPR (si veda FAQ successiva).
Cosa va fatto per il corretto trattamento dei dati?
Inerente agli adempimenti whistleblowing, occorre tenere a mente che l’intera procedura deve essere conforme al GDPR sin dall’inizio, sin dalla sua progettazione, e lo deve rimanere fino alla messa a punto del modello di ricevimento e gestione delle segnalazioni interne.
In sintesi, al fine di attivare il canale di segnalazione interna, tutti i soggetti dovranno:
- disegnare il trattamento allineando, fin dalla progettazione, ogni operazione ai principi di protezione dei dati personali fissati dall’art. 5 del GDPR e dall’art. 3 del D.lgs. 51/2018;
- definire i ruoli di responsabilità a partire dalla indicazione del titolare del trattamento (i soggetti tenuti all’obbligo), i designati al trattamento e, in presenza di contitolarità (fattispecie nella quale il canale e la sua gestione sono condivise tra più soggetti in possesso delle caratteristiche sopra indicate) determinare in modo trasparente, mediante un accordo interno, i rispettivi ambiti e responsabilità;
- eseguire la DPIA;
- formare e autorizzare al trattamento i dipendenti chiamati a gestire il canale di segnalazione;
- informare tutti i soggetti interessati;
- designare e dare istruzioni, in forma scritta, ai “responsabili del trattamento” che sono chiamati ad effettuare il trattamento per conto del titolare, siano essi meri fornitori o gestori del canale. Tali soggetti devono presentare garanzie di compliance alla normativa come prevede l’art. 28 del GDPR;
- l’esercizio dei diritti di cui agli artt. 15-22 del GDPR è sottoposto alle limitazioni previste dall’art. 2-undecies del Codice.
Da non scordarsi il coinvolgimento del Responsabile della Protezione dei Dati, ove lo stesso sia nominato.
Posso usare un unico sistema se appartengo ad un Gruppo di Imprese?
Il Decreto prevede che le imprese che hanno da 50 a 249 lavoratori hanno la possibilità di condividere le risorse, senza tuttavia pregiudicare l’obbligo di mantenere la riservatezza sull’identità del segnalante, fornire un riscontro e investigare sulla violazione segnalata.
La Commissione UE ha favorito un approccio “decentrato”, richiedendo che ogni impresa con più di 50 lavoratori – anche se appartenente ad un gruppo – abbia un proprio canale di segnalazione interno e locale, al quale può essere aggiunto un canale centralizzato gestito dalla capogruppo, dando la possibilità al segnalante di scegliere in modo consapevole a chi presentare la propria segnalazione.
La Commissione ha, poi, precisato che se in un Gruppo societario i programmi di compliance sono organizzati dalla sede centrale, potrebbe essere compatibile con la Direttiva che una società “figlia” benefici della capacità investigativa della sua società madre, a condizione che:
- la società controllata sia di medie dimensioni (e quindi abbia da 50 a 249 lavoratori);
- i canali di segnalazione esistano e rimangano disponibili a livello della controllata;
- la controllata resti responsabile di dare un riscontro al segnalante;
- ai segnalanti siano fornite informazioni chiare sul fatto che le indagini sulla loro segnalazione potrebbero essere gestite dalla persona o dal dipartimento incaricato dalla capogruppo, facendo salvo il diritto del segnalante di opporsi a ciò e di chiedere che il comportamento segnalato sia oggetto di indagine solo a livello della controllata.
Esistono altri sistemi di segnalazione?
CANALE ESTERNO = ANAC
L’ANAC attiva e gestisce un canale di segnalazione esterno (provvisto delle medesime tutele normativamente stabilite per il canale interno), al quale il segnalante può ricorrere quando:
- non è prevista, nell’ambito del suo contesto lavorativo, l’attivazione obbligatoria del canale di segnalazione interna ovvero questo, anche se obbligatorio, non è attivo o, anche se attivato, non è conforme a quanto previsto dalla normativa;
- ha già effettuato una segnalazione interna e la stessa non ha avuto seguito;
- ha fondati motivi di ritenere che, se effettuasse una segnalazione interna, alla stessa non sarebbe dato efficace seguito ovvero che la stessa segnalazione possa determinare il rischio di ritorsione;
- ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.
E’ evidente, quindi, l’importanza di istituire un canale interno che sia efficace ed efficiente.
DIVULGAZIONI PUBBLICHE
Il whistleblower è tutelato anche quando effettua una c.d. “divulgazione pubblica” se:
- ha effettuato una segnalazione interna ed esterna ovvero ha effettuato direttamente una segnalazione esterna, ma non è stato dato riscontro nei termini previsti;
- ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse;
- ha fondato motivo di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni o possa non avere efficace seguito in ragione delle specifiche circostanze del caso concreto, come quelle in cui possano essere occultate o distrutte prove oppure in cui vi sia fondato timore che chi ha ricevuto la segnalazione possa essere colluso con l’autore della violazione o coinvolto nella violazione stessa.
Restano ferme le norme sul segreto professionale degli esercenti la professione giornalistica, con riferimento alla fonte della notizia.
Chi è il whistleblower?
Possono effettuare segnalazioni:
- lavoratori dell’azienda, sia subordinato che autonomi, collaboratori, tirocinanti, volontari etc,
- fornitori o consulenti
- gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche qualora tali funzioni siano esercitate in via di mero fatto, presso soggetti del settore privato.
Cosa può essere segnalato?
Le violazioni che i whistleblower del settore privato possono segnalare sono le seguenti:
- violazioni della normativa dell’UE, nonché delle corrispondenti disposizioni italiane di attuazione in specifici ambiti (ad esempio appalti pubblici, privacy, concorrenza, tutela dei consumatori, questioni fiscali, tutela dell’ambiente, servizi finanziari, prevenzione del riciclaggio di denaro e del finanziamento del terrorismo, interessi finanziari dell’UE);
- i reati che possono comportare la responsabilità dell’ente ai sensi del D.Lgs. 231/2001, nonché le violazioni del Modello 231.
Quali sono le principali fonti normative?
Per avere un quadro completo della normativa che si occupa di whistleblowing ecco le fonti da tenere in considerazione.
Legge n. 179/2017: ha modificato l’art. 6 del D. Lgs. n. 231/2001 (di seguito “Decreto 231”), regolando per la prima volta nell’ordinamento italiano il fenomeno del whistleblowing anche per i dipendenti delle aziende del settore privato;
Direttiva UE 2019/1937 in materia di “Protezione degli individui che segnalano violazioni delle norme comunitarie” (di seguito “Direttiva whistleblowing” o “DWB”), con cui il Legislatore europeo ha cercato di rimediare alla frammentarietà della disciplina degli Stati Membri sul punto e a cui l’Italia si sarebbe dovuta adeguare entro il termine del 17 dicembre 2021;
Linee Guida Confindustria “per la costruzione dei Modelli di Organizzazione, Gestione e Controllo, ai sensi del D. Lgs. 231/2001”, aggiornate al giugno 2021;
Norma ISO 37002:2021 recante “Linee guida per l’attuazione, l’implementazione, la gestione, la valutazione, la manutenzione e il miglioramento di un solido ed efficace sistema di gestione del whistleblowing nell’ambito di un’organizzazione” (luglio 2021);
D.Lgs. n. 24/2023, con cui il Governo ha recepito la DWB e che ha modificato il comma 2bis e abrogato i commi 2ter e 2quater del citato art. 6 del Decreto 231 e abrogato l’art. 3 della L. n. 179/2017.
Quando entra in vigore la normativa?
15 LUGLIO 2023: i datori di lavoro con più di 249 dipendenti devono implementare gli adempimenti della normativa.
17 dicembre 2023: i datori di lavoro con almeno 50 dipendenti e gli Enti che hanno adottato un Modello organizzativo ai sensi del D.LGS 231/2001.
Che sanzioni sono previste per mancati adempimenti sul whistleblowing?
Fermo restando che possono sussistere altri profili di responsabilità, l’ANAC può applicare le seguenti sazioni:
da € 10.000 a € 50.000 nei seguenti casi:
- sono state commesse ritorsioni;
- la segnalazione è stata ostacolata o che si è tentato di ostacolarla o è stato violato l’obbligo di riservatezza;
- non sono stati istituiti canali di segnalazione o non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero l’adozione o la loro implementazione non è conforme alla normativa;
- non è che non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute.
da € 500 a € 2.500 quando accerta che è stato violato l’obbligo di riservatezza circa l’identità del segnalante.