WHISTLEBLOWING – Che cos’è?

WHISTLEBLOWING – Che cos’è?

Il 30 marzo 2023 è entrato in vigore il D.Lgs 24/2023 che regola gli adempimenti dettati dalla nuova disciplina sul Whistleblowing, che tutela le persone che segnalano violazioni di cui siano venute a conoscenza nel contesto lavorativo e che prevede l’istituzione di un canale interno di segnalazione, adeguate procedure e la nomina di un soggetto incaricato. 

Dal 17 dicembre 2023, per le società che abbiano impiegato nell’ultimo anno una media di lavoratori tra i 50 e i 249, la normativa ha assunto carattere obbligatorio.

Obiettivo della legge, in linea con la direttiva europea da cui origina, è quello di rafforzare la tutela giuridica delle persone che segnalano internamente all’azienda, o all’esterno mediante il canale istituito da Anac, o divulgano pubblicamente, violazioni di disposizioni normative nazionali o europee, che ledono l’interesse pubblico o l’integrità dell’ente pubblico o privato.

Le disposizioni si applicano anche a tutte le imprese che abbiano adottato un modello di organizzazione, gestione e controllo (” Modello 231 ”), indipendentemente dalla loro dimensione, per le segnalazioni relative a condotte illecite rilevanti ai fini della normativa sulla responsabilità da reato degli enti e per le violazioni del Modello 231.

Principali fasi d’attuazione – Il primo step è l’attivazione, sentite le rappresentanze sindacali, di un canale interno per le segnalazioni che garantisca il rispetto della riservatezza dell’identità del segnalante, della persona coinvolta o menzionata nella segnalazione nonché del contenuto della segnalazione, anche tramite il ricorso a strumenti di crittografia.

Fermo il requisito sopra descritto, che porta a prediligere il dotarsi di una apposita piattaforma informatica (anche visto l’indirizzo di Anac che esclude l’idoneità dell’email), l’azienda deve far in modo che le segnalazioni possano essere effettuate sia in forma scritta (anche tramite modalità informatiche) che orale (linee telefoniche, messaggistica vocale, incontro diretto).

La gestione del canale interno deve essere affidata ad una persona o ufficio interno oppure ad un soggetto esterno con requisiti di autonomia e specifica formazione.

Il requisito dell’autonomia rimanda all’esigenza di garantire imparzialità e assenza di condizionamenti o interferenze che possano compromettere l’obiettività rispetto a persone coinvolte e contenuto della segnalazione.

Non appare sempre possibile individuare risorse che possano garantire tali requisiti all’interno di aziende di piccola e media dimensione con una struttura organizzativa priva di figure elettivamente autonome o deputate a funzioni di controllo come internal audit o compliance.

In molti casi può essere opportuno definire un comitato interno composto da soggetti che collegialmente considerati possano costituire un ufficio con requisiti di autonomia e idonea formazione. Nei casi di adozione del Modello 231, si può valutare di coinvolgere l’Organismo di Vigilanza, eventualmente anche assegnandogli espressamente l’ulteriore ruolo di gestore delle segnalazioni.

L’opzione dell’affidamento ad un soggetto esterno renderà sempre necessario verificare non solo l’effettiva autonomia ma anche la professionalità, ossia conoscenze specialistiche e disponibilità di misure tecniche ed organizzative, che garantiscano riservatezza e protezione dei dati.

Resta pertanto sempre necessario fare scelte che tengano di volta in volta conto dell’organizzazione, e non solo della disponibilità di figure interne di controllo o prive di mansioni operative (anche in area legal o HR), ma anche del loro effettivo ruolo, posizione in organigramma, seniority e formazione.

Il soggetto incaricato ha un ruolo chiave nel sistema: dovrà gestire la segnalazione nei termini e secondo le modalità espressamente indicate dalla legge e rendere disponibili informazioni chiare sul canale interno, nonché sulle modalità di ricorso al canale esterno, in modo che siano facilmente visibili sul luogo di lavoro e accessibili anche ai soggetti esterni che possono effettuare segnalazioni. Tali informazioni devono essere pubblicate sul sito internet, se disponibile.

Nella gestione degli adempimenti per la definizione del sistema, particolare attenzione meritano le specifiche indicazioni a tutela della riservatezza ed al trattamento dei dati, tra l’altro adeguando la data retention policy, verificando l’adeguatezza del canale quanto alle misure di sicurezza tecniche e organizzative, svolgendo una DPIA, eseguendo le necessarie nomine.

Tutti gli adempimenti vanno condotti considerando non solo la fase di costituzione del sistema ma anche la fase di gestione, monitorandone l’efficacia e la conformità ai requisiti anche in caso di cambiamenti organizzativi e seguendo l’evoluzione normativa ed interpretativa.

Fonte: Il Sole 24 Ore