la guida

Whistleblowing manager: chi è, cosa fa e come nominarlo in azienda

Home Documenti digitali
Indirizzo copiato

Il decreto legislativo 24/2023, che ha introdotto nuovi obblighi relativamente alla protezione delle persone che segnalano illeciti nell’ambito lavorativo, prevede l’obbligo di nominare una specifica figura per la gestione delle segnalazioni: il whistleblowing manager

Pubblicato il 12 feb 2024
Lorenzo Giannini

Consulente legale privacy e DPO

shutterstock_2289256519 (1)

Il decreto legislativo 10 marzo 2023, n. 24 (c.d. “decreto whistleblowing”) ha ampliato il novero di soggetti privati chiamati ad adempiere a tutta una serie di obblighi, volti alla protezione di coloro che segnalano violazioni del diritto nazionale o dell’Unione europea di cui siano venuti a conoscenza all’interno del contesto lavorativo.

Tra quanto richiesto dal provvedimento spicca la necessità per l’azienda di attivare un canale interno al fine di raccogliere e gestire le segnalazioni, attività da affidare a una o più figure, interne o esterne, individuate tra soggetti di autonomia e indipendenza.

Whistleblowing, gli obblighi privacy per le aziende: guida pratica alla compliance

Whistleblowing manager, cosa dice la normativa

Al fine di garantire la riservatezza e tutelare da eventuali condotte ritorsive i soggetti segnalanti violazioni lesive dell’interesse pubblico e dell’integrità dell’ente pubblico o privato, a seguito di inosservanza di norme comunitarie e nazionali di cui abbiano avuto conoscenza nell’ambito del contesto lavorativo, il recente D. Lgs. 24/2023 ha configurato nel nostro Paese la nuova1 cornice normativa in tema di whistleblowing.

WHITEPAPER

Preparati per la NIS2: guida essenziale per rispettare gli obblighi cyber in tempo!

Backup
Software security

Concentrando la nostra attenzione sull’ambito privato, la lettera q) del primo comma dell’articolo 2 della normativa in parola, prevede l’applicazione dei rinnovati obblighi2 per:

  • Coloro che hanno impiegato, nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • Coloro che, a prescindere dal raggiungimento della media di cui sopra, rientrano nell’ambito di applicazione degli atti dell’Unione di cui alle parti I.B e II dell’allegato al decreto (cd. settori sensibili: servizi, prodotti e mercati finanziari; prevenzione del riciclaggio di denaro e del finanziamento del terrorismo; sicurezza dei trasporti; tutela dell’ambiente);
  • Coloro che, a prescindere dal raggiungimento della media di cui al primo punto dell’elenco, rientrano nell’ambito di applicazione del decreto legislativo 8 giugno 2001, n. 231, e adottano i modelli di organizzazione e gestione ivi previsti.

L’istituzione di un canale interno e la sua gestione

Tra i principali adempimenti fissati dalla normativa vi è quello di attivare, da parte dell’azienda, un canale di segnalazione interno al fine di consentire la raccolta e la gestione delle segnalazioni.

Come già evidenziato in un precedente contributo3 – al quale si rinvia per approfondire le diverse tipologie di canali previsti dalla normativa – “il canale interno di segnalazione rappresenta il principale metodo attraverso il quale il soggetto segnalante può far emergere l’illecito di cui è venuto a conoscenza in ambito lavorativo mentre, dalla prospettiva delle aziende tenute al rispetto degli obblighi (secondo i criteri più sopra richiamati), costituisce uno tra i principali adempimenti al quale provvedere […]”.

Il canale può assumere diversa veste, essendo prevista la possibilità di ricorrere a una tipologia informatica4 (es. piattaforma software dedicata), tradizionale (es. posta raccomandata) e anche orale (incontro diretto, linea telefonica o sistema di messaggistica vocale dedicati).

Il comune denominatore si rinviene considerando l’attività di gestione del canale che, a prescindere dalla diversa tipologia, per espressa previsione del decreto deve essere affidata a una specifica persona o ufficio.

In particolare, oltre al richiamato obbligo di attivazione del canale, è altresì previsto dal secondo comma dell’articolo 4 del provvedimento che l’azienda ne affidi la gestione “a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato […] ovvero […] a un soggetto esterno, anch’esso autonomo e con personale specificamente formato”.

La gestione del canale whistleblowing

A ben vedere, l’affidamento della gestione del canale (e delle segnalazioni fatte pervenire per suo tramite) presuppone, pertanto, per l’azienda più attività:

  • L’individuazione, previa valutazione circa le sue caratteristiche, di uno o più soggetti dotati di autonomia;
  • Un formale atto di nomina per l’affidamento delle attività di gestione del canale, delle segnalazioni e delle altre di cui diremo a breve;
  • Una specifica attività formativa mirata sulla materia.

Il carattere di autonomia della nomina

Dei punti sopra elencati, il primo fa riferimento alla necessaria individuazione del soggetto (o dei soggetti, nel caso in cui si intendesse far ricadere la scelta su un ufficio), interno o esterno, deputato alla gestione del canale, tra coloro dotati di autonomia.

Oltre al richiamato articolo 4 del “decreto whistleblowing”, anche l’ANAC all’interno delle sue linee guida5 pone l’accento sul requisito di autonomia quale precondizione per rivestire il ruolo di gestore del canale, chiarendo altresì come l’accezione da riferire al termine sia quella di “imparzialità e indipendenza”.

Mentre nel settore pubblico viene data indicazione di far ricoprire il ruolo di gestore al Responsabile della prevenzione della corruzione e della trasparenza (RPCT)6, “nel settore privato, la scelta del soggetto cui affidare il ruolo di gestore delle segnalazioni è rimessa all’autonomia organizzativa di ciascun ente, in considerazione delle esigenze connesse alle dimensioni, alla natura dell’attività esercitata e alla realtà organizzativa concreta”7. A meri fini esplicativi, il ruolo potrebbe essere ricoperto, tra gli altri, dagli organi di internal audit, dall’Organismo di vigilanza nei contesti in cui trovano applicazione i modelli di organizzazione e gestione di cui al D. Lgs. 231/2001, dai comitati etici.

Da segnalare come in determinati casi sia il canale interno, sia la gestione dello stesso, possano essere condivisi tra più soggetti, tanto nell’ambito pubblico quanto in quello privato. È il quarto comma dell’articolo 4 del D. Lgs. 24/2023 a prevedere questa possibilità, rispettivamente nel caso dei comuni diversi dai capoluoghi di provincia e – per quel che qui maggiormente interessa in ragione dell’ambito preso in esame – per i privati che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, non superiore a duecentoquarantanove.

Gli obblighi in materia di privacy

I successivi due punti dell’elenco più sopra stilato afferiscono al formale atto di nomina e alla formazione da prevedere nei confronti del soggetto/i gestore/i.

Ebbene, è opportuno chiarire come alla luce dei “trasversali” adempimenti privacy connessi agli obblighi whistleblowing di cui all’art. 13 D. Lgs. 24/2024, nonché di quanto previsto agli articoli 29 e 32, comma 4, GDPR (Regolamento (UE) 2016/679), nomina e formazione dovranno intendersi in una dimensione ampia, tale da ricomprendere nel proprio perimetro anche l’ambito della protezione dei dati personali.

In sostanza, all’atto di nomina come gestore del canale e delle segnalazioni – nel quale far confluire specifiche indicazioni inerenti a tali attività – dovrà essere affiancato (o ivi incluso) un formale atto di nomina quale designato o autorizzato (se soggetto/ufficio interno) o come responsabile ex art. 28 GDPR (se soggetto/ufficio esterno), per fornire specifiche indicazioni volte alla tutela della riservatezza e al rispetto della disciplina sul trattamento dei dati personali.

La condivisione del canale

Inoltre, nell’ipotesi di condivisione del canale tra soggetti diversi, sarà necessario per essi procedere con apposito accordo interno di contitolarità ex art. 26 GDPR, al fine di fissare le rispettive responsabilità in merito all’osservanza degli obblighi privacy di cui al relativo regolamento europeo.

Parimenti, anche l’attività formativa non dovrà essere confinata al solo tema del whistleblowing, ma bensì ricomprendere anche la disciplina in materia di protezione dei dati personali. Il gestore, come abbiamo appena osservato, è un soggetto inquadrato come designato/autorizzato o come responsabile e, come tale, agisce sotto l’autorità del titolare del trattamento (l’azienda). Lo stesso regolamento europeo sulla privacy, agli articoli 29 e 32, comma 4, prevede espressamente come coloro ricompresi sotto l’autorità del titolare e che abbiano accesso ai dati personali (in questo caso, ad esempio, il nominativo della persona segnalante o di quella convolta) non possano trattare tali dati se prima non siano stati istruiti in tal senso. Da ciò si evince come l’intervento formativo non possa fare a meno di ricomprendere i temi afferenti alla normativa sulla protezione dei dati personali.

Conflitto di interessi

Ipotesi senz’altro utile da ricordare è quella del conflitto di interessi, nella quale potrebbe trovarsi il soggetto gestore della segnalazione trasmessa attraverso il canale interno. Pensiamo, ad esempio, al caso in cui il soggetto segnalato coincida con chi deve prendere in esame e dar seguito alla segnalazione stessa. In questo caso si ritiene ricorra una delle condizioni per l’accesso, da parte del soggetto segnalante, al canale esterno di segnalazione dell’ANAC, non potendo essere assicurato che alla segnalazione venga dato efficace seguito, ovvero dato che la stessa segnalazione possa determinare il rischio di ritorsione (cfr. art. 6, comma 1, lett. c) D. Lgs. 24/2023).

Compiti del gestore del canale interno

Quella di gestione del canale interno e delle segnalazioni è un’attività che si snoda su più livelli: dalla costante supervisione circa il corretto funzionamento del canale (ad esempio, la verifica sulle regolari funzionalità del software utilizzato), agli obblighi stabiliti in capo al gestore dall’articolo 5 del D. Lgs. 24/2023. In primo luogo, troviamo lo specifico iter che il gestore deve seguire in caso di ricezione di una segnalazione:

  • Rilasciare alla persona segnalante avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione;
  • Mantenere le interlocuzioni con la persona segnalante, potendo richiedere a quest’ultima, se necessario, integrazioni;
  • Dare diligente seguito alle segnalazioni ricevute;
  • Fornire riscontro alla segnalazione entro tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione.

Inoltre, al gestore sono richieste precise attività di carattere informativo quali, nello specifico, la messa a disposizione di informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni tanto interne quanto esterne. Tali informazioni, da esporre e rendere facilmente visibili anche nei luoghi di lavoro (es. bacheca aziendale), devono anche essere pubblicate in una specifica sezione dedicata dal sito web aziendale. Infine, devono essere altresì oggetto di trattazione nei corsi e nelle formazioni su etica e integrità.

WHITEPAPER

Essere DPO nel 2025: quali sono le competenze e i requisiti necessari

Legal
Data protection
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video & Podcast
Social
Iniziative
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Ecco o3 e o4-mini: il ragionamento AI è migliore ed è per tutti