la guida

Whistleblowing per privati, come adeguarsi alle nuove regole: gli step, i ruoli e i consigli

Home
Indirizzo copiato

Un vademecum pratico di gestione della nuova normativa whistleblowing per le aziende private, con tutte le operazioni da intraprendere per essere adeguati

Pubblicato il 17 gen 2024
Alessandra Lucchini

Avvocato cassazionista – DPO

Stefania Pellegrini

Avvocato e consulente privacy

appalti pubblici

La normativa Whistleblowing disciplina la protezione delle persone che segnalano illeciti che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato. Ecco una guida completa per la gestione di questi aspetti, alla luce della nuova normativa, considerando anche i nuovi ruoli e aspetti come la privacy. 

Whistleblowing, guida agli obblighi per il settore privato

Whistleblowing, vademecum sulle nuove regole

In data 17 dicembre 2023 questa normativa è entrata in vigore anche per le aziende private ed in particolare per le seguenti casistiche:

  • imprese che, nell’ultimo anno, hanno impiegato media di lavoratori subordinati superiore a 50
  • imprese che rientrano nell’ambito dei “settori sensibili” dell’Unione Europea (come servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se non hanno raggiunto la media di 50 lavoratori subordinati;
  • imprese che hanno adottato il Modello 231, anche se non hanno raggiunto la media di 50 lavoratori subordinati.

Si specifica che per tutti gli enti pubblici e per i soggetti che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratto a tempo determinato o indeterminato, pari o superiore a 250, nonché quelli che si occupano di alcuni settori particolari, il termine per adeguarsi era, invece, quello del 15 luglio 2023.

Lo strumento giuridico del whistleblowing

L’istituto del whistleblowing è uno strumento giuridico finalizzato alla tutela dei lavoratori che segnalano illeciti o attività fraudolente svolte all’interno dell’azienda presso cui lavorano e/o con cui hanno intrattenuto un rapporto di lavoro.

Nasce con la finalità di incentivare le denunce di illecito, da una parte, e proteggere il segnalante, dall’altra, da possibili conseguenze, ad esempio ritorsioni, licenziamento e qualsiasi altro effetto negativo che potenzialmente possa scaturire da situazioni di denuncia.

Per essere in regola con la normativa, l’azienda privata con le caratteristiche sopra indicate o l’ente pubblico dovrà porre in essere determinate azioni: di seguito vediamo quali.

Guida operativa per l’applicazione del Whistleblowing

La normativa introduce per i soggetti sopra indicati uno specifico obbligo di implementazione dell’istituto, che si ramifica in diversi adempimenti.

Un documento molto utile, a livello operativo, per capire i diversi “to do” per essere conformi alla normativa, è quello emanato da Anac con delibera n. 311 del 12 luglio 2023, cosiddetta le Nuove Linee Guida. A fine ottobre 2023, anche Confindustria ha pubblicato un documento, definito “Guida Operativa”, che contiene una serie di indicazioni utili a supportare le imprese nell’implementazione degli adempimenti previsti, tenuto conto anche delle indicazioni fornite da ANAC.

Ma in estrema sintesi cosa le aziende devono fare? Di seguito ecco una linea operativa dei “TO DO”:

  • definire in un apposito atto organizzativo l’adozione e le procedure per il ricevimento delle segnalazioni e per la loro gestione, predisponendo e attivando al proprio interno appositi canali di segnalazione. Tale atto organizzativo, secondo le Linee Guida ANAC, deve essere adottato con delibera dell’organo di indirizzo e, quindi, sarà di norma di competenza dell’organo amministrativo;
  • attivare almeno due canali di segnalazione, uno in forma scritta (ad esempio, la piattaforma informatica) e uno in forma orale. Le segnalazioni interne in forma orale sono effettuate attraverso linee telefoniche o sistemi di messaggistica vocale oppure, su richiesta della persona segnalante, mediante un incontro diretto. Si ricorda – come specificato dal Garante – che l’utilizzo di mail e pec non sono modalità idonee che garantiscano la riservatezza delle informazioni;
  • nominare un gestore delle segnalazioni, individuato in un soggetto, interno (ai sensi dell’art. 29 Gdpr) o esterno all’azienda (ai sensi dell’art. 28 Gdpr), che sia autonomo e formato;
  • predisporre idonea informativa al trattamento dei dati ai sensi dell’art. 13 GDPR da rendere nota agli interessati;
  • adottare una c.d. “procedura whistleblowing” che regolamenti l’istituto, ed in particolare chiarisca, tra le altre cose: i) chi può fare segnalazioni; ii) quali violazioni possono essere segnalate; iii) quali canali di segnalazione sono stati attivati dall’impresa e come fare una segnalazione; iv) chi e come gestisce le segnalazioni; v) quali sono le tutele in gioco e le conseguenze; vi) quali sono i canali alternativi e quando sia possibile utilizzarli. Risulta altresì utile disciplinare nella procedura, da adottarsi con l’atto organizzativo, anche le eventuali ipotesi di conflitto di interessi, ovvero quelle fattispecie in cui il gestore della segnalazione coincida con il segnalante, con il segnalato o sia comunque una persona coinvolta o interessata dalla segnalazione, anche al fine di gestire la segnalazione sempre internamente prima di indirizzare il segnalante sul canale esterno di Anac (come previsto dalla normativa e dalle linee guida Anac per questi casi);
  • formare il gestore della segnalazione e informare i potenziali segnalanti;
  • pubblicare la procedura e l’informativa sul trattamento dei dati nei luoghi accessibili al potenziale segnalante (affissione in bacheca, pubblicazione sul sito internet, indicazione nella contrattualistica);
  • comunicare alle rappresentanze sindacali dell’attivazione del canale interno: in particolare è bene che l’azienda fornisca al sindacato una descrizione del canale, almeno negli elementi essenziali che lo caratterizzano;
  • inserire il whistleblowing quale trattamento specifico all’interno del registro redatto ai sensi dell’art. 30 GDPR;
  • per le aziende con Modello 231 anche quest’ultimo dovrà essere aggiornato, includendo la procedura whistleblowing;
  • il titolare, prima di procedere all’implementazione del sistema, deve svolgere una valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR.

Si ricorda, inoltre, che:

  • le segnalazioni e gli allegati alla segnalazione devono essere sottratti al diritto di accesso e all’accesso civico generalizzato se pregiudicano la riservatezza del segnalante. In ogni caso i diritti riconosciuti dagli art. 15-22 GDPR potrebbero essere limitati (cfr. Art. 2-undecies – Limitazioni ai diritti dell’interessato); 
  • in caso di adozione di una piattaforma, la stessa deve registrare e conservare in modo sicuro i log di accesso, mentre deve assolutamente essere evitato il tracciamento dei log del segnalante, anche nel caso in cui l’accesso sia mediato da un firewall o da un proxy server. In tali casi si può fare ricorso, ad esempio, al browser TOR che garantisce l’anonimizzazione delle informazioni relative al traffico dati e all’indirizzo IP;
  • le informazioni devono essere scambiate attraverso protocolli sicuri (HTTPS);
  • il titolare deve adottare ogni idonea misura di sicurezza ai sensi dell’art. 32 GDPR;
  • le segnalazioni devono essere conservate per un arco di tempo non superiore al conseguimento delle finalità per cui sono state trattate e per un massimo di 5 anni dal ricevimento della segnalazione, fatte salve differenti esigenze dovute ai sensi di legge/ esigenze di giudizio;
  • l’identità del segnalante e delle informazioni legate alla segnalazione è riservata; nei soli casi previsti dalla norma, per rilevare l’identità del segnalante, serve suo espresso consenso. 

Profili privacy e ruoli

L’art. 4 del D.lgs. 24/2023 sul whistleblowing prevede che la gestione del canale di segnalazione interna possa essere affidata a un soggetto dell’organizzazione stessa (persona o un ufficio autonomo dedicato) o a un soggetto esterno, anch’esso autonomo.

Il Responsabile della prevenzione della corruzione e della trasparenza

Nel caso dei soggetti pubblici tenuti alla nomina del Responsabile della prevenzione della corruzione e della trasparenza la gestione del canale interno viene solitamente affidata a quest’ultimo. Per le aziende è bene individuare soggetti indipendenti e autonomi rispetto ai centri di direzione e comando, e con competenze specifiche.

In termini di gestione dei ruoli a livello di normativa privacy si possono individuare poi tre tipologie di fattispecie:

  1. affidamento della gestione all’interno
  2. outsourcing con assegnazione della gestione a un soggetto esterno
  3. gestione condivisa con altri soggetti

Nella prima ipotesi, ci si riferisce ad un soggetto che ha un rapporto di dipendente con il Titolare. In realtà le persone possono essere anche più di una, se si ritiene di costituire un pool.

I soggetti interni devono quindi essere autorizzati ad hoc al trattamento dei dati ai sensi dell’art. 29 del GDPR.

Oltre alla specifica autorizzazione, i soggetti designati devono essere adeguatamente formati ed istruiti non solo sulla normativa della protezione dei dati, ma anche sulla specifica disciplina del whistleblowing, con riferimento a casi concreti. Le istruzioni devono essere allegate alla nomina/autorizzazione e devono indicare specificatamente gli obblighi a cui sono tenuti. A titolo esemplificativo ma non esaustivo i soggetti lato privacy devono essere formati in relazione, tra i tanti, a questi obblighi:

  1. trattare i dati raccolti in modo lecito e corretto, conformandosi alle disposizioni di legge in vigore nonché alle policy ed alla normativa interna dell’azienda;
  2. usare attenzione, riservatezza, discrezione e diligenza nell’osservanza delle disposizioni di cui sopra in relazione al trattamento dei dati che dovranno essere gestiti solo per il compimento delle operazioni affidate e altresì custoditi con estrema accuratezza;
  3. utilizzare i dati solo nell’esercizio delle proprie mansioni solo ed esclusivamente per adempiere ai compiti assegnati;
  4. controllare e mantenere la completezza e l’integrità dei documenti utilizzati;
  5. comunicare tempestivamente qualsiasi disfunzione del sistema informatico o qualsiasi altro evento che possa determinare pericolo per la sicurezza dei dati ed il loro trattamento;
  6. attenersi fedelmente alle istruzioni impartite;
  7. non comunicare e diffondere i dati trattati nell’esercizio delle proprie mansioni se non specificamente autorizzato.

Gestore delle segnalazioni nel privato

Per quanto attiene a tale ruolo, nel settore privato, la scelta del soggetto cui affidare il compito di gestore delle segnalazioni è rimessa all’autonomia organizzativa di ciascun ente, in considerazione delle esigenze connesse alle dimensioni, alla natura dell’attività esercitata e alla realtà organizzativa concreta [1]; il soggetto deputato a gestire il canale di segnalazione deve, inoltre, godere di autonomia, intesa come “imparzialità e indipendenza” rispetto alla struttura organizzativa. A tal fine tale ruolo può essere affidato, come vedremo, agli organi di Internal Audit, all’Organismo di vigilanza previsto dalla disciplina del D.lgs. n. 231/2001, ai comitati etici.

Nella seconda ipotesi si costituisce un rapporto fra il titolare e il soggetto esterno che gestisce per conto dell’azienda il canale di segnalazione. In questo caso ai sensi dell’art. 28 del GDPR si dovrà nominare tale soggetto responsabile del trattamento. Nel contratto che il titolare dovrà sottoscrivere con il responsabile è necessario prevedere:

  1. le caratteristiche del trattamento affidato al responsabile, con particolare riguardo alla natura, alle finalità e alla durata del trattamento, al tipo di dati personali e alle categorie di interessati;
    1.  gli obblighi e i diritti del titolare del trattamento;
    1. le istruzioni per il trattamento dei dati da parte del responsabile.

È da evidenziare che le segnalazioni saranno molto probabilmente gestite attraverso software dedicati già esistenti o creati ad hoc, con adeguate misure di sicurezza anche in tema di crittografia dei dati.

Provider come responsabili esterni

Anche le aziende fornitrici dei software dovranno essere nominate responsabili esterni del trattamento ai sensi dell’art. 28 GDPR. Il Titolare del trattamento dovrà pertanto prestare la massima attenzione nella scelta e nella valutazione dei fornitori di questi servizi informatici e analizzare con particolare attenzione il loro livello di affidabilità.

In ogni caso, se pur conclamato dalle stesse Linee Guida Anac, approvate anche dal Garante, che i soggetti esterni a cui è affidato il compito di gestire il canale di segnalazione assumano il ruolo di responsabile esterno ai sensi dell’art. 28 GDPR, e che pertanto i titolari di trattamento devono adeguarsi a dette linee guida, si esprimono in ogni caso alcune riflessioni, e come tali devono rimanere, in merito al ruolo a loro assegnato posto che la normativa prevede, ai sensi dell’art. 4 D. Lgs 24/2023, come requisito, l’autonomia gestionale.

Il responsabile esterno infatti è in genere una figura subordinata al Titolare (così come l’autorizzato), che riceve specifiche istruzioni dal Titolare stesso: ci si chiede quindi come possa essere assolto e garantito il requisito della autonomia richiesto dalla normativa e se questo requisito non fosse stato forse maggiormente assicurato da un soggetto che assumesse il ruolo di Titolare autonomo e che pertanto non è sottoposto a nessuna istruzione da parte del Titolare e che dunque possa assumere l’incarico come gestore del canale davvero senza alcuna interferenza (anche in ordine alle successive ispezioni e decisioni).

Peraltro, in questo modo, anche il requisito della riservatezza, a modesto avviso di chi scrive, poteva essere meglio tutelato: laddove, infatti, l’identità del soggetto segnalante risulti inaccessibile a terzi, ci si chiede se possa essere garantita – nell’atto pratico – l’inaccessibilità allo stesso Titolare del trattamento da parte di un responsabile esterno/autorizzato. Laddove inoltre cessi il contratto con il responsabile, ci si chiede anche quale sia il perimetro di applicazione in ordine alla restituzione/cancellazione dei dati a favore del titolare.

Fornitori del canale di segnalazione

Parimenti, alcune riflessioni debbano essere fatte anche nella configurazione del ruolo di responsabile esterno per le aziende che offrono il canale di segnalazione informatico (come previsto dalle Linee Guida e approvato dal Garante), posto che tra le misure di sicurezza prescritte per il canale configura la crittografia dei dati personali; pertanto, detta azienda di fatto tratterebbe dati che sono in realtà crittografati, e come tali inaccessibili.

Gestione condivisa

Infine, nel caso di gestione condivisa con altri soggetti si istituirà un rapporto fra contitolari (le diverse aziende) e il responsabile del trattamento che è il soggetto che gestisce per le mandanti il canale di segnalazione con le stesse caratteristiche di quanto sopra analizzato. Se poi tale ruolo fosse svolto da uno dei contitolari, quest’ultimo sarebbe allo stesso tempo anche responsabile del trattamento (verso gli altri soggetti).

Come poi specificato dall’art. 13.5 del DLWB, tutte le entità che condividono il canale, dovranno specificare in un accordo le rispettive responsabilità in merito all’osservanza delle norme sulla privacy e ciascuna dovrà poter conoscere solo le segnalazioni alla stessa riferibili. In particolare, l’accordo dovrà prevedere, ad esempio, come suggerito dalla Guida Operativa di Confindustria:

  • le modalità di funzionamento del canale di segnalazione condiviso;
    • le finalità e i mezzi del trattamento dei dati personali;
    • le misure tecniche e organizzative adottate affinché il canale garantisca la riservatezza nell’ambito della segnalazione;
    • le misure tecniche e organizzative adottate affinché il canale di segnalazione garantisca a ciascun ente di accedere alle sole segnalazioni che lo riguardano;
    • il soggetto destinatario delle segnalazioni e i relativi compiti e poteri;
    • le procedure per il ricevimento delle segnalazioni;
    • il processo di gestione della segnalazione.

Ciascun ente, inoltre, dovrà:

  • assicurare ai propri dipendenti un’adeguata formazione sulla normativa whistleblowing e sul concetto di “segnalazione” (anche attraverso esempi concreti), sul corretto utilizzo del canale e sulle sanzioni in caso di violazioni;
    • informare (anche attraverso il sito internet) dell’esistenza del canale;
    • conservare in modo adeguato la documentazione inerente alla segnalazione.

Con riferimento ai compiti svolti dai soggetti autorizzati, le linee guida Anac evidenziano la necessità di tracciare ove possibile, lo svolgimento delle loro attività, al fine di evitare l’uso improprio di dati relativi alla segnalazione e assicurare le garanzie a tutela del segnalante. Ad ogni modo, si ricorda altresì che deve essere evitato il tracciamento di qualunque informazione che possa ricondurre all’identità ovvero all’attività del segnalante.

L’attività degli organismi di vigilanza

Poiché l’Organismo di vigilanza è il soggetto deputato alla corretta applicazione del modello 231, potrebbe essere opportuno affidare a questo soggetto la gestione dei canali di segnalazione interna ai sensi del D.lgs. 24/2023?

La risposta non è così scontata.

Da un lato l’Organismo di vigilanza appare idoneo a svolgere anche questo compito in quanto si configura come un soggetto collegiale indipendente e autonomo funzionalmente e gerarchicamente rispetto agli altri uffici interni all’azienda. È sicuramente un organo che più di altri uffici assicura anche il requisito dell’obbligo formativo e della competenza.

Non a caso le linee guida Anac e di Confindustria non escludono, anzi suggeriscono, di affidare tale compito aggiuntivo all’Odv.

I fronti critici

Potrebbero però dall’altra parte ravvisarsi alcune criticità.

In primo luogo, l’Organismo di vigilanza di norma non ha poteri di gestione [2]. L’Organismo, infatti, è il soggetto responsabile di sorvegliare e di verificare regolarmente l’efficacia del modello organizzativo, di segnalarne eventuali lacune o mancanze, di aggiornare il modello in seguito a modifiche normative o organizzative; ha l’obbligo di informazione nei confronti del Consiglio di amministrazione ed organizza l’informazione e formazione. Non gode di diretti poteri impeditivi né ha la possibilità di intervenire sulle scelte riguardanti l’organizzazione aziendale; ove dovesse riscontrare delle anomalie o mal funzionamenti relativi all’applicazione del modello organizzativo, può solo riferire all’organo amministrativo o dirigenziale che avrà, dunque, l’onere di provvedere.

In sostanza all’Organismo di vigilanza “sono riconosciuti solo dei poteri propositivi, consultivi, istruttori e di impulso; non solo, ma la totale estraneità alle scelte gestionali è, proprio, la quintessenza dell’OdvV: l’Organismo di vigilanza può adempiere correttamente ai propri compiti solo nella misura in cui è separato rispetto alla gestione della società e verifica, in maniera indipendente, l’adozione e l’attuazione dei modelli organizzativi[3]. L’affidamento di poteri gestori comprometterebbe, pertanto, l’autonomia dell’organismo. Secondo la Cassazione infatti “l’organismo di vigilanza non può avere connotazioni di tipo gestorio, che ne minerebbero inevitabilmente la stessa autonomia: ad esso spettano, piuttosto, compiti di controllo sistemico continuativo sulle regole cautelari predisposte e sul rispetto di esse nell’ambito del modello organizzativo di cui l’ente si è dotato” [4].

Ulteriore criticità che la dottrina ravvisa attiene all’ampliamento del novero di fattispecie oggetto di segnalazioni, che con la nuova normativa – e solo per alcune categorie di enti – va oltre i reati presupposto di cui al D.lgs. n. 231/2001. In questo caso, dunque, il requisito della formazione e della competenza non dovrebbe essere dato per scontato solo per il fatto di già aver assunto il ruolo di Odv, posto che il perimetro di applicazione è più vasto e diverso, includendo anche, ad esempio, specifiche normative di stampo europeo.

Omessa o inadeguata gestione del canale

Infine, una questione di estrema delicatezza concerne gli ulteriori profili di responsabilità che potrebbero derivare dall’omessa o inadeguata gestione del canale di segnalazione interno da parte dell’Organismo. In caso di cattiva o mancata gestione interna e per l’ipotesi di omessa verifica e analisi delle segnalazioni, i membri dell’Organismo di vigilanza, oltre a rispondere dinnanzi all’ANAC ai sensi dell’art. 21 con sanzioni amministrative pecuniarie, potrebbero essere considerati responsabili anche sotto altri profili? [5]. Poiché come abbiamo visto l’Odv ha una funzione di controllo e non ha poteri di gestione, sembra allo stato difficile optare per la configurabilità di una responsabilità in questi casi.

Tutto quanto sopra sono solo riflessioni che inducono a ritenere opportuno che il Titolare stabilisca contrattualmente ogni singolo punto relativo all’attribuzione dell’incarico di gestore, con accordo scritto ulteriore rispetto ai contratti già in essere per lo svolgimento dei compiti di Odv.

Il ruolo di Odv e la privacy

Lato privacy, poi, non risulta peraltro chiarissimo il ruolo assunto dall’Odv che riceve l’incarico di gestore della segnalazione. Infatti, nel famoso provvedimento del Garante sul ruolo dell’Odv (cfr. provvedimento del 12 maggio 2020 n. prot. 17347), con il quale l’Autorità aveva specificato che – essendo l’Odv parte della azienda –  era da ritenersi autorizzato, la stessa Autorità aveva precisato che lo stesso parere si riferisse esclusivamente ai flussi di informazioni rilevanti ai sensi dell’art. 6, comma 1 e 2 del d.lgs. n. 231/2001, “rimanendo escluso il nuovo e diverso ruolo che l’organismo avesse potuto acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing (art. 6, comma 2-bis, 2-ter, 2-quater cit., d.lgs. n. 231/2001)”.

Se l’Odv, ora, assumesse il ruolo di autorizzato anche per la gestione della segnalazione (come dovrebbe essere seguendo le indicazioni generali delle Linee Guida), non si capirebbe la specifica data in quel parere dal Garante, che esplicitamente ha escluso ogni valutazione in merito all’applicazione dell’istituto del Whistleblowing, e dunque di fatto ha in realtà ben separato i due compiti. Se si assumesse il ruolo di responsabile esterno, vi sarebbe forse una discrasia o quantomeno una duplicazione delle incombenze, laddove lo stesso Organismo sarebbe, per l’applicazione di una norma (d. lgs 231), autorizzato, e per l’altra (d. lgs. 24/23), responsabile esterno.

Conclusioni

Come sopra evidenziato, molti sono ancora gli aspetti non chiari, nonostante le nuove linee guida Anac e Confindustria abbiano sciolto notevoli nodi operativi.

Pur tuttavia si evidenzia che la normativa rimane in alcuni punti di difficile applicazione, soprattutto per quelle realtà piccole o che non hanno modello 231, le quali percepiscono questa normativa quantomeno sovrabbondante.

Si rilevano,inoltre, nel dettato normativo molti elementi di confusione, legati ad esempio ad alcuni termini utilizzati nella normativa Whistleblowing, quali “anche”, “oppure”, “o” e “ovvero” all’interno dello stesso articolo, che non può che generare diverse interpretazioni circa l’alternatività, la facoltatività o l’obbligatorietà delle misure suggerite.

Neanche l’aspetto relativo alle attività ispettive e di reportistica del gestore è sufficientemente chiarito, per lo meno nell’ambito dei suoi limiti e delle sue modalità.

Inoltre, se pur circoscritto ad un ambito lavorativo, una ulteriore riflessione si potrebbe fare in ordine al novero dei soggetti segnalanti: se la norma ha come finalità, infatti, quella di incentivare e favorire quanto più possibile le segnalazioni, ci si chiede se possano usufruire del canale (ed eventualmente godere delle tutele concesse dalla normativa in ordine a possibili effetti avversi) anche altri soggetti non espressamente legati da un vincolo di lavoro, quali ad esempio il semplice cittadino (o altre categorie), prevedendolo espressamente nell’apposita procedura nell’elenco dei soggetti che hanno la possibilità di segnalare illeciti.

Insomma, il D.lgs. 24/23 più che una armonizzazione di diverse normative esistenti, sembra quasi, allo stato, una duplicazione di contenuti e adempimenti, a cui vengono aggiunti ulteriori nuovi obblighi.

In conclusione, l’applicazione della procedura appare molto articolata e, ad oggi, non ancora chiarita dal punto di vista fattuale in riferimento ad alcuni perimetri di applicazione.

Note

[1] Cfr. Linee guida Anac in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne.

Approvate con Delibera n°311 del 12 luglio 2023

[2] Cfr. art. 6 comma 2 D.lgs. 231/2001 secondo cui i modelli organizzativi devono rispondere alle seguenti esigenze:

  1. individuare le attività nel cui ambito possono essere commessi reati;
  2. prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;
  3. individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;
  4. prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli;
  5. introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

[3] Cfr. Maurizio Rubini, Compiti e responsabilità nel d.lgs. 231/01: il ruolo dell’odv, giugno 2021, https://www.riskcompliance.it/news/compiti-e-responsabilita-nel-d-lgs-23101-il-ruolo-dell-odv/

[4] Si veda in questo senso Cassazione Penale Sent. Sez. 6 Num. 23401 Anno 2022.

[5] Si veda in questo senso, ad esempio, Federica Zazzaro, Il ruolo dell’Organismo di vigilanza e la gestione delle segnalazioni whistleblowing, Raffaele Quatraro, La natura della responsabilità dell’OdV e le ricadute sul piano della prova e della legittimazione attiva all’azione risarcitoria.

.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Cheshire cat, l'assistente virtuale open source: come funziona