anticorruzione

Whistleblowing: cosa cambia in concreto per le aziende

Home Sicurezza digitale Privacy
Indirizzo copiato

In vigore dal 17 dicembre scorso le nuove norme sul whistleblowing in attuazione della direttiva Europea 2019/1937. Le aziende devono adeguarsi, estendendo la protezione a dipendenti e collaboratori esterni. Vengono introdotte nuove procedure per le segnalazioni e meccanismi di tutela contro ritorsioni, con un ruolo cruciale per il Data Protection Officer

Pubblicato il 2 feb 2024
Angelo Jannone

Coordinatore del Comitato Scientifico di Federprivacy

IA e lotta alla corruzione

Il 17 dicembre 2023 è stato il termine ultimo per le Imprese private sino a 249 dipendenti per adeguarsi alle nuove disposizioni in materia di whistleblowing, ossia il sistema di segnalazione di violazioni e di tutele per i segnalanti.

Gestire il whistleblowing in azienda: i vantaggi dei sistemi automatizzati

Le novità introdotte dal decreto 24

A concedere questo tempo di adeguamento ci ha pensato lo stesso decreto 24 dello scorso marzo, proprio nella consapevolezza della complessità e, mi si consenta, farraginosità della declinazione nazionale della direttiva europea del 2019.

Come si ricorderà, dopo una serie di interventi settoriali, a partire dalla legge 190 del 2012 in tema di anticorruzione,  la Legge 179 del 2017 “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”, sembrava aver dato un riordino alla tematica, intervenendo, per quanto riguarda il settore privato,   sostanzialmente sui requisiti di idoneità ed efficace attuazione del Modello Organizzativo 231, attraverso l’introduzione, all’art. 6 del decreto, dei commi 2bis, 2 ter e 2 quater.

In particolare il comma 2 bis disponeva che i modelli organizzativi dovessero prevedere:

  • uno o più canali che consentano ai soggetti indicati nell’articolo 5, comma 1, lettere a) e b), di presentare, a tutela dell’integrità dell’ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del presente decreto e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali garantiscono la riservatezza dell’identità del segnalante nelle attività di gestione della segnalazione;
  • almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante;
  • il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione;
  • nel sistema disciplinare adottato ai sensi del comma 2, lettera e), sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonché di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate”.

Tale norma primaria veniva seguita da commi successivi di natura giuslavorista.

Un impianto superato dal d.lgs 24/23. Per cui l’attuale formulazione del comma 2 bis oggi è la seguente:

“I modelli di cui al comma 1, lettera a), prevedono, ai sensi del decreto legislativo attuativo della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, i canali di segnalazione interna, il divieto di ritorsione e il sistema disciplinare, adottato ai sensi del comma 2, lettera e)”.

Whistleblowing: cosa cambia in concreto per le aziende

Ma cosa cambia in concreto?

A cominciare dagli ambiti: mentre nel settore pubblico – che comprende le società cosiddette in house o quelle che erogano servizi pubblici, le violazioni che determinano l’applicazione della nuova normativa sono quelle alle norme interne ed europee,  nel settore privato, operano diversi regimi.

In particolare:

  • negli Enti privati che non abbiano raggiunto la media di 50 lavoratori ma hanno adottato il Modello Organizzativo 231, le segnalazioni possono riguardare solo condotte illecite rilevanti per la disciplina 231 o violazioni del modello 231,  ed essere effettuate unicamente attraverso il canale interno. Ciò significa che non sarà possibile rivolgersi ad Anac, né ricorrere allo strumento innovativo della divulgazione pubblica.
  • negli Enti privati che abbiano raggiunto la media di almeno 50 lavoratori e hanno adottato il Modello Organizzativo 231, le segnalazioni possono, riguardare sia il modello, sia norme UE. Ma nel primo caso può essere utilizzato solo il canale interno. Nel secondo si può ricorrere al canale Anac, alla divulgazione pubblica o alla denuncia diretta del fatto ed in tutti i casi scattano i meccanismi di tutela da rischi ritorsivi;
  • per le società che operano in settori indicati nella parte prima lett.B e nella parte seconda dell’ allegato al decreto, anche se inferiori ai 50 dipendenti le segnalazioni ricomprendono illeciti commessi in violazione della normativa dell’UE indicata nell’Allegato 1 al Decreto e di tutte le disposizioni nazionali che ne danno attuazione.

I chiarimenti di ANAC e Confindustria

A chiarire in parte le norme primarie, è intervenuta sia l’ANAC (Autorità Nazionale Anti Corruzione) con delibera n. 311 del 12 luglio 2023, sia Confindustria, con una Guida Operativa per gli Enti Privati dello scorso ottobre.

Tutto questo ha ingenerato non poca confusione nelle società.

Intanto ricordiamo che la normativa allarga anche l’alveo dei soggetti tutelati: non più solo i dipendenti, ma anche i collaboratori esterni, i fornitori, le società ad essi collegate ed i cosiddetti facilitatori. Si pensi a colui che ha suggerito al segnalante l’inoltro di una segnalazione.

Tutele per il segnalante: le garanzie previste dalla legge

Circa le segnalazioni che possono assicurare le tutele, sono espressamente escluse quelle legate a un interesse personale del segnalante, che attengono ai propri rapporti individuali di lavoro, ovvero inerenti ai rapporti di lavoro, posto che la nuova disciplina mira a tutelare l’integrità dell’ente/persona giuridica.

La normativa indica una serie di possibili condotte ritorsive nei confronti del segnalante che possono costituire  oggetto di intervento diretto di ANAC.

Obblighi di trasparenza nei confronti del segnalante

Inoltre vi sono adempimenti miranti alla trasparenza nei confronti del segnalante: l’avviso di ricezione della segnalazione entro 7 giorni e le informazioni di completata istruttoria entro 3 mesi dalla ricezione con i provvedimenti assunti, salvo comunicazione della necessità di una proroga.

Ovviamente tali adempimenti sono possibili solo se il segnalante sia raggiungibile. Per cui un canale dedicato su una pagina aperta,  che consenta l’inserimento di segnalazioni mediante credenziali random, generate ad hoc dal sistema e, quindi, sostanzialmente anonime,  dovrebbe prevedere nella risposta automatica di avviso di ricezione, l’invito al segnalante a mantenere un dialogo digitale con il gestore, fermo restando il ribadire gli obblighi di riservatezza e le conseguenze a carico di chi dovesse violarli.  

Tali adempimenti richiedono senza dubbio degli interventi sulle piattaforme digitali dedicate, ma anche di tipo procedurale, dal momento in cui non viene esclusa la possibilità di segnalazioni cosiddette analogiche, che pervengano cioè con canali tradizionali, se non addirittura con confidenze da parte del segnalante, ad esempio, al proprio superiore diretto.

Aspetti organizzativi: chi gestisce le segnalazioni

Tali adempimenti fanno ben comprendere come sia improprio affidare tout court all’Organismo di Vigilanza “231” il ruolo di ricettore o, come meglio definito dalla Guida Operativa di Confindustria, di gestore delle segnalazioni. Se così fosse, verrebbe a mancare quella funzione di vigilanza sulla corretta impostazione dell’impianto organizzativo e procedurale, proprio dell’Organismo di Vigilanza.

Ma su questo aspetto neanche la Guida Operativa di Confindustria aiuta a sciogliere la questione, giacché non esclude che l’OdV potrebbe far parte di un gestore sotto forma di comitato.

La Guida Operativa, suggerisce la redazione di una procedura operativa o policy ove regolamentare gli aspetti gestionali ed organizzativi di dettaglio, comprese le regole per la conduzione dell’istruttoria e per la tutela dei dati personali.

Punti aperti: la tutela dei dati

Sia la direttiva europea, sia il decreto 24 hanno, sia la direttiva Anac non hanno trascurato gli aspetti riguardanti la tutela dei dati personali e i requisiti tecnici del canale dedicato, affinché sia garantito il rispetto delle norme in tema di protezione dei dati.

Va ricordato che i dati personali oggetto di protezione non sono solo l’identità del segnalante, ma anche quelli del presunto autore della violazione e, soprattutto, dei terzi che si dovessero trovare ad essere inconsapevolmente indicati in qualunque veste nel testo della segnalazione.

A ciò si aggiunga che, in concreto, ci si potrebbe trovare di fronte a contenuti intrisi di dati particolari (ad esempio quelli riguardanti le abitudini sessuali) che godono di un regime di protezione specifico più stringente. e che non è agevole stralciare dal contenuto della segnalazione, quando non pertinenti.

Senza considerare le molteplici problematiche di trattamento che pone la fase della cosiddetta istruttoria o indagine sulla segnalazione. 

Il ruolo del Data Protection Officer nel whistleblowing

Ecco allora che il ruolo del grande assente nelle norme in materia di Whistleblowing, ossia il Data Protection Officer, diventa fondamentale. Un primo passo dovrà essere quello di inserire questa importante figura nel comitato che, la Guida Operativa di Confindustria, suggerisce per le società di maggiori dimensioni.  

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • intelligenza artificiale

    IA: alleata o problema per la sostenibilità? Strategie per un’innovazione responsabile

    22 Apr 2024

    di Riccardo Petricca

    Condividi

  • intelligenza artificiale

    #OpenAIF: colmare il gap formativo ai tempi dell IA

    19 Gen 2024

    di Beatrice Lomaglio e Vivaldo Moscatelli

    Condividi

Prossimo

IA: alleata o problema per la sostenibilità? Strategie per un’innovazione responsabile

Articolo 1 di 3