DECRETO WHISTLEBLOWING – TUTTO CIÒ CHE LE IMPRESE PRIVATE DEVONO FARE PER ADEGUARSI

Come noto, il “Decreto whistleblowing” - D.Lgs. 10 marzo 2023, n. 24, attuativo della Direttiva UE n. 1937/2019, entrato in vigore in data 30 marzo 2023, ha fissato l’obbligo di adeguarsi agli specifici meccanismi di tutela dei segnalanti al suo interno dettati:

- entro il 15 luglio 2023 per le imprese private che nell’ultimo anno hanno occupato una media di almeno 250 lavoratori subordinati con contratti di lavoro a tempo determinato o indeterminato, indipendentemente dalla vigenza di un Modello 231;

- entro il 17 dicembre 2023 per le imprese private che nell’ultimo anno hanno occupato una media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo determinato o indeterminato, e, indipendentemente dal numero dei dipendenti occupati, tutte quelle dotate di Modello 231.

Per evitare di incorrere nelle cospicue sanzioni pecuniarie (variabili fra i 10.000 e i 50.000 euro) erogabili dall’ANAC in caso di mancata introduzione/attuazione di efficaci sistemi di segnalazione a garanzia dei whistleblowers, è dunque fondamentale, per gli enti privati che rientrano nella categoria sopra indicata, attivarsi immediatamente al fine di comprendere gli obblighi cui sono soggetti. A tale scopo, si propone di seguito una sintetica guida per orientarsi.

 

Punto primo. Istituzione/implementazione di un canale di segnalazione interno

L’adempimento principale cui le imprese private interessate dall’applicazione della normativa in esame sono tenute concerne l’istituzione di un canale di segnalazione interno. Ciò, concretamente, significa:

- per i soggetti già dotati di un Modello 231, verificare che il sistema di segnalazione interno già implementato sulla base del D.Lgs. 231/2001 risponda ai requisiti più stringenti della Direttiva UE 1937/2019, e dismettere eventuali canali che non possano essere conformati alle previsioni del Decreto;

- per gli enti che non dispongono di un Modello 231, istituire ex novo un apposito canale rispondente alla normativa neo introdotta.

 

Punto secondo. Definizione della procedura di segnalazione

Tema prioritario è poi quello della gestione delle segnalazioni: le imprese sono tenute ad individuare una persona, ovvero un ufficio interno/esterno autonomo composto da risorse qualificate a cui affidare la gestione del canale, nonché a definire con precisione le modalità di governance della procedura di segnalazione. Nel fare ciò, è imprescindibile attenersi ai criteri di:

i) efficacia, curando l’istituzione di canali sia online che offline tramite i quali gli interessati possano far pervenire segnalazioni in forma scritta ovvero orale;

ii) riservatezza, dotandosi di strumenti tecnico-informatici (anche di crittografia) volti ad assicurare l’anonimato del whistleblower e delle persone coinvolte nella segnalazione, nonché la riservatezza del suo contenuto;

iii) trasparenza, fissando un iter di elaborazione delle segnalazioni idoneo a garantire l’eventuale applicazione di misure correttive, o in generale un responso sullo stato della segnalazione, in tempi brevi (il Decreto richiede la trasmissione dell’avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione, nonché la comunicazione dell’esito entro tre mesi dalla data dell’avviso di ricevimento).

! Per le suddette ragioni, è quindi consigliabile

a) l’adozione di piattaforme informatiche dedicate, anche gestite da terze parti indipendenti e specializzate, che consentano un puntuale monitoraggio delle segnalazioni, delle tempistiche di risposta associate e un’elevata protezione della privacy dei segnalanti;

b) la predisposizione di policies e procedure specifiche per la gestione conforme anche delle segnalazioni pervenute mediante canali distinti da quello scritto e informatizzato (sistemi di messaggistica vocale, linea telefonica o colloqui diretti).

 

Punto terzo. Applicazione di misure di data protection e cyber security

Ulteriore profilo di estrema delicatezza ed importanza è rivestito dalla tutela dei dati personali che confluiscono nel canale di segnalazione interno in tutte le fasi della procedura, dall’acquisizione delle informazioni sino, all’esito del loro vaglio e del responso definitivo, alla conservazione delle stesse. A tal riguardo, gli specifici adempimenti cui le imprese private sono tenute per adeguarsi alla normativa sono (artt. 13 e 14 Decreto), oltre alla generale osservanza delle disposizioni di cui al Reg. UE n. 2016/679 e al decreto legislativo n. 51 del 2018 in materia di protezione di dati personali:

- la conservazione della documentazione relativa alle segnalazioni soltanto per il tempo necessario al trattamento delle informazioni acquisite e, comunque, non oltre cinque anni dalla data della comunicazione dell’esito finale della procedura;

- lo svolgimento di un’attività di analisi dei rischi e di valutazione di impatto (DPIA) relativa al trattamento dei dati personali ai fini della gestione delle segnalazioni.

! Sotto tale aspetto, si segnala che potrebbe essere utile per i datori di lavoro formulare un’informativa privacy ad hoc da consegnare a fronte di una segnalazione, che contenga informazioni in merito al trattamento dei dati del segnalante e di tutte le persone coinvolte nel processo.

 

Punto quarto. Informazione e sensibilizzazione.

Si evidenzia, infine, che a cornice dell’obbligo di implementazione del sistema di segnalazione interno, il Decreto de quo ha posto l’accento sulla necessità di sensibilizzare i dipendenti e i terzi interessati sulle finalità di utilizzo del canale, attraverso politiche di whistleblowing che prospettino in modo semplice e chiaro le modalità di accesso al medesimo. A tal fine, le imprese sono tenute a pubblicare la procedura di whistleblowing in un’apposita sezione del sito web ovvero nella bacheca aziendale, rendendosi disponibili a consegnare il documento ai destinatari in forma cartacea nonché spedendone copia a mezzo e-mail.

! Ai fini di una più ampia sensibilizzazione, è consigliabile predisporre un piano formativo ad hoc per il personale (altresì coinvolgendo soggetti esterni quali fornitori, consulenti), che includa sessioni divulgative, telematiche ovvero in aula, sui plurimi aspetti connessi alla procedura di segnalazione; inclusa una panoramica sulle specifiche garanzie che assistono i segnalanti.

 

La normativa rafforza ulteriormente l’importanza che il legislatore, in primis europeo, attribuisce alla compliance nell’esercizio dell’attività di impresa. Diffondere la sensibilità alla compliance nell’organizzazione dell’impresa significa saper cogliere l’opportunità anche di un reale vantaggio competitivo sul mercato. In quest’ottica, il Modello 231 rappresenta, come conferma anche il D.Lgs. n.  24/2023, il solido fondamento su cui poggiare il processo di cambiamento.