info@myr.it
0363.335687

Il Whistleblowing secondo la nuova Direttiva UE 2019/1937

Il Whistleblowing secondo la nuova Direttiva UE 2019/1937

Il Whistleblowing è un istituto di derivazione anglosassone attraverso il quale i dipendenti di un ente pubblico o privato possono segnalare potenziali violazioni, illeciti o frodi di cui siano stati testimoni.

I segnalanti svolgono un importante ruolo nella denuncia e nella prevenzione di violazioni di norme e nella salvaguardia del benessere della società. Per questo motivo, e con il fine di incentivare l’utilizzo di questo strumento, il legislatore europeo, attraverso la Direttiva UE 2019/1937, ha imposto agli Stati membri di prevedere un obbligo per i soggetti pubblici e privati di dotarsi di canali di segnalazione efficaci, riservati e sicuri e di proteggere i whistleblower da eventuali ritorsioni.

La nuova normativa sul Whistleblowing in Italia

L’Italia ha recepito la Direttiva con il D. Lgs. 24/2023 di “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” (” Decreto Whistleblowing “), entrato in vigore il 30 marzo 2023.

Emanato allo scopo di rafforzare la normativa italiana sulla protezione dei segnalanti e offrire loro maggiori tutele, il Decreto Whistleblowing non circoscrive più l’applicazione dell’istituto ai soli enti dotati di un modello organizzativo e alle sole segnalazioni relative ad illeciti o violazioni rilevanti per la responsabilità ex Decreto 231, ma estende l’obbligo di attivare un sistema per segnalare violazioni del diritto nazionale e dell’Unione Europea (oltre che agli enti pubblici) a tutti gli enti privati che, nell’ultimo anno, abbiano impiegato la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, a prescindere dal settore di appartenenza; o che rientrano nell’ambito di applicazione degli atti dell’Unione Europea in materia di servizi, prodotti e mercati finanziari, prevenzione del riciclaggio e finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente, a prescindere dal numero dei dipendenti impiegati; oltre a quelli che adottano modelli di organizzazione, gestione e controllo ai sensi del decreto legislativo 231/2001 (anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati).

Quali sono gli elementi innovativi del D. Lgs. 24/2023

Gli elementi innovativi del D. Lgs. 24/2023, oltre all’estensione dei destinatari degli obblighi, riguardano l’estensione delle condotte illecite potenzialmente ritenute meritevoli di segnalazione, la previsione, oltre a un canale di segnalazione interno agli enti anche di un canale di segnalazione esterno affidato all’autorità anticorruzione (ANAC), e il rafforzamento della tutela dei segnalanti con norme e garanzie per evitare che siano scoraggiati dal segnalare per paura di ritorsioni o conseguenze negative.

Il D. Lgs. 24/2023 mira a proteggere i whistleblowers sia dalle ritorsioni dirette – quelle rivolte direttamente a loro, come ad esempio il licenziamento, il mobbing, la calunnia, ecc. -, sia dalle ritorsioni indirette – quelle destinate a persone fisiche o giuridiche diverse dai segnalanti, come ad esempio le persone operanti all’interno del medesimo contesto lavorativo che li assistono nel processo di segnalazione (i cosiddetti “facilitatori”), quelle contro i loro colleghi di lavoro o i loro parenti, quelle verso enti di cui il whistleblower è proprietario, per cui lavora o a cui è altrimenti connesso in un contesto lavorativo, come l’annullamento della fornitura di servizi, l’inserimento in una lista nera o il boicottaggio.

La tutela dei segnalanti secondo la nuova normativa

La norma non impone che le segnalazioni siano anonime, ma richiede che il sistema di segnalazione interno implementato protegga la riservatezza del segnalante, del contenuto della segnalazione e della relativa documentazione, anche tramite il ricorso a strumenti di crittografia.

Le persone designate dagli enti a ricevere o a dare seguito alle segnalazioni, nella misura in cui sono espressamente autorizzate dagli enti a trattare tali dati personali, potranno conoscere l’identità del whistleblower senza bisogno di un espresso consenso di quest’ultima. Viceversa, l’identità della persona segnalante e qualsiasi altra informazione da cui possa evincersi tale identità (direttamente o indirettamente) potranno essere rivelate a persone diverse da quelle designate dagli enti a ricevere o a dare seguito alle segnalazioni solo dietro consenso espresso del whistleblower (debitamente informatone).

Anche l’identità delle persone coinvolte e delle persone menzionate nella segnalazione dovrà essere tutelata fino alla conclusione dei procedimenti avviati in ragione della segnalazione, nel rispetto delle garanzie previste per il segnalante.

 

Ruoli e Responsabilità secondo il Decreto Legislativo 24/2023

In termini di trattamento dei dati il Decreto Legislativo 24/2023 individua in modo chiaro ruoli e responsabilità per i trattamenti connessi alla gestione delle segnalazioni: l’art. 13 infatti chiarisce che i trattamenti di dati personali relativi al ricevimento e gestione delle segnalazioni sono svolti dagli enti destinatari della normativa in qualità di Titolari.

Lo stesso art. 13 prevede che nel disciplinare il proprio modello di ricevimento e gestione delle segnalazioni interne, gli enti pubblici e privati destinatari delle nuove norme devono condurre una DPIA volta ad analizzare i rischi a carico di tutte le figure coinvolte (whistleblowers, persone segnalate, terzi) e adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato alla probabilità e alla gravità dei rischi individuati.

La presenza di canali di segnalazione interni ed esterni

Infine, gli enti tenuti a creare canali di segnalazione devono disciplinare il rapporto con eventuali fornitori di servizi che trattano dati personali per loro conto (quali, ad esempio, fornitori della piattaforma informatica adottata come canale per la ricezione e gestione delle segnalazioni) e i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, devono essere cancellati immediatamente.

La conservazione delle segnalazioni interne ed esterne e della relativa documentazione può protrarsi per il tempo necessario alla loro definizione e, comunque, per non più di cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza e del principio di limitazione della conservazione definito dal GDPR. Sarà quindi necessario valutare l’idoneità degli eventuali canali precedentemente attivati, esaminando l’opportunità di utilizzare piattaforme tecnologiche, e integrare o predisporre le procedure di gestione delle segnalazioni con i requisiti prescritti dal Decreto Whistleblowing.

Scadenze e obblighi di adeguamento

Le scadenze per l’attuazione delle norme di cui al D. Lgs. 24/2023 sono diversificate sulla base della dimensione aziendale: per gli enti con più di 249 dipendenti la scadenza era fissata per il 15 luglio u.s.; tutti gli altri enti devono adeguarsi entro il 17 dicembre 2023.

È importante sottolineare che con il Decreto Whistleblowing l’implementazione di un sistema di segnalazione non rappresenta più solo un elemento di etica aziendale, ma costituisce un vero e proprio obbligo giuridico che, se non adempiuto, può essere sanzionato.

In caso di violazione, infatti, l’ANAC potrà applicare al responsabile sanzioni amministrative pecuniarie fino a 50.000 euro se accerta, tra l’altro, che:

  • sono state commesse ritorsioni;
  • la segnalazione è stata ostacolata o si è tentato di ostacolarla;
  • è stato violato l’obbligo di riservatezza;
  • non sono stati istituiti canali di segnalazione;
  • non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni o le procedure adottate non sono conformi al Decreto;
  • non è stata svolta l’attività di verifica e di analisi delle segnalazioni ricevute.

Leave a Reply