News

Business Digitali

Decreto whistleblowing: cosa impone?


La Direttiva sul whistleblowing, recepita in Italia, impone obblighi normativi per la protezione di coloro che segnalano violazione della normativa comunitaria e italiana all’interno dell’ente (pubblico o privato) presso cui lavorano. Fondamentale è l’istituzione di canali di segnalazione sicuri, vietando pesantemente le ritorsioni e discriminazioni con sanzioni esemplari. Questo articolo approfondisce una serie di indicazioni e best practice per guidare i destinatari della normativa nel percorso di compliance aziendale.

Indice

Cosa dice la Direttiva europea sul whisteblowing

La Direttiva (UE) 2019/1937 (‘Direttiva whistleblowing’), adottata dal Parlamento europeo e dal Consiglio il 23 ottobre 2019, ha introdotto degli standard comuni per la protezione dei whistleblower (segnalanti o informatori) all’interno dell’Unione europea.

L’obiettivo, quindi, è garantire che chi segnala violazioni della normativa comunitaria (e vedremo, anche nazionale) sia tutelato contro eventuali comportamenti ritorsivi, e che la tutela sia adeguata e omogenea in tutti gli Stati membri.

Vediamo quali sono i punti salienti della Direttiva.

Decreto whistleblowing

Ambito di applicazioneViolazioni del diritto dell’Unione in ambiti quali: servizi, prodotti e mercati
finanziari, sicurezza e conformità dei prodotti, tutela dell’ambiente, protezione
dei consumatori, tutela della vita privata e protezione dei dati personali.
Canali di segnalazioneInterni ed esterni (approfonditi in seguito); devono essere sicuri e garantire
l’anonimato del segnalante.
ProtezioneDivieto di misure discriminatorie e ritorsive nei confronti dei segnalanti.
SanzioniOgni Stato membro adotta sanzioni effettive, proporzionate e dissuasive nel
recepimento della Direttiva.

In Italia, la Direttiva whistleblowing è stata recepita nel 2023, con il decreto legislativo n. 24 del 10 marzo, che ha integrato e specificato il contenuto della Direttiva rispetto alla realtà italiana.

Cosa dice il decreto italiano sul whistleblowing

Il ‘decreto whistleblowing’ si applica alle violazioni sia del diritto dell’Unione (come previsto dalla Direttiva whistleblowing), sia del diritto italiano, di cui i segnalanti siano venuti a conoscenza in un contesto lavorativo, pubblico o privato.

In altre parole, secondo il decreto whistleblowing devono essere tutelati quei dipendenti o collaboratori che, essendo testimoni di violazioni all’interno dell’ente pubblico o privato presso cui lavorano, vogliano segnalarle.

L’idea di fondo è che la violazione della legge europea o italiana lede l’interesse e l’integrità della pubblica amministrazione o dell’azienda o ente privato in cui tale violazione si è verificata, e che porvi rimedio non può che giovare a tutti. Per questo le segnalazioni sono uno strumento prezioso per la salute dell’azienda (o dell’ente pubblico) e come tali vanno ampiamente incoraggiate.

A tal fine, è fondamentale passare per un’adeguata tutela delle persone segnalanti. In BSD Legal l’abbiamo visto spesso, nella nostra assistenza alle aziende nel percorso di conformità alla normativa whistleblowing: l’assenza di protezione dei dipendenti e collaboratori funge da grandissimo deterrente per paura di ritorsioni o trattamenti discriminatori.

Per questo motivo, il decreto whistleblowing prevede:

  • un obbligo, per i datori di lavoro, di istituire canali di segnalazione interni: questi canali interni devono garantire un trattamento riservato della persona segnalante e delle persone comunque coinvolte, nonché del contenuto delle segnalazioni e di eventuale documentazione a corredo;
  • un’individuazione precisa dei soggetti tutelati: nel settore privato, ad esempio parliamo di lavoratori subordinati, lavoratori autonomi / collaboratori, tirocinanti, consulenti, volontari, membri di organi amministrativi e di vigilanza, fornitori e chiunque abbia una relazione di collaborazione con l’ente.

Ebbene, come si attua un’adeguata tutela dei whistleblower?

Come applicare la normativa whistleblowing

Ecco un’indicazione di alcune delle best practice da adottare per assicurarsi di rispettare gli obblighi previsti dal decreto whistleblowing.

Canali di segnalazione interni

Devono essere accessibili, facili da usare. Le segnalazioni possono essere in forma scritta oppure orale: se si opta per la forma scritta, è preferibile adottare modalità informatiche (ad
esempio, attraverso delle piattaforme online apposite). Il ricorso a strumenti di crittografia per tutelare la riservatezza, ad esempio, è un requisito assolutamente fondamentale.

Designazione di un responsabile delle segnalazioni

Può essere interno, o un consulente esterno specializzato (purché dotati di autonomia e con personale specificamente formato per la gestione del canale di segnalazione). Essenziale rispettare le tempistiche indicate dal decreto whistleblowing per la gestione della segnalazione (entro 3 mesi dall’avviso di ricevimento della segnalazione, ad esempio, occorre dare riscontro al segnalante).

Riservatezza e tutela dei dati personali

Oltre al ricorso alla crittografia, già menzionato, è imprescindibile il rispetto della normativa in tema di protezione di dati personali (rappresentata in larga parte dal GDPR). Sarà pertanto
opportuno integrare l’informativa sul trattamento dei dati personali (o predisporne una ad hoc per le segnalazioni whistleblowing) e aggiornare la documentazione privacy (come, ad esempio, il registro delle attività di trattamento) indicando correttamente i nuovi flussi di dati, le finalità del relativo trattamento, l’eventuale nomina di ulteriori responsabili del trattamento (ad esempio, il provider di una piattaforma online da utilizzare per le segnalazioni);

Data retention

La politica di data retention è di un massimo di 5 anni alla data della comunicazione dell’esito finale della procedura di segnalazione.

Formazione dei dipendenti

La comunicazione e la formazione sull’argomento garantiscono la trasparenza, la conoscenza e la consapevolezza dei rispettivi diritti e doveri.

Monitorare i comportamenti ritorsivi

Insieme alla funzione HR, verificare che non si pongano in essere condotte discriminatorie e/o ritorsive nei confronti dei dipendenti (che potrebbero subirle in ragione di sospetti in
merito alla loro qualità di segnalanti).

A chi è rivolta la normativa whistleblowing

Il decreto whistleblowing, come detto, interessa diverse tipologie di organizzazioni, tra cui:

Settore pubblico:

  • amministrazioni pubbliche
  • autorità amministrative indipendenti di garanzia, vigilanza o regolazione
  • enti pubblici economici
  • organismi di diritto pubblico
  • concessionari di pubblico servizio
  • società a controllo pubblico
  • società in house, anche se quotate

Settore privato:

  • aziende che hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori dipendenti con contratti a tempo indeterminato o determinato
  • aziende che, indipendentemente dal numero di dipendenti, operano nel settore economico-finanziario, bancario, degli investimenti, assicurativo, ma anche farmaceutico
  • aziende che adottano modelli di organizzazione e gestione previsti dal d.lgs. 231/2001, a prescindere dal numero di dipendenti impiegati.

Come adeguarsi?

Alcuni consigli pratici per mettersi in regola con la normativa whistleblowing:

  • audit interno: con l’aiuto di un consulente, valutare i processi aziendali per identificare potenziali rischi e individuare il canale di segnalazione interna più adeguato alla realtà aziendale.
  • implementazione tecnologica: dotarsi di software specializzati per la gestione delle segnalazioni, previa verifica della conformità del software alla normativa sulla protezione dei dati personali (GDPR) e dell’adozione di idonee misure di sicurezza; sarà necessario effettuare una vera e propria Due diligence del fornitore tecnologico scelto dall’Azienda per avere certezza che siano rispettate alcune delle misure di sicurezza richieste dalla normativa (es. possibilità di totale anonimato, la non tracciabilità delle connessioni del segnalante alla procedura informatica, crittografia avanzata ecc…).
  • redazione di policy interne: definire regole chiare su segnalazioni e protezione dei whistleblower.
  • formazione continua del personale: programmare con il consulente una formazione periodica per accrescere la sensibilità aziendale e dei dipendenti rispetto alle tematiche del whistleblowing.
  • Valutazione di impatto Privacy: che è richiesta obbligatoriamente per legge. Per farla sarà necessario integrarla con i requisiti tecnici del software utilizzato e le procedure
    organizzative implementate.
  • GDPR check: la documentazione privacy adottata in azienda deve essere aggiornata alla luce dell’adeguamento alla normativa whistleblowing? Spoiler: sì. Definire insieme al consulente i nuovi flussi di dati, l’impatto che i nuovi flussi hanno sulla documentazione privacy (es. registro del trattamento e nomine degli incaricati), e procedere con il relativo aggiornamento. Comunicare le informative aggiornate agli interessati.

Cosa rischia chi non si adegua?

Ignorare la normativa può comportare gravi conseguenze, tra cui:

  • Sanzioni della legge di settore: da € 10.000 a € 50.000 per ogni inosservanza dell’azienda rispetto alla normativa sul whistleblowing.
  • Sanzioni Privacy: possono ovviamente cumularsi anche provvedimenti sanzionatori parametrati sulla normativa privacy europea (fino a 20 milioni di euro o fino al 4% del fatturato globale annuo totale dell’esercizio precedente, se superiore).
  • Contenziosi legali: possibilità di cause legali da parte di segnalanti non tutelati.

Conformità alla normativa whistleblowing

Adeguarsi alla normativa sul whistleblowing non è solo un obbligo di legge, ma anche un segno di responsabilità sociale e trasparenza aziendale. La conformità legale, infatti, sta diventando sempre di più parte integrante del valore e della solidità della reputazione di un’azienda.

In BSD Legal ci impegniamo quotidianamente per raggiungere questi obiettivi insieme ai nostri clienti. Se pensi che il tuo business sia soggetto alla normativa whistleblowing, valutiamo insieme cosa fare e come farlo. Puoi contattarci o fissare una call introduttiva per illustrarci le tue esigenze.

Articoli correlati

Direttiva NIS 2: cos'è, a chi si rivolge e entrata in vigore
DPO: è obbligatorio? Quali sono i suoi compiti?
Tutte le news