Cos’è il whistleblowing, quando scatta l’obbligo e cosa devono fare le aziende italiane per adeguarsi
- Il Whistleblowing è la segnalazione spontanea, da parte di un individuo (detto "whistleblower"), di un illecito, una violazione o un’irregolarità commessi all’interno dell’azienda o dell’organizzazione alla quale esso è legato da un rapporto di lavoro o, più in generale, di collaborazione a vario titolo.
- Il nuovo obbligo normativo prevede che le società italiane (private e pubbliche) si dotino di uno strumento interno per la ricezione e la gestione delle segnalazioni, e che predispongano adeguate misure a protezione dei whistleblower.
- L’obbligo è in vigore da:
- 15 luglio 2023 per tutte le aziende pubbliche e per quelle private con più di 250 dipendenti
- 17 dicembre 2023 per le aziende private con un numero di dipendenti compreso fra 50 e 249 - Il mancato adeguamento comporta sanzioni da parte di ANAC dai 10.000 ai 50.000 euro.
Whistleblowing: quali sono le aziende coinvolte in Italia?
Le aziende sono tenute ad allinearsi al decreto legislativo 24/2023 se rientrano fra queste casistiche:
- enti del settore pubblico
- soggetti del settore privato che, nell’ultimo anno, hanno impiegato almeno 50 lavoratori subordinati
- soggetti del settore privato che rientrano fra quelli indicati come “rilevanti” nell’ambito di applicazione delle normative europee indicate dalla direttiva (UE) 2019/1937 (indipendentemente dal numero di lavoratori impiegati)
- soggetti del settore privato che adottano modelli di organizzazione, gestione e controllo ai sensi del decreto legislativo 231/2001 (indipendentemente dal numero di lavoratori impiegati).
Whistleblowing: cosa è tenuto a fare il datore di lavoro?
La procedura da seguire per allinearsi al decreto è la seguente:
- Implementare adeguati canali di segnalazione interni che consentano a dipendenti, collaboratori e altri soggetti coinvolti di segnalare violazioni o comportamenti irregolari in maniera riservata. Questi canali devono essere facilmente accessibili e utilizzabili e garantire la riservatezza delle informazioni. Le segnalazioni sono consentite sia in forma scritta che orale.
- Individuare il gestore delle segnalazioni che può essere una persona o ufficio interno adeguatamente formato, o un soggetto esterno.
- Adottare politiche e procedure interne per la gestione delle segnalazioni, in particolare: definire modalità e tempi di risposta, responsabilità delle persona coinvolte, misure di protezione del segnalante e predisporre la necessaria documentazione. Nella messa a punto di queste procedure, enti e imprese sono tenute a condurre una Valutazione d’impatto (DPIA) per l’analisi dei rischi a carico di tutte le figure coinvolte in una segnalazione. Dovranno essere definite ed adottate misure tecniche e organizzative adeguate a garantire la sicurezza del trattamento dei dati personali.
- Informare dipendenti e collaboratori dei canali di segnalazione disponibili, delle protezioni garantite e dell’importanza del whistleblowing in termini di trasparenza e integrità aziendale.
- Garantire la riservatezza dell’identità del whistleblower e dell’oggetto della segnalazione, tutelando inoltre il segnalante da ritorsioni o discriminazioni (quali ad esempio licenziamento, trasferimento, sospensione, mancate promozioni o retrocessione, modifica delle mansioni o degli orari di lavoro, mancato rinnovo di contratti a tempo determinato).
- Collaborare con le autorità competenti (ANAC e Autorità Garante per la Protezione dei Dati Personali) fornendo informazioni e adempiendo ai requisiti di reporting nel caso di indagini conseguenti alla segnalazione di un illecito.
Ricezione e gestiona della segnalazione: la procedura da seguire
Il decreto stabilisce anche la procedura da rispettare per il recepimento e la gestione delle segnalazioni, in particolare:
- entro 7 giorni dalla ricezione di una segnalazione, l’impresa ricevente deve dare avviso di avvenuto ricevimento al whistleblower.
- entro 3 mesi dalla segnalazione di avvenuto ricevimento, dare riscontro sulla gestione della stessa.
- segnalazioni e documentazione relativa possono essere conservati per il tempo necessario alla gestione della segnalazione, non oltre i 5 anni dalla comunicazione dell’esito finale della pratica di segnalazione.
Tutela della privacy e dei dati personali nella ricezione e gestione delle segnalazioni
Il decreto legislativo 24/2023, che costituisce il recepimento della Direttiva UE 2019/1937, fa riferimento in particolar modo alla tutela dei whistleblower, nonché dei facilitatori e delle persone menzionate nelle segnalazioni, e intende offrire tutela e impedire eventuali ritorsioni a seguito di segnalazioni.
Tale protezione non sarà garantita attraverso il totale anonimato delle segnalazioni, ma attraverso l’attivazione di canali di segnalazione in grado di garantire la riservatezza (anche tramite l’utilizzo di strumenti di crittografia):
- dell’identità dei whistleblower
- dell’identità delle persone coinvolte nella segnalazione
- dell’identità di eventuali persone terze menzionate
- del contenuto della segnalazione (e relativa documentazione).
Infine, è importante notare che ogni organizzazione può avere esigenze specifiche in merito a questo argomento. Pertanto potrebbe essere necessario approfondire, anche attraverso una consulenza legale, il completo adeguamento alla regolamentazione italiana sul whistleblowing.