È ufficiale: nuovi obblighi in materia di whistleblowing | D.Lgs. 24/2023

Il Decreto Legislativo n. 24 del 10 marzo 2023 recante “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”, allarga in maniera significativa il perimetro di applicazione della disciplina in materia di whistleblowing (in precedenza limitato alle sole imprese dotate di modello organizzativo, ai sensi del D.lgs. 231/2001) ed introduce le c.d. “segnalazioni esterne”. L’ANAC, Autorità Nazionale Anticorruzione, diventa l’unico soggetto competente a valutare tali segnalazioni e l’eventuale applicazione delle sanzioni amministrative, sia per quanto riguarda il settore pubblico che per il settore privato.

Quali organizzazioni sono interessate? 

Come anticipato, la prima novità è rappresentata dalla previsione normativa che annovera, fra i soggetti obbligati ad applicare la disciplina, le imprese private che hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, oppure che rientrano nell’ambito di applicazione degli atti dell’Unione Europea, in materia soprattutto di protezione del risparmio, anche se nell’ultimo anno non hanno raggiunto questa media di lavoratori subordinati oppure che hanno adottato Modelli di organizzazione ai sensi del D.Lgs. n. 231/2001 e che hanno nominato un Organismo di Vigilanza (ODV). A questi si aggiungono i soggetti del settore pubblico ed altri soggetti previsti all’articolo 1 del D.Lgs. 24/23.

Cosa sono le segnalazioni esterne?

Il nuovo decreto prevede, oltre alla ordinaria facoltà, in capo ai segnalanti, di rivolgere segnalazioni attraverso canali interni all’organizzazione, anche la possibilità di rivolgere all’ANAC segnalazioni esterne. Si tratta di un canale di comunicazione indipendente e autonomo, ad ulteriore garanzia dell’efficacia della disciplina e di tutela del segnalante.

Quali obblighi sono previsti dalla norma?

• definire ex ante la governance del processo di gestione delle segnalazioni, individuando e valutando idonee soluzioni organizzative;
• affidare la gestione del canale di segnalazione a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione, ovvero ad un soggetto esterno, anch’esso autonomo e con personale specificamente formato;
• calendarizzare a cadenza periodica la formazione in materia di whistleblowing;
• definire le modalità operative in cui si articola il processo di gestione delle segnalazioni;
• implementare un canale interno per la ricezione e la gestione delle segnalazioni e prevedere adeguate modalità di tutela del segnalante;
• fra le modalità di tutela del segnalante, è necessario implementare misure tecniche che garantiscano, anche tramite il ricorso a strumenti di crittografia, la riservatezza della sua identità, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione;
• regolamentare il processo di analisi e gestione delle segnalazioni ricevute;
• predisporre policy e procedure specifiche in materia di whistleblowing, che consentano di gestire, in modo conforme, anche segnalazioni pervenute mediante canali distinti da quello scritto e informatizzato (linee telefoniche, sistemi di messaggistica vocale, incontri diretti);
• assicurarsi di garantire al segnalante la massima trasparenza di tutto processo.

Quali obblighi in materia di trasparenza?

1. fornire informazioni chiare e facilmente accessibili riguardo al canale, alle procedure e ai presupposti per effettuare le segnalazioni interne, nonché riguardo al canale, alle procedure e ai presupposti per effettuare segnalazioni esterne. Tali informazioni devono essere esposte e rese facilmente visibili nei luoghi di lavoro, nonché accessibili anche ai soggetti che, pur non frequentando i luoghi di lavoro, intrattengono un rapporto giuridico con l’organizzazione. In aggiunta, il decreto prevede che, qualora l’organizzazione pubblica o privata sia dotata di un proprio sito internet, tali informazioni vengano rese note in una sezione dedicata del suddetto sito;
2. comunicare al segnalante la presa in carico della segnalazione, mediante “avviso di ricevimento” da rilasciare entro sette giorni dalla ricezione;
3. fornire riscontro alla segnalazione entro tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;
4. assicurarsi che, alle informazioni fornite ai sensi della normativa in materia di whistleblowing, sia affianchino le informazioni in merito al trattamento dei dati del segnalante e di tutte le altre persone coinvolte nel processo (quali i soggetti segnalati e i c.d. “facilitatori”), ai sensi della normativa in materia di protezione dei dati personali.

Entro quando bisogna adeguarsi?

Le disposizioni del decreto legislativo 24/23 avranno effetto a decorrere dal 15 luglio 2023, con eccezione dei soggetti del settore privato che abbiano impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a 249, per i quali l'obbligo di istituzione del canale di segnalazione interna, ai sensi del nuovo decreto, avrà effetto a decorrere dal 17 dicembre 2023.

Quali sanzioni in caso di non conformità?

Il nuovo decreto prevede che, fermi restando gli altri profili di responsabilità, l’ANAC possa applicare sanzioni amministrative pecuniarie fino a euro 50.000, nei casi in cui accerti che:

• non sono stati istituiti canali di segnalazione,
• non sono state adottate procedure per l'effettuazione e la gestione delle segnalazioni,
• l'adozione di tali procedure non è conforme a quelle previste dal decreto,
• non è stata svolta l'attività di verifica e analisi delle segnalazioni ricevute,
• sono state commesse ritorsioni,
• la segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l'obbligo di riservatezza.

Come adeguarsi?

Per adeguarsi alle nuove norme in materia di whistleblowing e garantire la riservatezza dell’identità del segnalante, è essenziale dotarsi di piattaforme informatiche dedicate, anche gestite da terze parti indipendenti e specializzate. Labor Project suggerisci per i propri clienti “Parrot231 whistleblowing” è un tool che permette, all’impresa che lo adotta, di rafforzare il virtuoso processo di lotta agli illeciti e di conformarsi agli obblighi normativi.

Inoltre, come abbiamo visto, il nuovo decreto impone, alle organizzazioni, obblighi che impattano anche sulla protezione dei dati personali. Fra questi, si ricorda che tutti i trattamenti derivanti dalla ricezione e dalla gestione delle segnalazioni, devono essere effettuati nel rispetto dei principi generali del Regolamento europeo in materia di protezione dei dati personali e dei criteri di privacy by design e by default, fornendo idonee informazioni alle persone segnalanti e alle persone coinvolte, nonché adottando misure appropriate a tutela dei diritti e delle libertà degli interessati.

I nostri consulenti possono supportarti nell’assicurare la compliance della tua organizzazione alle norme in materia di protezione dei dati personali. Contattaci per ulteriori informazioni.