Whistleblowing: novità e nuovi obblighi
Il countdown è terminato: dal 17 Dicembre è obbligatorio conformarsi alla nuova regolamentazione. L’obbligo vige per chi abbia impiegato nell’ultimo anno la media di almeno 50 lavoratori (a tempo det. o indet.), oppure non abbia impiegato nell’ultimo anno la media di almeno 50 lavoratori, ma abbia un MOG 231, oppure, ancora, non abbia impiegato nell’ultimo anno la media di almeno 50 lavoratori, ma operi nel settore dei servizi finanziari, della prevenzione del riciclaggio o della sicurezza dei trasporti.
Di cosa si tratta?
Con il decreto legislativo 10 marzo 2023, n. 24 è stata recepita nell’ordinamento italiano la direttiva UE 2019/1937 riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione” (cd. disciplina whistleblowing).
Qual è l’obiettivo? Stabilire norme minime comuni per garantire un elevato livello di protezione delle persone che segnalano violazioni del diritto dell’Unione, creando canali di comunicazione sicuri, sia all’interno di un’organizzazione, sia all’esterno. In casi specifici, è prevista la possibilità di effettuare la segnalazione mediante la divulgazione pubblica attraverso i media, per contrastare e prevenire i fenomeni illeciti nelle organizzazioni pubbliche e private, incentivando l’emersione di condotte pregiudizievoli – di cui il segnalante sia venuto a conoscenza nell’ambito del suo contesto lavorativo – in danno dell’ente di appartenenza e, di riflesso, per l’interesse pubblico collettivo.
Cosa si intende per “segnalazione”?
Si intendono le informazioni, compresi i fondati sospetti, su violazioni delle disposizioni normative nazionali e dell’Unione Europea che ledono l’interesse pubblico o l’integrità dell’Amministrazione Pubblica o dell’ente privato, di cui i soggetti segnalanti siano venuti a conoscenza in un contesto lavorativo pubblico o privato già commesse o non ancora commesse (ma che, sulla base di elementi concreti, potrebbero esserlo), nonché su condotte volte ad occultarle (es. occultamento o distruzione di prove).
Si tratta di un perimetro di applicazione ampio e non limitato a chi abbia un rapporto di lavoro non in senso stretto: ai consulenti, collaboratori, volontari, tirocinanti, azionisti degli stessi soggetti pubblici e privati ove assumano la forma societaria, e alle persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza. Le informazioni possono essere state acquisite durante il rapporto di lavoro, anche se questo risulta poi terminato, ma anche durante la selezione o in altre fasi precontrattuali.
Quali sono i canali di segnalazione?
- segnalazione attraverso un canale interno all’ente;
- segnalazione mediante un canale esterno all’ente, istituito e gestito dall’anac;
- divulgazione pubblica.
Ai sensi dell’art. 4 del decreto, gli enti pubblici e privati, rientranti nel perimetro di applicazione della disciplina sul whistleblowing, sono obbligati ad attivare un canale di segnalazione interno adeguato, che presenti i requisiti richiesti dalla normativa.
Requisiti, strumenti e soggetti destinatari
Bisogna garantire la riservatezza dell’identità del segnalante, del contenuto della segnalazione e della documentazione ad essa relativa.
La segnalazione può avere due forme: scritta (analogica o attraverso modalità informatiche) oppure orale, tramite linee telefoniche dedicate o sistemi di messaggistica vocale e, su richiesta del segnalante, anche attraverso un incontro diretto con il gestore della segnalazione, entro un periodo di tempo ragionevole.
Per l’impresa, è obbligatorio predisporre sia il canale scritto – analogico e/o informatico – sia quello orale, e di metterli entrambi a disposizione del segnalante.
L’alternativa per l’azienda riguarda solo la forma scritta: l’impresa potrà decidere se utilizzare lo strumento della piattaforma online oppure se optare per la posta cartacea (raccomandata).
L’art. 4, comma 2, del Decreto prevede che la gestione del canale di segnalazione interno possa essere affidata: a una persona fisica interna all’impresa o a un ufficio interno all’impresa, oppure a un soggetto esterno. Tali soggetti devono essere dotati di autonomia e specificamente e adeguatamente formati alla gestione delle segnalazioni.
Quindi cosa bisogna fare?
- Istituzione del canale
- Adozione delle procedure conformi
- Attività di verifica e analisi delle segnalazioni ricevute, obbligo di riservatezza,
- Aggiornamento del modello con l’indicazione dei canali di segnalazione interna adottati dall’ente ai sensi della nuova normativa whistleblowing,
- Sensibilizzazione – anche attraverso un’attività di formazione e informazione – dei soggetti interni ed esterni a vario titolo coinvolti circa le implicazioni etiche, legali e di riservatezza che scaturiscono dalle procedure di segnalazione
- Predisposizione di un’informativa: in ordine all’utilizzo del canale interno e di quello esterno gestito da anac, con particolare riguardo ai presupposti per effettuare le segnalazioni attraverso tali canali, ai soggetti competenti cui è affidata la gestione delle segnalazioni interne, nonché alle procedure adottate, a tal fine, dall’ente. In particolare, tali informazioni devono essere esposte, ad esempio, nei luoghi di lavoro in un punto visibile, accessibile a tutte le persone (ivi comprese quelle che, pur non essendo presente fisicamente nei luoghi di lavoro, sono legittimate a effettuare segnalazioni di whistleblowing) nonché in una sezione apposita del sito web istituzionale dell’ente e, laddove implementata, della piattaforma informatica.
I rischi e i passi successivi
Il rischio per chi non si conformi alla normativa è quello di essere sottoposto a importanti sanzioni amministrative pecuniarie, che possono andare da € 10.000 fino a € 50.000, a seconda della violazione.
Una volta definiti tutti gli step del processo di segnalazione (scritto e orale), valutati i rischi e messo in atto il trattamento, per essere realmente conformi occorre eseguire a distanza un possibile audit sulla stessa conformità del processo e sulle misure messe in atto.
Come ALTEN può aiutarti?
La “special offer” della Technical Direction di ALTEN Italia include una practice dedicata alle tematiche di Compliance & Cybersecurity: la Practice vanta una serie di servizi di consulenza direzionale a supporto della Data Protection e della gestione della sicurezza delle informazioni, nonché servizi e soluzioni per la Cybersecurity:
- Regulations & Standards (GDPR e normativa cogente in materia di privacy, ISO/IEC 27001, ISO/IEC 270017, ISO/IEC 27701, ISO/IEC 27018, ISO 22301, …)
- Assessment e Process (Assessment, individuazione e formalizzazione dei processi organizzativi, Certificazioni, Audit e attività di monitoraggio per il miglioramento continuo)
- Training (formazione in materia di data protection, attività di sensibilizzazione e awarness)
- Cyber Security (Strategy, Management & Compliance, V-SOC)
- Security & Compliance Solutions (Threat Detection and Response, Endpoint Protection, Secure Code Review, …)
Nello specifico, il personale specialistico di ALTEN Italia accompagna il cliente verso la conformità al GDPR e, attingendo alla sua vasta esperienza, ricopre il ruolo cruciale di DPO per le aziende a livello professionale. L’obiettivo è fornire una figura che sostenga il titolare, lo supporti ed esegua i controlli necessari per verificare l’adeguatezza dei trattamenti alla normativa vigente.
Competenza ed esperienza
Siamo un team di professionisti altamente qualificati, con un’ampia esperienza nel settore della consulenza GDPR, privacy e sicurezza delle informazioni.
Consulenza personalizzata e qualificata
Ti offriamo un servizio di consulenza aziendale per la privacy su misura, guardiamo alle esigenze specifiche e uniche dell’azienda in modo efficace ed innovativo.
Siamo disponibili a rispondere alle domande e ai dubbi: la fiducia del cliente e la sua tranquillità e sicurezza nella gestione delle conformità normative, per prevenire eventuali sanzioni, sono le nostre priorità.