Procedura Whistleblowing, come orientarsi in 10 step
31 Ottobre 2023 in Audit & Compliance
Il D.lgs. n. 24/2023, decreto di recepimento della Direttiva Europea n.1937/2019 sul whistleblowing, ha introdotto numerosi nuovi obblighi per gli enti pubblici e le organizzazioni private, tra cui, in particolare, l’istituzione di canali interni che permettano ai whistleblower (termine con il quale si identificano tutti i soggetti che segnalano alle autorità possibili violazioni della normativa nazionale o europea che costituiscono lesioni dell’interesse pubblico o dell’integrità dell’organizzazione presso cui presta il proprio lavoro) di segnalare potenziali illeciti nella massima riservatezza.
L’obiettivo principale è quello di favorire l’emersione degli illeciti compiuti sul posto di lavoro nel rispetto della riservatezza del segnalante, secondo uno standard europeo comune e condiviso, oltre che di evitare che i segnalatori siano esposti a pericolosi fenomeni ritorsivi.
I termini previsti dalla normativa per adempiere ai nuovi obblighi sono piuttosto stringenti: vediamo insieme, dunque, quali sono gli step e gli accorgimenti essenziali per poter istituire un sistema di gestione delle segnalazioni coerente con la normativa vigente.
Procedura whistleblowing: le aziende destinatarie dei nuovi obblighi
Come anticipato, la nuova disciplina sul whistleblowing richiede a determinate categorie di enti e imprese di istituire canali interni di segnalazione conformi alle garanzie standard di tutela indicate nel medesimo decreto, a partire dal 15 luglio 2023.
Nel settore privato, gli adempimenti saranno riservati alle aziende che:
• hanno impiegato una media di almeno cinquanta lavoratori subordinati nell’ultimo anno;
• operano in settori c.d. sensibili, come il settore finanziario e della prevenzione del riciclaggio e del terrorismo;
• sono soggetti all’obbligo di adozione dei modelli di organizzazione e gestione di cui al d.lgs. 231/2001.
Per le aziende del settore privato che hanno impiegato, nell’ultimo anno, una media di oltre 250 dipendenti, l’obbligo di istituzione del canale di segnalazione interna decorre a partire dal 17 dicembre 2023.
Le attività essenziali della procedura di whistleblowing
L’implementazione di un adeguato canale di segnalazione interna richiede lo svolgimento di una serie di attività di natura trasversale, in quanto la normativa sul whistleblowing si interseca fortemente con la normativa sulla responsabilità penale degli enti e con la normativa sulla protezione dei dati personali.
Sono 4, in particolare, le attività essenziali che l’ente, sia privato che pubblico, deve porre in essere:
- l’attivazione o l’adeguamento del canale di segnalazione interna;
- l’adozione di procedure e linee guida interne chiare, che definiscano le modalità di funzionamento del canale istituito (e che informino sia sul canale interno dell’organizzazione, che su quello esterno di ANAC);
- l’adeguamento del Modello 231, ove adottato, per gli aspetti relativi alla disciplina delle segnalazioni di illeciti e del sistema disciplinare connesso;
- l’adempimento degli obblighi privacy previsti dal GDPR e dal Codice Privacy, tra cui l’adeguamento delle informative da rendere ai dipendenti e lo svolgimento della valutazione d’impatto di cui all’art. 35 GDPR.
I 10 step per l’adeguamento alla procedura whistleblowing
È possibile, dunque, riassumere secondo i seguenti step le attività che enti e imprese devono porre in essere ai fini dell’istituzione di una procedura whistleblowing che rispecchi gli standard normativi richiesti dal nuovo d.lgs, sia sotto il profilo soggettivo che oggettivo:
1. Svolgimento di un assessment
Serve per individuare se si rientra nell’ambito di applicazione della normativa sul whistleblowing, per analizzare eventuali sistemi di segnalazione interna già adottati e determinare le tempistiche di adeguamento concesse dalla nuova normativa;
2. Definizione dei canali di segnalazione
È importante definire quali saranno i canali che l’organizzazione intende implementare per consentire la segnalazione in forma scritta o orale (es. la piattaforma informatica per la segnalazione in forma scritta, una linea telefonica dedicata o un sistema di messaggistica vocale, ovvero l’incontro diretto per la segnalazione in forma orale);
3. Svolgimento di una valutazione di impatto
La valutazione è necessaria per adempiere agli obblighi previsti dalla normativa in materia di protezione dei dati personali (o DPIA);
4. Attivazione dei canali di segnalazione interna
Ove non già presenti, o adeguamento dei canali di segnalazione ai nuovi standard, ove già implementati, in linea con i principi di privacy by design e privacy by default di cui all’art. 25 GDPR;
5. Individuazione di un soggetto autonomo e specificamente formato
Serve ad affidare la gestione del canale di segnalazione interna. È opportuno evidenziare come possa trattarsi, alternativamente, di una persona e/o di un ufficio interno all’azienda, specificamente formato a tal scopo, o di un soggetto esterno all’azienda, purché dotato dei requisiti di autonomia e competenza individuati all’art. 4 del decreto.
6. Redazione della Procedura Whistleblowing
Deve essere definita la procedura di gestione della segnalazione, devono cioè essere messe a disposizione informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni esterne (art. 5 lett. e d.lgs.24/2023).
7. Divulgazione e pubblicazione della Procedura Whistleblowing
Le informazioni sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne o quelle esterne devono essere esposte e rese facilmente visibili nei luoghi di lavoro, nonché accessibili alle persone che pur non frequentando i luoghi di lavoro intrattengono un rapporto giuridico con l’organizzazione.
8. Aggiornamento dei flussi informativi
Devono essere aggiornati tutti i documenti aziendali che disciplinano i flussi informativi in caso di violazioni (es. Codice Etico o Modello organizzativo e di gestione ex d.lgs. 231/2001, ove presente). Il Modello 231 dovrà prevedere altresì il sistema disciplinare in caso di violazione delle tutele di cui al d.lgs.24/2023;
9. Identificazione e nomina dei soggetti coinvolti nel trattamento dei dati personali
Sarà essenziale che eventuali fornitori esterni siano nominati quali “responsabili del trattamento” o che, nel caso in cui i canali di segnalazione siano condivisi con altri enti, sia redatto un accordo di contitolarità ai sensi dell’art. 26 GDPR;
10. Percorsi formativi adeguati
È bene prevedere percorsi di sensibilizzazione per tutto il personale circa il corretto utilizzo del canale di segnalazione oltre a percorsi formativi mirati e dedicati al personale che sarà impegnato nella gestione della segnalazione (anche in tema di corretta gestione dei dati personali).