WHISTLEBLOWING
Prossimi step per le imprese
Contesto di riferimento
Il 10 marzo 2023, l’Italia ha recepito la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, conosciuta come “direttiva whistleblowing”, con l’emanazione del decreto legislativo n. 24/2023. Il nuovo decreto armonizza la normativa italiana con quella europea e accorpa la disciplina sulla protezione dei segnalanti in un unico testo normativo ed introduce obblighi e sanzioni per il settore pubblico e per le imprese private, aggiornando la normativa sinora in vigore, tra cui il Decreto Legislativo 8 giugno 2001, n. 231.
Dotarsi di una piattaforma informatica di segnalazione sicura, che protegga la riservatezza dell’identità e i dati personali di chi denuncia condotte illecite, è il requisito imprescindibile per assicurare la conformità della propria organizzazione alla normativa.
Il decreto in oggetto, valido sia per le pubbliche amministrazioni che per le aziende, ha tuttavia un impatto immediato non soltanto sui sistemi di segnalazione di illeciti, che vanno adeguati rapidamente per non incorrere in sanzioni, ma anche su importanti tematiche correlate: la protezione dei dati personali, la sicurezza informatica, e più in generale la governance e il monitoraggio dei processi interni di conformità
Il canale di segnalazione interna
La novità principale del D.lgs. 24/2023 è l’estensione dell’ambito di applicazione dell’obbligo di attivare canali di segnalazione interna, finora riservato ai soli soggetti tenuti all’adozione dei modelli di organizzazione ex D.lgs. 231/2001.
Di seguito riportiamo le attività che le società interessate devono porre in essere:
- Consultare le RSA/RSU o le organizzazioni sindacali comparativamente più rappresentative sul piano nazionale prima di attivare il canale di segnalazione
- Attivare un canale di segnalazione interna che garantisca la riservatezza dell’identità del segnalante nonché del contenuto della segnalazione e della relativa documentazione (le segnalazioni potranno essere effettuate in forma scritta, tramite linee telefoniche o altri sistemi di messaggistica vocale registrati o non registrati o oralmente nel corso di un incontro con il personale addetto);
- Individuare e nominare il soggetto interno incaricato della gestione del canale di segnalazione (il soggetto incaricato può essere una persona o un ufficio interno autonomo, in entrambi i casi con personale specificamente formato per la gestione del canale di segnalazione, o anche un soggetto esterno);
- Formare le persone interne incaricate di gestire il canale di segnalazione;
- Redigere una procedura per la gestione del canale di segnalazione;
- Elaborare e divulgare una procedura per tutti i potenziali segnalanti sui presupposti e le modalità di attivazione del canale di segnalazione;
- Integrare i codici disciplinari (l’attivazione del canale di segnalazione può determinare nuove fattispecie di condotte disciplinarmente rilevanti poste in essere sia da parte della persona coinvolta – in caso di segnalazione fondata – che da parte del segnalante – in caso di segnalazione falsa, calunniosa o diffamatoria o comunque in caso di abuso del diritto – o di qualsiasi altro dipendente che violi gli obblighi di riservatezza previsti).
A chi si rivolge?
L’istituzione del canale di segnalazione è obbligatoria per le imprese che:
Hanno impiegato in media nell’ultimo anno almeno 50 dipendenti con contratti di lavoro a tempo indeterminato o determinato.
Si occupano di servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente, indipendentemente dal numero dei dipendenti;
Adottano modelli di organizzazione e gestione ex D.lgs. 231/2001, anche in questo caso, indipendentemente dal numero dei dipendenti.
Quali sono le tempistiche per l'adozione?
Le aziende italiane pubbliche e private con più di 250dipendenti sono chiamate a implementare un sistema di segnalazione di illeciti interno entro il 15 luglio.
Le aziende con più di 50 dipendenti hanno tempo fino al 17 dicembre per adeguarsi ai nuovi requisiti.
La protezione dei segnalanti è al centro della Direttiva
Il sistema di segnalazione deve essere facilmente accessibile
Tutti (non solo i dipendenti) devono sapere come e dove presentare una segnalazione. L’invio delle segnalazioni whistleblowing dovrebbe essere il più semplice possibile, indipendentemente dal canale di segnalazione scelto. Alcuni buoni esempi sono un canale whistleblowing online con un proprio sito Web, compatibile con tutti i dispositivi e raggiungibile da tutti, nonché una hotline telefonica 24 ore su 24.
Il sistema di segnalazione deve essere sicuro
Garantire la riservatezza dell’identità e la sicurezza delle informazioni
Indipendentemente dal canale di segnalazione utilizzato, l’identità del segnalante deve essere protetta.
La Direttiva UE sul whistleblowing stabilisce che i canali di segnalazione debbano essere sicuri e riservati. Ciò significa che solo persone designate e autorizzate possono avere accesso alle informazioni contenute nelle segnalazioni e l’anonimato del segnalante deve essere garantito durante tutto il processo. Per mantenere la riservatezza, dovrebbero essere garantite segnalazioni anonime. Ciò consente una comunicazione bidirezionale con il whistleblower anonimo.
Il sistema di segnalazione deve essere conforme al GDPR
Il sistema di segnalazione deve essere conforme al GDPR. Ciò include anche tutte le informazioni contenute nella segnalazione
Il sistema di segnalazione deve essere efficiente e rispettare le scadenze
È importante che il sistema di segnalazione sia facile da navigare per le persone che riceveranno e seguiranno le segnalazioni. La direttiva UE sul whistleblowing prevede che il segnalante riceva una ricevuta di conferma entro 7 giorni e un feedback sul caso e sulle possibili misure entro tre mesi.
Come accompagniamo i nostri Clienti verso la compliance
Possiamo assistervi nella corretta implementazione del vostro sistema di whistleblowing, grazie ad un team multidisciplinare composto da professionisti esperti in compliance, diritto societario, diritto penale, diritto del lavoro, data protection e cyber security.