D.lgs. 24/2023: i nuovi obblighi per le imprese in materia di whistleblowing

Il D.lgs. 24/2023, attuativo della Direttiva UE 2019/1937, rappresenta un importante passo avanti nella disciplina del whistleblowing in Italia, introducendo nuovi obblighi per le imprese volti a promuovere la segnalazione di fenomeni illeciti e a tutelare coloro che effettuano tali segnalazioni dal rischio di ritorsioni (quali, ad esempio, licenziamenti o demansionamenti).

Per consentire l’adeguamento alla nuova disciplina, il decreto ha fissato due importanti scadenze:

• 15 Luglio 2023> scadenza per aziende private con un numero di lavoratori superiore a 249 e gli enti del settore pubblico;
• 17 Dicembre 2023> scadenza per aziende private che impiegano un numero di lavoratori compreso tra i 50 e i 249.

In vista dell’approssimarsi del termine del 17 dicembre, è dunque cruciale per le aziende dotarsi di strumenti e procedure interne che consentano una gestione efficace e sicura delle segnalazioni, conformemente alle nuove previsioni normative e al generale principio di riservatezza.

La Disciplina

Il 15 marzo 2023 è entrato in vigore il D. Lgs. n. 24 del 2023, – che recepisce ed attua in Italia la Direttiva del Parlamento Europeo e del Consiglio del 26 novembre 2019, riguardante la “protezione delle persone che segnalano violazioni del diritto dell’Unione” – il quale istituisce un nuovo e più complesso sistema di segnalazione delle violazioni (il c.d. Whistleblowing), prevedendo una disciplina uniforme per gli enti del settore pubblico e per quelli del settore privato.

La normativa richiamata, che mira principalmente ad introdurre una comune disciplina di protezione per i whistleblowers all’interno dell’Unione Europea, presenta diversi profili di profonda innovazione rispetto al passato, imponendo agli enti pubblici e a quelli privati una serie di adempimenti sia di carattere normativo, sia di carattere tecnico-organizzativo. In particolare, il D. Lgs n. 24 del 2023 amplia sensibilmente l’ambito oggettivo e soggettivo della disciplina previgente in materia di segnalazioni, andando a modificare radicalmente quelle che erano le previsioni contenute nella Legge n. 179 del 2017 (che, conseguentemente, viene abrogata). Gli illeciti penali, rilevanti ai fini della normativa in materia di responsabilità degli enti, costituiscono infatti solo una parte dell’oggetto delle violazioni suscettibili di segnalazione; nella nuova normativa, le segnalazioni sono state invero estese anche alle violazioni della normativa europea nei settori espressamente indicati (tra questi: appalti pubblici, servizi finanziari, sicurezza dei prodotti e dei trasporti, ambiente, alimenti, salute pubblica, privacy, sicurezza della rete e dei sistemi informatici, concorrenza) oltre che alla commissione di illeciti amministrativi, civili, contabili e disciplinari, realizzati nel contesto aziendale.

Le novità

Tra le principali novità, disciplinate nel testo normativo richiamato, si evidenziano:

•  l’istituzione di tre canali di segnalazione: i) il canale interno; ii) il canale esterno all’ANAC e iii) la divulgazione pubblica mediante organi di stampa e/o mezzi elettronici in grado di raggiungere un numero elevato di persone;
•  la previsione di stringenti obblighi di riservatezza del segnalante, di trattamento dei dati personali, nonché di gestione e conservazione della segnalazione e della documentazione legata alla segnalazione, con un richiamo espresso alla normativa vigente in materia di privacy;
• l’introduzione di misure di protezione e di sostegno a tutela del segnalante (come, ad esempio, il divieto di ritorsione, protezione e sostegno di enti terzi, ecc.);
•  la previsione di sanzioni amministrative pecuniarie che l’ANAC (Autorità Nazionale Anticorruzione) potrà irrogare al trasgressore in caso di violazione delle disposizioni contenute nel decreto (come, ad esempio, l’omessa istituzione dei citati canali di segnalazione o la mancata adozione di procedure conformi al dettato normativo).

ll canale di segnalazione interno

Uno degli aspetti cardine del decreto è l’implementazione di canali di segnalazione interni che consentano ai whistleblower di effettuare la segnalazione in sicurezza.

A tal fine, i canali interni devono garantire la massima riservatezza dell’identità del segnalante, nonché di tutti gli altri soggetti coinvolti a vario titolo nella segnalazione, anche mediante il ricorso a strumenti di crittografia. Il tutto senza apportare penalità nelle tempistiche di gestione della segnalazione.

Ai sensi del D.lgs. 24/2023 il canale di segnalazione deve anche consentire al designato per la gestione delle segnalazioni di:

• avvisare il whistleblower del ricevimento della segnalazione, entro 7 giorni dalla data di ricezione della stessa;
• interloquire con il whistleblower, anche per richiedere ulteriori integrazioni;
• dare riscontro alla segnalazione entro 3 mesi dall’invio dell’avviso di ricevimento, o dalla scadenza del termine di 7 giorni di cui sopra.

In quest’ottica, il canale di segnalazione può agevolare la gestione interna della segnalazione e la sua istruttoria, permettendo anche a soggetti differenti dal gestore della piattaforma di visualizzare il contenuto della segnalazione (a titolo esemplificativo, il responsabile HR, il CISO, l’ODV, il RSPP, ognuno in base agli ambiti di competenza e alla tipologia di illecito segnalato).

Gli obblighi privacy

Il D.lgs. 24/2023 richiama gli obblighi di cui al GDPR.

Ne consegue che il personale chiamato ad operare sulla segnalazione, dovrà essere specificamente formato e designato ai sensi dell’art. 29 GDPR, e le procedure di gestione del canale dovranno essere adeguatamente formalizzate. Sulla piattaforma, poi, dovrà essere fornita un’informativa completa degli elementi di cui agli artt. 12 ss. GDPR.

Qualora il gestore del canale sia esterno, quest’ultimo dovrà essere designato Responsabile del Trattamento ai sensi dell’art. 28 GDPR.

Il trattamento dati inerente al canale di segnalazione, inoltre, dovrà essere oggetto di specifica Valutazione d’Impatto (DPIA) ai sensi dell’art. 35 GDPR.

Perplessità applicative

Nonostante sia trascorso un discreto lasso di tempo dall’entrata in vigore della disciplina in oggetto, permangono ancora molteplici dubbi circa la corretta  applicazione della stessa da parte dei soggetti destinatari:

• L’OdV o l’Internal auditor sono nel concreto i soggetti più adatti a ricevere le segnalazioni di whistleblowing?
• Cosa fare nel caso in cui il soggetto deputato a ricevere la segnalazione sia il destinatario della segnalazione?
• Quale è lo strumento (es. piattaforma, e-mail, sms) più adatto per effettuare la segnalazione e quando questo è effettivamente compliant ai dettami di legge (es. crittografia delle informazioni, trascrizione della segnalazione orale, consenso, ecc..)?
• Occorre prendere ulteriori iniziative nel caso esista già uno strumento di segnalazione interno o di gruppo?
• La disciplina del Whistleblowing come si concilia con la normativa della Privacy (privacy del segnalante, gestione delle informazioni da parte del responsabile del trattamento, ecc..)?
• Come si declina il procedimento di istruttoria a seguito dell’ammissibilità della segnalazione?
• Quando una segnalazione di Whistleblowing è ammissibile?
• Quali sono gli impatti della nuova disciplina sul Modello 231?

COME POSSIAMO SUPPORTARVI

• supporto nella corretta gestione delle segnalazioni e nella scelta dei relativi canali in linea con quanto stabilito dalla nuova disciplina;
• supporto nella redazione di specifiche policy whistleblowing;
• supporto nel coordinamento tra segnalazioni WB e flussi informativi (esplicitare punti di contatto e differenze) ;
• supporto nell’allineamento del sistema disciplinare interno rispetto alla nuova disciplina whistleblowing;
• supporto nelle attività di formazione verso i segnalanti;
• supporto sugli aspetti privacy e relativi adempimenti;
• supporto nella predisposizione di un piano investigativo che regolamenti le internal investigation, la tracciabilità, l’archiviazione e la conservazione della documentazione inerente alle segnalazioni.