Forse non tutti sanno che Il decreto legislativo n. 24/2023, che introduce la nuova disciplina del whistleblowing in Italia, è entrato in vigore il 30 marzo 2023. Le nuove disposizioni avranno effetto a partire dal 15 luglio 2023, con una deroga per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati non superiore a 249. Per questi l’obbligo di istituzione del canale di segnalazione interna avrà effetto a decorrere dal 17 dicembre 2023.
Dunque, si parte. Dal 15 luglio 2023 le aziende dovranno assicurare ai lavoratori la possibilità di “segnalare condotte illecite, non nel proprio interesse individuale ma nell’interesse pubblico affinché non venga pregiudicato un interesse collettivo” (Rapporto ANAC 2016).
Il Whistleblowing, comunque, non è del tutto una novità nel nostro ordinamento. Infatti, già dal 2017, è il D. Lgs 231/2001 a prevedere l’obbligo di istituire un canale di segnalazione e protezione del segnalante all’interno delle organizzazioni che si dotano di un modello 231.
In parole semplici, per qualcuno l’obbligo esiste già, per molti sta per essere introdotto e per moltissimi (per chi ha impiegato più di 50 lavoratori nell’ultimo anno) sarà introdotto a fine anno.
Cosa rischia chi non rispetta il decreto whistleblowing
Attraverso questo canale, tutto il personale di un’organizzazione (anche gli autonomi e i tirocinanti, ad esempio) avrà la possibilità di segnalare a un incaricato qualunque tipo di illecito, dalle molestie alla corruzione, ma anche illeciti meno gravi. Ciò, ovviamente, purché la segnalazione non sia una mera illazione, cioè sia supportata da informazioni o fondati sospetti.
Chi non attiverà questo canale, oltre a rischiare sanzioni da 10.000 a 50.000 euro, dovrà considerare che il proprio personale potrà comunque avvalersi di un canale di segnalazione esterno, attivato da ANAC (Autorità Nazionale Anti Corruzione).
Le segnalazioni non dovranno avere una particolare forma, ma non potranno essere anonime e dovranno contenere indicazioni precise sulle circostanze dei fatti portati all’attenzione dell’incaricato, che potrà essere una persona o un ufficio interno oppure esterno. L’incaricato dovrà essere autonomo, formato e dovrà operare sulla base di una procedura che rispetti i criteri previsti dalla normativa e dall’esigenza di garantire la sicurezza del segnalante.
Segnalazioni whistleblowing: la necessità della data protection
Qui entra in gioco la privacy o, per meglio dire, la data protection. Già, perché affinché possano essere previste in concreto le garanzie previste dalla norma, è necessario che sia garantita la massima riservatezza delle segnalazioni. Se, infatti, è garantita ex lege la nullità degli atti ritorsivi ed è prevista l’inversione dell’onere della prova, è facile immaginare che ciò non basti per far “dormire tranquillo” il segnalante.
Se la segnalazione non potrà essere anonima, per ragioni di contrasto all’abuso del canale e di diritti dei target delle segnalazioni, occorrerà garantire che sia sotto il profilo organizzativo che sotto quello tecnico, l’informazione circa il chi ha segnalato cosa resti blindata. Sia che le segnalazioni vengano gestite in forma orale o attraverso un software, dovremo obbligatoriamente prevedere misure che impediscano la circolazione delle “soffiate”.
Per questo, sarà necessario garantire che l’ambiente dedicato sia sicuro. Verrà scelto di gestire il processo mediante una sala colloqui? Allora occorrerà garantire che chi entra nella sala non venga riconosciuto come segnalante da soggetti diversi da chi sarà deputato a raccogliere e gestire la segnalazione.
Non solo, sarà necessario garantire che eventuali carte relative allo scambio informativo siano conservate in modo sicuro, ossia protette da sguardi non autorizzati ma anche dalla perdita o dalla distruzione non intenzionale. Per contro, non appena dovessero risultare non più utili, le stesse carte andranno distrutte.
Software e piattaforme whistleblowing: la chiave per una corretta osservanza del decreto
Si sceglie un software? Ottimo, sarà allora necessario garantire che la trasmissione digitale sia protetta, sarà opportuno prevedere una crittografia tanto del canale quanto dei contenuti (le segnalazioni) e sarà bene prevedere che la piattaforma tenga traccia di chi entra, quando e a far cosa (log).
La norma, poi, ci impone di effettuare una DPIA ex art. 35 GDPR, ovvero un risk assessment specifico e approfondito sul processo e sull’eventuale soluzione adottata, soprattutto se digitale e se in parte automatizzata.
La necessità di aggiornare i processi di lavoro aziendali
Ma non è finita qui. La normativa sulla privacy impone diversi altri adempimenti di natura organizzativa. Il soggetto deputato a ricevere le segnalazioni dovrà essere debitamente istruito e individuato mediante una lettera di autorizzazione al trattamento dei dati, se interno, o mediante una nomina a responsabile del trattamento, se esterno (artt. 28 e 29 GDPR).
Andrà poi aggiornato il Registro dei Trattamenti del Titolare, l’Organigramma privacy e andrà prevista una formazione ad hoc, vista la delicatezza del processo, che preveda elementi di compliance normativa ma anche di sicurezza delle informazioni, onde evitare che l’imperizia di un incaricato possa causare danni anche gravi a un segnalante.
Non è, infatti, difficile immaginare quali conseguenze anche gravi possa subire un soggetto che segnali un illecito in un contesto lavorativo. Si va dal mobbing, fino a vere e proprie lesioni dell’incolumità propria o dei propri cari.
Bisognerà, allora, anche rendere trasparente al segnalante tutto ciò che è stato fatto per garantirne la sicurezza, fornendogli tutte le informazioni del caso, come previsto dagli artt. 13 e 14 del GDPR (informativa), anche per evitare di realizzare una sorta di dark pattern che lo dissuada, per mancanza di informazioni in merito alle garanzie di sicurezza, dall’utilizzare il canale predisposto.
Come si può immaginare, tutti questi adempimenti non possono essere adeguatamente definiti e predisposti senza il supporto di un consulente qualificato, che possa indicare le migliori soluzioni sul mercato e soprattutto, assistere l’organizzazione passo passo per la realizzazione di tutto quanto qui riassunto.
E la tua azienda a che punto è?
