Il whistleblowing è uno strumento di compliance aziendale che permette ad aziende di terze parti o ai dipendenti di segnalare eventuali attività illecite riscontrate durante i processi lavorativi.
Il tema del whistleblowing continua ad essere uno degli argomenti più importanti del 2022, vista l’enorme platea di aziende potenzialmente interessate. L’Italia a differenza di quanto fatto in Francia, Svezia, Danimarca ed altri paesi membri non ha ancora recepito la Direttiva (UE) 2019/1937.
La previsione di una nuova delega al Governo era stata inserita nel Disegno di Legge (C-3208) e approvato dalla Camera il 16 dicembre 2021, trasmesso poi al Senato il 20 dicembre e, alla data dello scorso 4 maggio 2022, in corso di esame alla 14a Commissione permanente (Politiche dell’Unione Europea) in sede referente (S.2481).
A causa di questo immobilismo l’Italia rischia una procedura di infrazione da parte dell’Unione Europea per il mancato recepimento della Direttiva.
Non è una tematica marginale, considerando quanto sono importanti la lotta alla corruzione e la tutela dei lavoratori. Non è un caso infatti che il Presidente di Anac (Autorità Nazionale Anticorruzione), Giuseppe Busia, abbia lanciato più volte l’auspicio che l’Italia possa in tempi rapidi mettersi in regola con la direttiva UE.
Visto il quadro generale, ipotizzare un’accelerazione del Governo, anche in considerazione del PNRR non solo è possibile, ma diventa uno scenario molto probabile.
Privacy e sanzioni del Garante
Oltre alla tematica specifica della Direttiva UE, all’interno del processo di whistleblowing si palesa la problematica del trattamento dei dati e quindi del GDPR. Questo è un altro motivo per cui l’attenzione delle aziende dovrebbe rimanere molto alta.
Recentemente il Garante Privacy ha comminato una sanzione pari a 40.000 euro all’azienda che aveva introdotto un sistema di whistleblowing per aver violato una serie di disposizioni del GDPR.
Parimenti, anche il fornitore del software whistleblowing ha ricevuto una sanzione dal Garante, a seguito della verifica dell’esistenza di diverse non conformità in materia di sicurezza degli accessi e rapporti con subfornitori.
Tra le violazioni individuate dal Garante, l’azienda non aveva:
- informato i lavoratori in via preventiva sul trattamento dei dati personali per finalità di whistleblowing;
- svolto una valutazione di impatto privacy;
- inserito questi processi nel registro delle attività di trattamento;
- gestito in maniera corretta “le credenziali di autenticazione per l’accesso; all’applicazione web di whistleblowing da parte del Responsabile della prevenzione della corruzione e della trasparenza (Rpct), durante la fase di transizione con il suo successore”, riporta il Garante.
Cosa devono fare le aziende per adeguarsi alla Direttiva europea?
Il primo passo da compiere riguarda un cambio di mentalità. Ogniqualvolta si introducono novità legislative così importanti si diffondono spesso timori e dubbi.
Nel report “2020 Report to the Nations”, redatto da ACFE (Association of Certified Fraud Examiners), la più grande organizzazione antifrode al mondo e il principale fornitore di formazione e istruzione antifrode, viene riportata una perdita media per le aziende che non hanno adottato un sistema whistleblowing pari a 2.113.000 dollari.
Dal suddetto report, i dati indicano infatti che le aziende con un canale di segnalazione individuano i reati 6 mesi prima e riducono le perdite connesse del 50%.
Al di là del tema prettamente giuridico, un sistema whistleblowing diventa uno strumento di efficientamento aziendale.
Come scegliere un buon software whistleblowing?
Scegliere una soluzione non compliant con le normative vigenti, nazionali ed europee può comportare il rischio concreto di sanzioni. Il mercato infatti presenta ormai soluzioni apparentemente allettanti ma che poi si rivelano potenzialmente dannose. Un software whistleblowing dovrebbe necessariamente essere:
- semplice da usare, sia per i segnalanti e sia per gli OdV (Organismi di Vigilanza);
- accessibile con qualunque dispositivo;
- in grado di garantire riservatezza e anonimato (evitando installazioni su server aziendali);
- conforme alla Direttiva europea sul whistleblowing e al GDPR;
- capace di permettere la comunicazione tra segnalante e OdV anche in caso di segnalazione anonima.
Se da un lato quindi è necessario porre grande attenzione alle caratteristiche del software, affinché sia conforme alle normative, dall’altro non bisogna sottovalutare il modo in cui viene implementato dall’azienda.
Come abbiamo visto il trattamento dei dati personali è una tematica di grande importanza per il Garante Privacy, così come la corretta comunicazione agli utenti.
Si evidenzia, infine, che non è sufficiente adottare un sistema whistleblowing a livello di gruppo aziendale, ma ogni singolo soggetto giuridico che compone il gruppo deve dotarsene.
Vuoi saperne di più sul Whistleblowing
