Area riservata

CIRCOLARE DECRETO WHISTLEBLOWING E NUOVO SERVIZIO ALLE IMPRESE

Affari generali

È stato pubblicato sulla Gazzetta Ufficiale n. 63 del 15 marzo 2023, il D.lgs. n. 24/2023 del 10 marzo 2023, finalizzato ad attuare nell’ordinamento italiano la Direttiva (UE) 2019/1937 del Parlamento Europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la loro protezione (c.d. Direttiva Whistleblowing).

Il provvedimento, che richiede ai destinatari l’esecuzione di adempimenti anche in tema 231 e privacy, è entrato in vigore il 30 marzo 2023 e produrrà effetti a partire dal 15 luglio prossimo[1].

Le aziende e gli enti sono tenuti ad adeguarsi alla normativa secondo i seguenti termini:

  •      Enti / aziende con più di 250 dipendenti entro il 15 luglio 2023.
  •      Enti / aziende con almeno 50 dipendenti o dotate di MOGC 231 anche se con meno di 50 dipendentientro il 17 dicembre 2023.

Si ricorda che gli enti e le aziende che non rispettano tale decreto potrebbero essere soggetti a sanzioni fino a 50.000 euro. 

1. AMBITO DI APPLICAZIONE

Il decreto trova applicazione sia nei confronti dei soggetti pubblici sia, con riguardo, ai soggetti privati così come definiti nel testo normativo.

Con specifico riferimento ai soggetti di natura privata, l’art. 2 lett. q) del decreto vi include tutti coloro che rientrano in una delle seguenti condizioni:

  1.              hanno impiegato nell’ultimo anno la media di almeno 50 lavoratori subordinaticon contratti di lavoro a tempo indeterminato o determinato;
  2.             rientrano nell’ambito di applicazione degli atti dell’Unionedi cui alle parti I.B e II dell’allegato al decreto[2], anche se nell’ultimo anno hanno impiegato meno di 50 lavoratori;
  •           sono diversi dai soggetti di cui al nr.(ii), rientrano nell’ambito di applicazione del d.lgs. 231/2001 e adottano il MOGCivi previsto, anche se hanno impiegato meno di 50 lavoratori[3]

2. MECCANISMI DI SEGNALAZIONE

Il decreto prevede l’istituzione di tre distinti canali di segnalazione, attivabili gradatamente sia alle condizioni di cui all’art. 3 del decreto legislativo che alle condizioni espressamente previste nei relativi articoli e segnatamente:

  1.             canale di segnalazione interno(art. 4 d.lgs. 24/23);
  2.             canale di segnalazione esterno gestito da ANAC e attivabile alle condizioni di cui all’art. 6 del decreto;
  •             canale delle divulgazioni pubblicheanch’esso attivabile a determinate condizioni di cui all’art. 15 del decreto.

Il decreto 24/2023, oltre a prevedere l’introduzione di nuovi canali esterni attivabili anche dai soggetti privati, impone per i destinatari l’adozione di un canale di segnalazione interno che si distanzia significativamente dalle previsioni sinora contenute nella l. 179/2017; il decreto in commento, a differenza di quanto valevole sinora ai sensi della l. del 2017, richiede l’adozione di un solo canale di segnalazione interno[4] che dovrà garantire, anche tramite il ricorso a strumenti crittografati, la riservatezza dell’identità del segnalante e dei soggetti coinvolti (art. 24 d.lgs. 24/2023).

Tale modifica è peraltro riconosciuta nel dettato degli artt. 23 e 24 comma 5 del d.lgs. 24/2023 che sanciscono rispettivamente:

  1.               l’abrogazione dei commi 2-ter e 2-quater dell’art. 6 d.lgs. 231/2001 e dell’art. 3 della l. 179/2017;
  2.              la sostituzione dell’attuale formulazione dell’art. 6 comma 2-bis del d.lgs. 231/2001 con la nuova disposizione di cui all’art. 24 del d.lgs. 24/2023[5].

3. CARATTERI DEL CANALE DI SEGNALAZIONE INTERNO

Il canale di segnalazione interno, ai sensi degli artt. 4 e 5 del decreto, dovrà avere una serie di requisiti in tema di riservatezza e dovrà essere gestito secondo una procedura specifica[6], anche in considerazione delle sanzioni previste a carico del datore di lavoro in caso di violazione (art. 21 d.lgs. 24/2023).

Le segnalazioni dovranno pervenire ad una persona, ad un ufficio autonomo dedicato e con personale specificamente formato per la gestione del canale oppure ad un soggetto esterno autonomo avente le medesime caratteristiche.

Inoltre, è richiesto alle società di rendere noti gli strumenti attivabili per la presentazione delle segnalazioni nonché le modalità di gestione e di funzionamento dei canali, sia con riguardo al canale di segnalazione interno che con riferimento al canale di segnalazione esterno che sarà istituto presso l’ANAC. Tale aggiornamento richiederà sia un’informativa specifica ai propri dipendenti e collaboratori, che l’individuazione di un’apposita sezione dedicata a tali informazioni presso il sito internet della società.

4. ATTENZIONE AI CANALI DI GRUPPO

Una situazione particolarmente delicata è quella delle società appartenenti ad un gruppo che, anche se munite di un canale condiviso, dovranno necessariamente: (i) assicurare una gestione c.d. “di prossimità” delle segnalazioni e (ii) consentire al segnalante di escludere la capogruppo dalle attività investigative.

Ciò perché, anche se il comma 4 dell’art. 4 del d.lgs. 24/2023 consente espressamente alle entità con meno di 249 dipendenti di “condividere il canale di segnalazione interno e la relativa gestione”, la Commissione Europea ha chiaramente precisato che per tutte le entità con più di 50 dipendenti, il solo canale di gruppo non è sufficiente.

In particolare, con lettera del 02.06.2021 indirizzata alla Confederazione Industrie Danesi, viene sancito il c.d. principio di prossimità, per cui la segnalazione e la relativa gestione devono poter avvenire nel contesto più vicino possibile al segnalante.

Secondo la Commissione, è compatibile con la Direttiva UE un compliance program di gruppo che preveda la condivisione unicamente delle risorse investigative della controllante, a condizione che:

  •      la controllata che beneficia della condivisione delle risorse sia di medie dimensioni (50-249 dipendenti);
  •      sussistano canali di segnalazione alternativi a livello di controllata;
  •     il canale di gruppo indichi espressamente che la segnalazione sarà gestita a livello di gruppo consentendo al segnalante di opporsi a tale modalità di gestione, scegliendo che la segnalazione venga gestita esclusivamente a livello di controllata;
  •     le attività di riscontro siano comunque gestite a livello di controllata.

Contrariamente ad altri legislatori europei, come quello francese, il legislatore italiano è sino ad ora rimasto silente di fronte alla tematica del canale di gruppo.

In base al quadro normativo attuale, pertanto, è necessario che le società appartenenti ad un gruppo si adeguino alle previsioni del d.lgs. 24/2023 - non potendosi ritenere sufficiente il solo canale di gruppo. 

5. TUTELA DEL SEGNALANTE E RISVOLTI IN TEMA PRIVACY

La ratio del decreto in commento è finalizzata ad assicurare sia una gestione uniforme delle segnalazioni relative a violazioni di fatti rilevanti ai sensi del d.lgs. 231/2001 nonché inerenti il diritto dell’Unione Europea in genere, sia ad assicurare la massima protezione dei segnalanti e del contenuto delle relative segnalazioni.

A questo proposito il decreto esplicita:

  1.             il divieto di ritorsione in capo al segnalante(artt. 17 d.lgs. 24/2023);
  2.             misure di sostegnovolte a garantire informazioni, assistenza e consulenza a titolo gratuito sulle modalità di segnalazione e sulla protezione dalle ritorsioni (art 18 d.lgs. 24/2023).
  •            meccanismi di protezione da eventuali ritorsioni attraverso la presentazione di comunicazioni all’ANAC (art. 19 d.lgs. 24/2023);
  1.              sanzioni in caso di violazione del divieto di ritorsione, dell’obbligo di riservatezza e della mancata adozione di adeguati canali di segnalazione (art. 21 d.lgs. 24/2023).

A questo scopo e nell’ottica di tutelare la riservatezza dell’identità del segnalante, i destinatari del provvedimento dovranno obbligatoriamente eseguire, ai sensi dell’art. 12 del decreto, una valutazione d’impatto sulla protezione dei dati personali ai sensi dell’art. 28 GDPR (già sottolineata dal Garante Privacy in diverse recenti pronunce), valutazione che dovrebbe essere eseguita prima dell’inizio del trattamento. 

6. CONCLUSIONI E PROSSIMI PASSI

Alla luce delle novità normative introdotte dal d.lgs. 24/2023, i destinatari del provvedimento dovranno - entro un termine breve - dar corso ai seguenti adempimenti:

  1.             dotarsi del canale di segnalazione così come disciplinato nel decreto;
  2.             eseguire la valutazione di impatto sul canale individuato;
  •            modificare i propri MOGC[7];
  1.             informare i propri dipendenti e collaboratori dell’adozione di tale canale tramite l’invio di apposite informative e attraverso la relativa pubblicazione sul sito internet della società.

A tale fine si suggerisce ai soggetti interessati di avviare le riflessioni prodromiche all’adozione del canale di segnalazione interno nonché in relazione alla gestione delle segnalazioni; le determinazioni che verranno assunte dovrebbero auspicabilmente sfociare nell’emanazione di una policy strutturata e finalizzata alla gestione della segnalazione in conformità alla nuova normativa. 

Per rispondere a questa esigenza, Confimi Apindustria Cremona e Api Servizi Cremona oltre a fornirle assistenza legale specializzata in Whistleblowing, Privacy e MOGC  231, hanno sviluppato un sistema di segnalazione online delle irregolarità in conformità alla normativa europea e nel pieno rispetto della privacy del segnalatore.

Il Portale Whistleblowing è una soluzione semplice e intuitiva, progettata per garantire la massima protezione dell'individuo. 

Api Notizie n.44 del 12 dicembre 2023