Il whistleblowing e la tutela

Soffiare nel fischietto. Quante volte da ragazzi abbiamo soffiato nel fischietto per divertimento. In altri casi lo abbiamo visto usare per segnalare situazioni particolari, dal capotreno per avvertire la partenza di un treno, durante una partita sportiva, altre ancora situazioni di pericolo. In questo articolo parleremo di cosa significa oggi, nel mondo del lavoro e delle organizzazioni aziendali, soffiare nel fischietto, in inglese whistleblowing. La parola più importante è “segnalare” tutte le circostanze che necessitano di ricevere un richiamo, da qualcosa a qualcuno. Un argomento di assoluto rilievo e interesse che cercheremo di comprendere e di condividere con i lettori per comprendere grazie all’avvocato penalista Guido Sola, Dottore di ricerca in scienze penalistiche ed esperto di modelli 231, il vero valore e significato di questo termine, e le sue implicazioni nella vita quotidiana di tutte le persone che operano nelle aziende.

Che cos’è il Whistleblowing?

Con il termine whistleblowing, in italiano “soffiare nel fischietto”, s’indica il processo attraverso il quale i soggetti connessi in senso lato all’organizzazione aziendale possono segnalare, in modo riservato e protetto, eventuali violazioni, commesse nell’ambito della stessa, di normative nazionali e dell’Unione europea, capaci di ledere l’interesse pubblico o l’integrità dell’azienda, riscontrate durante la propria attività lavorativa.

Chi è il Whistleblower?

Con il termine Whistleblower, in italiano “colui che soffia nel fischietto”, s’indica la persona che segnala comportamenti illeciti o violazioni di normative di cui è testimone all’interno dell’organizzazione/azienda, pubblica o privata, dove esercita la propria attività lavorativa.

Qual è la normativa di riferimento?

La materia del whistleblowing in Italia è disciplinata:

• a livello legislativo, dal d.lgs. 10 marzo 2023 n. 24, attuativo della Direttiva (UE) 2019/1937 nonché;

• a livello di soft law, dalle linee guida ANAC approvate con delibera del 12 luglio 2023, n. 311.

A chi si applica?

Nel settore privato:

• enti che hanno impiegato, nell’ultimo anno, una media di 50 lavoratori subordinati

• enti che hanno adottato un modello di organizzazione, gestione e controllo ex decreto legislativo 8 giugno 2001, numero 231, anche se, nell’ultimo anno, non hanno impiegato una media di 50 lavoratori subordinati

• enti che si occupano di servizi, prodotti, mercati finanziari, prevenzione del riciclaggio, prevenzione del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente, anche se, nell’ultimo anno, non hanno impiegato una media di 50 lavoratori subordinati.

Da quando scatta l’obbligo di adeguarsi?

• per le aziende con più di 249 dipendenti, a fare data dal 15 luglio 2023

• per le aziende con meno di 249 dipendenti, a fare data dal 17 dicembre 2023 Cosa devono fare le aziende?

• dotarsi d’un canale informatico per la gestione delle segnalazioni

Le aziende devono dotarsi d’una piattaforma informatica per la gestione delle segnalazioni che garantisca la riservatezza della persona segnalante e, più in generale, dei soggetti menzionati nella segnalazione, nonché del contenuto della segnalazione stessa e della relativa documentazione mediante crittografia dei dati e, quindi, progettata in conformità:

• ald.lgs.10marzo 2023, n. 24;

• alle linee-guida dell’Autorità nazionale anticorruzione;

• alla vigente normativa in materia di protezione dei dati personali e, più specificamente, al Regolamento (UE) 2016/679 e al decreto legislativo 30 giugno 2003, numero 196.

• scegliere chi dovrà gestire le segnalazioni

La normativa prevede che la gestione delle segnalazioni possa essere affidata:

• a una persona interna, autonoma, dedicata nonché specificamente formata;

• a un ufficio interno all’azienda, autonomo e dedicato, con personale specificamente formato;

• a un soggetto esterno con le stesse caratteristiche.

• predisporre e comunicare agli stakeholders policy e procedure specifiche Le aziende devono:

• definire le modalità operative in cui s’articola il processo di effettuazione nonché di gestione delle segnalazioni mediante specifiche policy/procedure;

• comunicare a tutti gli stakeholders, interni e esterni, mediante piattaforme informatica e sito internet aziendale, dette policy/dette procedure da seguire per effettuare le segnalazioni.

• recepire alcuni specifici adempimenti in materia di privacy.

Le aziende, che operano in qualità di Titolari del trattamento, devono recepire una serie di adempimenti in materia di privacy, tra cui, a titolo meramente esemplificativo:

• aggiornare il registro dei trattamenti;

• predisporre un’idonea informativa per i soggetti segnalanti;

• effettuare un’idonea valutazione d’impatto.

Quali sono le sanzioni previste in caso di mancato adeguamento alla normativa?

L’ANAC applica le seguenti sanzioni amministrative pecuniarie:

• multa da euro 10.000 a euro 50.000 Se non sono stati istituiti canali di segnalazione compliant rispetto alla Direttiva (UE) 2019/1937, al decreto legislativo 10 marzo 2023, numero 24, nonché alle linee-guida dell’Autorità nazionale anticorruzione

• multa da euro 10.000 a euro 50.000 Se non sono state adottate procedure per la gestione delle segnalazioni compliant rispetto alla Direttiva (UE) 2019/1937, al decreto legislativo 10 marzo 2023, numero 24, nonché alle linee-guida dell’Autorità nazionale anticorruzione

• multadaeuro500a euro 2.500 Se si accerta che, non essendo stati istituiti canali di segnalazione/non essendo state adottate procedure per la gestione delle segnalazioni compliant rispetto alla Direttiva (UE) 2019/1937, al decreto legislativo 10 marzo 2023, numero 24, nonché alle linee-guida dell’Autorità nazionale anticorruzione, è stato violato l’obbligo di riservatezza

Il Garante della privacy applica le seguenti sanzioni:

• multa fino a € 20.000.000 [ovvero fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore] Se si accertano violazioni degli artt. 58 § 2 lett. i) e 83 § 5 GDPR Come si evince è necessario prestare molta attenzione ai comportamenti che le persone mettono in atto nel mondo del lavoro. La legge desidera tutelare chi segnala comportamenti illeciti o violazioni di normative di cui è testimone all’interno dell’organizzazione, azienda, pubblica o privata, dove esercita la propria attività lavorativa e soffia nel fischietto.