Whistleblowing: i nuovi obblighi per le aziende – seconda parte
di Andrea OnoriNel precedente contributo è stato definito lo scopo della Direttiva (UE) 2019/1937 in tema di segnalazioni degli illeciti all’interno di una organizzazione pubblica o privata.
Tale scopo è stato individuato nel rafforzamento dell’applicazione del diritto in specifici settori, stabilendo norme tese a garantire un elevato livello di protezione delle persone che segnalano violazioni del diritto.
I settori in cui la Direttiva stabilisce norme minime comuni di protezione dei segnalanti sono:
- appalti pubblici;
- servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo;
- sicurezza e conformità dei prodotti;
- sicurezza dei trasporti;
- tutela dell’ambiente;
- radioprotezione e sicurezza nucleare;
- sicurezza degli alimenti e dei mangimi e salute e benessere degli animali;
- salute pubblica;
- protezione dei consumatori;
- tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi;
- interessi finanziari dell’Unione;
- concorrenza e aiuti di stato;
- norme in materia di imposta sulle società.
La stessa direttiva definisce, inoltre, un preciso ambito soggettivo di applicazione. La normativa di tutela si applica, infatti, alle seguenti categorie di “informatori”:
- persone aventi la qualità di lavoratore, compresi i dipendenti pubblici;
- persone aventi la qualità di lavoratore autonomo;
- azionisti e i membri del consiglio di amministrazione, direzione o vigilanza di una impresa, compresi i membri senza incarichi esecutivi, i volontari e i tirocinanti retribuiti e non retribuiti;
- qualsiasi persona che lavora sotto la supervisione e la direzione di appaltatori, subappaltatori e fornitori.
Per essere applicata, la normativa in parola presuppone che le persone “da tutelare”:
- segnalino o divulghino informazioni sulle violazioni acquisite nell’ambito di un rapporto di lavoro nel frattempo terminato;
- il cui rapporto di lavoro non è ancora iniziato, nel caso in cui le informazioni riguardanti le violazioni siano state acquisite durante il processo di selezione o altre fasi delle trattative precontrattuali.
L’entrata in vigore del D.Lgs. 24/2023 porta con sé un importante cambiamento per il settore privato, dove si è definito un regime di protezione che cambia in base a diversi fattori:
- al numero di lavoratori impiegati nell’ultimo anno;
- all’applicabilità della disciplina di cui al D.Lgs. 231/2001;
- al tipo di illecito oggetto della segnalazione.
Alla luce di tutto quanto sopra, l’applicazione della nuova norma dipende, quindi:
- dall’oggetto della violazione;
- dalla natura pubblica o privata del soggetto di appartenenza del segnalante;
- dalle dimensioni dell’ente privato;
- dall’applicazione della normativa del D.Lgs. 231/2001.
I sistemi di segnalazione devono, pertanto, essere costruiti per” tutelare”in primis:
- le informazioni contenute nelle segnalazioni, nonché;
- le persone segnalanti, coinvolte e menzionate.
Le segnalazioni possono avvenire oralmente oltre che in forma scritta e con modalità informatiche.
Nel caso di segnalazioni orali (interne) possono essere effettuate tramite linea telefonica oppure sistemi di messaggistica vocale, nonché mediante incontro diretto.
È, per contro, possibile effettuare segnalazioni esterne quando sussistono alcune condizioni:
- non è previsto l’obbligo di attivazione del canale di segnalazione interna nell’ambito del contesto lavorativo del segnalante;
- effettuazione di una precedente segnalazione interna rimasta senza alcun seguito;
- presenza di motivi fondati, da parte del segnalante, nel ritenere che se si effettuasse una segnalazione tramite canale interno quest’ultima non avrebbe seguito ovvero che la stessa determini un rischio di ritorsione;
- la violazione oggetto di segnalazione possa costituire un pericolo imminente per il pubblico interesse.
Tale canale di segnalazione è attivato dall’Anac (Autorità Nazionale Anticorruzione).
Alla luce del fatto che la norma individua l’obbligo di istituire canali di segnalazione interni, esterni e pubblici, quali caratteristiche devono possedere?
Sicuramente dovranno avere le seguenti caratteristiche generali:
- di facile accesso e intellegibili, ovvero di facile comprensione e nella lingua del segnalante nel caso dei Gruppi di imprese multinazionali, considerata la possibile condivisione del canale di segnalazione, ai sensi dell’articolo 4, comma 4, D.Lgs. 24/2023;
- possedere una policy, una procedura, che illustri il processo di gestione della segnalazione e che preveda un’efficace tutela delle persone interessate, ovvero dei soggetti destinatari della stessa e di coloro che poi dovranno “verificare”, “accertare” la segnalazione e il suo contenuto;
- l’esistenza e la possibilità di utilizzo di tali canali dovrà essere comunicata all’intera popolazione aziendale, prevedendo anche una specifica attività formativa e informativa sul suo utilizzo e sulle eventuali sanzioni in caso di violazioni;
- garantire la riservatezza e segretezza delle segnalazioni e delle persone;
- prevedere un adeguato allineamento alla normativa sulla privacy, data protection e cyber-security, relativamente al trattamento dei dati personali; nello specifico per la conservazione, l’integrità e la trasmissione a terzi dei dati, nonché all’anonimato del segnalante.
Ad esempio, su tali ultimi specifici temi si è espressa l’Anac (con le sue Linee Guida), dichiarando non adeguati l’utilizzo di posta elettronica ordinaria e Pec quali strumenti da utilizzare per le segnalazioni in quanto non adeguati a garantire la riservatezza dei dati.
Gli aspetti Privacy, nell’istituzione dei diversi canali di segnalazione, sono primari al punto che viene previsto il possibile ricorso a strumenti di crittografia per garantire la riservatezza:
- dell’identità della persona segnalante;
- della persona coinvolta e della persona comunque menzionata nella segnalazione;
- del contenuto della segnalazione e della relativa documentazione.
Sono, inoltre, espressamente previste norme specifiche relativamente agli obblighi in tema di riservatezza, trattamento dei dati personali e conservazione della documentazione inerente le segnalazioni.