Whistleblowing: la gestione delle segnalazioni
di Andrea OnoriDa pochi giorni Confindustria ha reso pubblica una guida operativa per gli Enti privati sulla nuova disciplina del Whistleblowing.
La guida fa una disamina dell’ambito di applicazione della nuova disciplina normativa, dei canali di segnalazione, dei soggetti legittimati a segnalare, nonché della gestione della segnalazione, oltre che della tutela del segnalante e della disciplina relativa al trattamento dei dati personali.
Tale guida contenente indicazioni di natura pratica ed operativa si aggiunge alle linee guida ANAC diffuse agli operatori interessati a partire dal mese di luglio 2023.
Con il presente contributo si vuole sottolineare gli aspetti operativi relativi alla gestione delle segnalazioni.
Come noto, la normativa prevede che le segnalazioni o, meglio, il canale di segnalazione interno, possa essere gestito e/o affidato a:
- una persona fisica interna all’impresa;
- a un ufficio interno all’impresa;
- a un soggetto esterno.
La norma prevede che tali soggetti siano dotati di autonomia, caratterizzata da indipendenza e imparzialità, nonché ricevano una specifica e adeguata formazione teorico-normativa, ma soprattutto una formazione specifica inerente alla gestione delle segnalazioni.
Le linee guida di Confindustria hanno definito cosa si deve intendere per:
- imparzialità: mancanza di condizionamenti e di pregiudizi nei confronti delle parti coinvolte nelle segnalazioni, per assicurare una gestione equa e priva di influenze interne e/o esterne che possano comprometterne l’obiettività.
- indipendenza: autonomia e libertà da influenze o interferenze da parte del management, per garantire un’analisi oggettiva ed imparziale della segnalazione.
La disamina fatta da Confindustria continua andando ad attenzionare gli aspetti caratterizzanti l’individuazione della figura più idonea a cui affidare la gestione dell’impresa:
- persona fisica interna all’impresa;
- ufficio interno all’impresa.
Si precisa, al riguardo, che, sia nel caso di persona fisica interna, sia nel caso di ufficio interno, è necessario un formale atto di nomina con cui si attribuisce al soggetto l’incarico di gestore della segnalazione (linee guida Confindustria – Guida Operativa Enti Privati – ottobre 2023).
Con riferimento alla prima categoria alla quale può essere affidata tale gestione, “persona fisica interna all’impresa”, viene evidenziato che tale ruolo può essere assunto dal responsabile anticorruzione, ove presente, ovvero dai responsabili di “internal audit o compliance”.
Affidare ai responsabili delle funzioni di controllo il ruolo di gestore delle segnalazioni soddisfa sicuramente il requisito di autonomia richiesto dalla normativa, in virtù della loro maggiore indipendenza organizzativa.
Viene evidenziato, per contro, che nelle piccole e medie imprese – dove le funzioni di Internal Audit (e di conformità normativa) possono non essere presenti – il ruolo di gestore della segnalazione potrebbe essere affidato a una figura priva di mansioni operative, in modo da rispettare il principio dell’autonomia, individuando tali soggetti nel responsabile delle funzioni legali o delle risorse umane, svolgendo questi ultimi già, di fatto, funzioni di controllo e di conformità.
Con riferimento alla seconda categoria, “ufficio interno all’impresa”, le Linee Guida in commento prevedono che la gestione delle segnalazioni possa essere affidata a un loro ufficio interno preesistente o a un organo collegiale/comitato appositamente costituito e composto da soggetti interni che possegga i requisiti di autonomia come definiti poco sopra.
Tale organo collegiale/comitato potrebbe essere composto dai responsabili delle funzioni di controllo, delle funzioni legali, nonché risorse umane e anche dal responsabile anticorruzione (se presente).
Oppure si potrebbe affidare tale compito a un Comitato Etico, ove presente, nonché all’Organismo di Vigilanza 231 (OdV), nel caso di adozione del Modello Organizzativo e di Gestione ai sensi del D.Lgs. 231/2001.
Con riferimento all’ulteriore requisito previsto dalla norma, ovvero che l’ufficio interno sia “dedicato” all’attività di gestione, le Linee Guida di Confindustria richiamano le Linee Guida ANAC; secondo queste ultime, la previsione che l’ufficio interno debba essere “dedicato” a tale attività, “non implica che lo stesso debba svolgere esclusivamente tale ruolo ma che debba essere l’unico ufficio a ciò preposto”.
Nel caso di imprese dotate di Modello Organizzativo 231 e relativo OdV, quest’ultimo è chiamato a vigilare sul modello ed anche sui canali di segnalazione considerato che tali modelli devono prevedere i canali di segnalazione interna, il divieto di ritorsione e il sistema disciplinare.
Si può valutare di affidare a quest’ultimo l’ulteriore ruolo di gestore delle segnalazioni, considerato il fatto che l’Organismo di Vigilanza è già in possesso dei requisiti richiesti, delle competenze tecniche adeguate, nonché dell’autonomia e dell’indipendenza, funzionale e gerarchica, rispetto a qualsiasi altro ufficio interno all’ente.
Potrebbe svolgere, pertanto, senza interferenze o condizionamenti, l’attività di gestione delle segnalazioni interne in termini di verifica e istruttoria, lasciando alle competenti funzioni aziendali le eventuali decisioni operative ulteriori.
Nel caso in cui l’OdV non sia incaricato della gestione delle segnalazioni lo stesso deve comunque essere inserito nel processo di gestione, mediante la regolamentazione di opportuni e necessari flussi informativi nel rispetto degli obblighi di riservatezza previsti dalla normativa sul Whistleblowing.
Le linee Guida evidenziano che, qualora l’OdV non sia individuato come gestore dovrà ricevere:
- immediata informativa su segnalazioni rilevanti in termini 231 affinché, nell’esercizio della sua attività di vigilanza, possa condividere le proprie eventuali osservazioni e partecipare all’istruttoria o comunque seguirne l’andamento;
- un aggiornamento periodico sull’attività complessiva di gestione delle segnalazioni, anche non 231, al fine di verificare il funzionamento del sistema Whistleblowing e proporre all’ente eventuali necessità di suo miglioramento.
Da ultimo, nel caso di “Ufficio esterno all’impresa” individuato quale gestore del canale di segnalazione, le imprese interessate dovranno verificare che lo stesso abbia i requisiti di autonomia, indipendenza e professionalità necessari.
Al riguardo, il soggetto esterno dovrà possedere risorse e conoscenze specialistiche che garantiscano l’adozione di misure tecniche e organizzative tali da assicurare il rispetto della riservatezza, protezione dei dati e segretezza.
I rapporti tra le parti, inoltre, dovranno essere regolati da appositi contratti di servizio che, oltre a disciplinare i servizi prestati tra le parti, dovranno includere appositi livelli di servizio e di controllo, anche con la stesura di atti rilevanti ai fini del GDPR 679/2016.