Novità Whistleblowing

Cosa cambia per gli Enti che adottano o hanno già adottato un modello di organizzazione e gestione ai sensi del D.lgs. 231/2001?

Il D.lgs. 10 marzo 2023 n. 24 che ha recepito la Direttiva 2019/1937 sul WHISTLEBLOWING (in vigore dal 30 marzo 2023) introduce delle novità rispetto alla normativa preesistente. L’implementazione di “nuovi” canali di segnalazione da parte dell’Ente è una di queste.

Sarà necessaria una attenta valutazione dei seguenti aspetti:

• la corporate governance
• la compliance
• gli aspetti riconducibili alla sostenibilità (ESG)
• la tutela dei diritti dei lavoratori
• la protezione dei dati personali    

Entro quando gli Enti devono implementare il canale di "segnalazione interno" previsto dal D.lgs. 24/2023?

• Gli Enti privati con una media nell'ultimo anno di 250 o più dipendenti entro il 15 luglio 2023
• Gli Enti privati con una media nell'ultimo anno da 50 a 249 dipendenti entro il 17 dicembre 2023, oltre agli Enti con meno di 50 dipendenti che hanno già adottato un Modello organizzativo.

Quali soggetti devono essere coinvolti nella fase preliminare all’implementazione dei “nuovi” canali di segnalazione?

• Il responsabile dell’area legale
• Il compliance officer (ove presente)
• Il responsabile ICT
• l’amministratore o gli amministratori di sistema
• l’Organismo di vigilanza
• il Responsabile della protezione di dati (DPO), ove nominato, ovvero il privacy contact e/o il consulente privacy

Le principali novità nel settore privato:

• 3 canali di segnalazione: interno (che deve essere implementato dall'Ente); esterno (piattaforma ANAC); di divulgazione pubblica o denuncia all’Autorità Giudiziaria
• nel MOG231 è necessario prevedere il canale di segnalazione interna secondo la procedura indicata dall’art. 5 del D.lgs. 24/2023
• si allarga il novero dei soggetti che possono effettuare segnalazioni (non solo apicali e soggetti sottoposti alla loro direzione, bensì anche i lavoratori autonomi, i volontari, i tirocinanti, i lavoratori in prova, i candidati, gli ex dipendenti, i c.d. “facilitatori” (coloro che prestano assistenza al lavoratore nel processo di segnalazione), i parenti entro il 4° grado di parentela o colleghi di lavoro del segnalante, i liberi professionisti, i consulenti, le persone con funzioni di amministrazione, direzione, controllo e vigilanza o rappresentanza
• l’oggetto della segnalazione è più ampio: sono previste segnalazioni in merito a violazioni di disposizioni normative, nazionali o dell’Unione Europea, che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza nel proprio contesto lavorativo
• se l’Ente ha impiegato la media di almeno 50 dipendenti subordinati con tratti a tempo indeterminato o determinato deve essere prevista la possibilità di segnalare violazioni delle disposizioni dell’UE
• i gruppi di imprese che hanno impiegato lavoratori subordinati con contratti a tempo indeterminato o determinato non superiori a 249 possono condividere il canale di segnalazione interna

 Modalità della segnalazione interna:

• è possibile effettuare una segnalazione in forma scritta, anche con modalità informatiche, o orale (previo consenso dell’interessato) attraverso linea telefonica o sistemi di messaggistica vocale, oppure incontro personale. In caso di segnalazione orale sarà necessario registrare o trascrivere il contenuto della conversazione da parte del soggetto che gestisce la segnalazione con tutte le inevitabili implicazioni sotto un profilo di privacy e data protection (con particolare riferimento alla valutazione delle misure tecniche, agli strumenti di crittografia ed alla data retention)
• è necessario rilasciare al segnalante un avviso di ricevimento della segnalazione entro sette giorni dalla ricezione
• gestire la segnalazione, valutandone il contenuto e l’attendibilità
• concludere l’iter della segnalazione (ricezione, istruttoria, valutazione e conclusione) entro novanta giorni dalla data di avviso del ricevimento
• fornire adeguata pubblicità nei luoghi di lavoro, sull’intranet aziendale e/o sito web in merito alle modalità con cui effettuare la segnalazione, sulle procedure e presupposti per eseguire le segnalazioni interne ed esterne, nonché nei luoghi accessibili alle persone che, pur non frequentando i luoghi di lavoro, intrattengono un rapporto giuridico con l’Ente
• per i soggetti del settore privato è necessario prevedere un sistema disciplinare adottato, ai sensi dell'art. 6, comma 2, lettera e), del D.lgs. 231/01, che preveda sanzioni nei confronti di coloro che incorrono nella commissione degli illeciti di cui all’art. 21, comma 1, del D.lgs. 24/2023.  

Modalità della segnalazione esterna:

Il segnalante può effettuare una segnalazione cd. “esterna” attraverso la piattaforma elettronica messa a disposizione dell’ANAC (che garantisce, anche mediante strumenti di crittografia, la riservatezza dell'identità del segnalante, della persona coinvolta e della persona menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione) qualora:

• non è previsto un canale di segnalazione interno nel suo contesto lavorativo, oppure se non è attivo o conforme alla procedura di cui all’art. 4
• ha già effettuato una segnalazione interna senza ricevere alcun seguito
• ha fondati motivi che la sua segnalazione interna non verrebbe presa in adeguata considerazione, oppure che la stessa possa determinare il rischio di ritorsione    

• ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse

Tutela del segnalante

• le informazioni fornite dal segnalante possono essere utilizzate soltanto per le finalità della segnalazione stessa e non possono in alcun modo essere divulgate a terzi
• obbligo di riservatezza da parte del gestore della segnalazione sull’identità del segnalante, anche tramite strumenti di crittografia
• divieto di ritorsione nei confronti del segnalante
• il segnalante è tutelato da qualsiasi forma di ritorsione, come il licenziamento, sospensione, demansionamento, intimidazioni, molestie, danni reputazioni, etc.
• il segnalante può beneficiare di assistenza e consulenza a titolo gratuito in merito alle modalità di segnalazione, nonché di protezione dalle eventuali ritorsioni del datore di lavoro.  

Nota: Anche se l'attuale schema del D.lgs. 24/2023 omette di definire esplicitamente i requisiti tecnici che il canale di segnalazione deve soddisfare, e nemmeno fornisce indicazioni circa un possibile standard di riferimento, se consideriamo la ratio della norma che ambisce a rafforzare la tutela dei segnalanti, ritengo che l'utilizzo di strumenti di crittografia sia indispensabile per tutelare l'identita del segnalante, ma anche della persona coinvolta e della persona menzionata nella segnalazione, così come del contenuto della segnalazione stessa e della relativa documentazione.

Gli aspetti privacy e data protection

Relativamente alle attività di trattamento dei dati personali, nell’ambito delle segnalazioni, l’Ente (in qualità di “titolare del trattamento”), in applicazione del Reg. UE 2016/679 e nel rispetto del principio dell’accountability, dovrà:

• eseguire una valutazione di impatto sulla protezione dei dati (cd. DPIA), sia con riferimento alle modalità dei canali “interni”, che alle eventuali attività affidate in outsourcing
• aggiornare il registro dei trattamenti
• aggiornare le policy sui tempi di conservazione dei dati personali nell’ambito delle attività di trattamento delle segnalazioni  
• disciplinare il rapporto contrattuale con i “responsabili esterni del trattamento” ai sensi dell’art. 28 GDPR, nonché con eventuali contitolari ai sensi dell’art. 26 GDPR
• provvedere alla nomina delle “persone autorizzate” a quelle specifiche attività di trattamento, ai sensi degli artt. 29 e 32 GDPR, nonché art. 2-quaterdecies del D.lgs. 196/03, ivi compresa la nomina ai componenti dell’organismo di vigilanza, qualora investiti (anche) della gestione delle segnalazioni
• fornire adeguata informativa agli interessati con particolare riferimento alle modalità di trattamento dei dati personali ed ai tempi di conservazione degli stessi
• limitarsi al trattamento dei dati personali strettamente necessari per la gestione della segnalazione nel rispetto del principio di minimizzazione, e cancellare immediatamente tutti i dati, anche raccolti accidentalmente, non utili al predetto fine.

 

#231 #compliance #corporategovernance #esg #whistleblowing #wistleblower #privacy #dataprotection #acconutability #privacybydesign #DPIA #dataretention #legallab #innovativebusinessconsulting #thefutureisnow