Whistleblowing
Whistleblowing in arrivo il decreto. Prima di affrontare l’argomento, vediamo rapidamente di cosa si tratta. Con il termine whistleblowing s’intende la rivelazione spontanea da parte di un individuo, detto “segnalante” (in inglese “whistleblower” da cui il nome della disciplina) di un illecito o di un’irregolarità commessa all’interno dell’ente, del quale lo stesso sia stato testimone. Questo testimone può o meno essere un dipendente dell’ente e può o meno decidere di rivelare il suo nome. Le materie cui questo approccio si può applicare, come vedremo tra poche righe, sono tra le più svariate.
ll ruolo dell’Europa
Prima dell’introduzione delle Direttiva (UE) 2019/1937, gli Stati disciplinavano la materia del Whistleblowing in base alle proprie normative nazionali, con il risultato di un corpo normativo europeo molto eterogeneo. La Direttiva interviene con l’intento di uniformare le vari normative e intensificare la protezione verso i segnalanti (whistleblower).
L’iter legislativo
Sebbene il termine ultimo per il recepimento di detta direttiva fosse quello del 17 dicembre 2021 (disatteso da molti Stati), solo il 9 dicembre 2022* il Consiglio dei Ministri ha approvato lo schema del decreto legislativo in attuazione della Direttiva: la cui bozza è stata sottoposta al vaglio delle commissioni parlamentari che dovranno esprimere i propri pareri entro il 19 gennaio 2023. Pertanto, le misure di carattere generale contenute nello schema del decreto costituiranno la base su cui il Governo dovrà potrà agire al fine di poter concretamente attuare e rendere effettivo il recepimento della Direttiva nell’ordinamento giuridico italiano.
Cosa cambia?
Ampliamento ambito soggettivo
Il novero dei soggetti segnalanti viene ampliato, includendo non più solo i destinatari del Modello di organizzazione e gestione (dipendenti, amministratori e terze parti), ma anche i consulenti, tirocinanti (retribuiti e non retribuiti), qualsiasi persona che lavora sotto la supervisione di appaltatori, subappaltatori e fornitori, membri dei consigli direttivi, ex dipendenti e candidati a posizioni lavorative. Nonché tutte le persone che segnalano in virtù di un rapporto di lavoro terminato o non ancora iniziato.
Ambito oggettivo
Possono essere segnalati tutti quei “comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato” che rientrano negli ambiti indicati all’art. 3 della Direttiva quali:
- Le condotte illecite di cui al D.Lgs. 231/2001 nn. 3), 4), 5) e 6) o violazioni dei Modelli di organizzazione e gestione;
- Gli illeciti amministrativi, contabili, civili o penali;
- Illeciti che rientrano nell’ambito di applicazione degli atti normativi di cui all’allegato**, relativamente ai settori:
- Appalti pubblici;
- Servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo;
- Sicurezza e conformità dei prodotti;
- Sicurezza dei trasporti;
- Tutela dell’ambiente;
- Radioprotezione e sicurezza nucleare;
- Sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica;
- Protezione dei consumatori;
- Tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi;
- Atti od omissioni che ledono gli interessi finanziari dell’Unione Europea;
- Atti od omissioni riguardanti il mercato interno, comprese le violazioni delle norme dell’Unione europea in materia di concorrenza e di aiuti di Stato, nonché le violazioni riguardanti il mercato interno connesse ad atti che violano le norme in materia di imposta sulle società o i meccanismi il cui fine è ottenere un vantaggio fiscale che vanifica l’oggetto o la finalità della normativa applicabile in materia di imposta sulle società.
Canali di segnalazione
Vengono previste diverse modalità di segnalazione interna, esterna e pubblica. Le aziende dovranno:
- Individuare un soggetto – interno o esterno – per la gestione e l’analisi delle segnalazioni;
- Individuare e affidare ad un soggetto lo svolgimento delle indagini sul fatto segnalato. Soggetto che dovrà mantenere la comunicazione con il segnalante;
- Prevedere la possibilità di segnalare in forma scritta per iscritto e di trasmetterle per posta (cassetta per reclami o on-line) o di segnalare oralmente (mediante linea telefonica gratuita e/o messaggistica vocale) e, su richiesta, anche di persona;
- Comunicare la ricezione della segnalazione entro sette giorni (le segnalazioni scritte, orali, incluso via telefono e messaggio vocale, o di persona) usando apposite procedure.
- Rispettare delle tempistiche riguardanti anche la presa in carico delle segnalazioni e informare il segnalante circa lo status delle indagini entro un tempo ragionevole (non oltre 3 mesi);
- Conservare traccia e archiviare le segnalazioni e i relativi follow up;
- Fornire informazioni chiare e dettagliate su quanto e come poter effettuare le segnalazioni interne.
Riservatezza delle segnalazioni interne
Un altro aspetto cruciale del decreto, che riprende quanto detto dalla Direttiva, è l’istituzione di canali di segnalazione interna che garantiscano la riservatezza del whistleblower. In questo contesto possono essere utilizzati software specifici o la moderna tecnologia blockchain che garantisce un altissimo livello di protezione e riservatezza del dato. Riservatezza rimarcata dall’art. 17 della Direttiva europea che prevede l’obbligo del trattamento dei dati in conformità al GDPR; infatti, lo stesso art. 4 dello schema del decreto parla dell’uso di strumenti di crittografia.
Segnalazioni esterne
Nel caso in cui le aziende non istituiscano un canale di segnalazione interna, o questo non sia conforme a quanto previsto dall’articolo 6, potranno avvalersi di canali di segnalazione esterna all’ANAC.
Rafforzamento tutela
Nella bozza è previsto un rafforzamento della tutela del segnalante.
È vietata qualsiasi forma di ritorsione, comprese le minacce e i tentativi di ritorsione quale, per esempio, il licenziamento, l’imposizione di misure disciplinari, l’inserimento in liste nere, l’annullamento di licenze o permessi, i danni, anche alla reputazione della persona, in particolare sui social media o la sottoposizione ad accertamenti psichiatrici o medici. Sono, altresì, vietate le ritorsioni indiretti che possono essere intraprese contro il soggetto giuridico di cui il segnalante sia proprietario, per cui lavori o a cui sia altrimenti connesso in un contesto lavorativo.
Quali aziende sono interessate?
La Direttiva coinvolge tutte le imprese con almeno 50 dipendenti, a prescindere dall’adozione del Modello di organizzazione e gestione 231/2001, nonché ai soggetti operanti nei servizi finanziari e a rischio riciclaggio/finanziamento del terrorismo, indipendentemente dalle dimensioni. In base a un appropriato risk assessment, gli Stati membri possono decidere di applicare la Direttiva anche a soggetti con meno di 50 dipendenti.
In conclusione
Le aziende e gli enti pubblici dovranno iniziare a ragionare sui meccanismi, sulle procedure e sui software da usare per adeguarsi a questa normativa avendo cura di dare la possibilità al segnalante di rimanere protetto. Insomma, un’altra bella sfida di compliance.