Ancora pochi giorni per finalizzare gli adempimenti prescritti dal cosiddetto Decreto Whistleblowing. Infatti, entro il 17 dicembre p.v., anche i soggetti che non rientravano tra quelli già tenuti a applicare le previsioni del decreto legislativo 10 marzo 2023, n. 24 già dal luglio scorso dovranno conformarvisi.
Si ricorda che il Decreto, pubblicato nella Gazzetta Ufficiale del 15 marzo 2023, ha recepito nell’ordinamento italiano la direttiva UE 2019/1937 riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione”. L’obiettivo della norma è stabilire norme minime comuni per garantire un elevato livello di protezione delle persone che segnalano violazioni del diritto dell’Unione, creando canali di comunicazione sicuri, sia all’interno di un’organizzazione, sia all’esterno.
Si ricorda anzitutto che la norma, oltre che rivolgersi al pubblico, interessa anche i soggetti del settore privato che:
- hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
- rientrano nell’ambito di applicazione degli atti dell’Unione di cui alle parti I.B e II dell’Allegato al Decreto (che ripropone l’Allegato alla Direttiva UE), anche se nell’ultimo anno non hanno raggiunto la media di 50 lavoratori subordinati (settori dei servizi, prodotti e mercati finanziari, prevenzione del riciclaggio e del finanziamento del terrorismo, nonché della sicurezza dei trasporti(;
- sono dotati di un modello di organizzazione e gestione 231, anche se nell’ultimo anno non hanno raggiunto la media di 50 lavoratori subordinati.
Dal 17 dicembre tutti questi soggetti hanno l’obbligo di istituire un canale interno di segnalazione. Questo obbligo comporta una serie di adempimenti a corollario che è difficile riassumere sinteticamente. Al corretto modo di conformarsi sono stati dedicati sforzi da parte di autorevoli commentatori, oltre che da fonti privilegiate quali ANAC. A metà ottobre anche Confindustria ha ritenuto di finalizzare un documento esplicativo dei contenuti della norma e degli interventi in essa prospettati.
In estrema sintesi vale ricordare che il canale che la norma prevede di creare è funzionale a notificare:
- le violazioni delle disposizioni normative nazionali e dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui i soggetti segnalanti siano venuti a conoscenza in un contesto lavorativo pubblico o privato,
- inoltre, per i soggetti del settore privato dotati di un Modello Organizzativo 231, le violazioni della disciplina nazionale solo con riferimento ai reati presupposto 231.
I canali di segnalazione interna (tralasciando in questo articolo il canale esterno gestito da ANAC) devono avere la caratteristica di assicurare la riservatezza dell’identità del segnalante e delle persone coinvolte, del contenuto della segnalazione e della documentazione a essa relativa. La normativa prevede un ampio spettro di possibilità citando il canale sia canale scritto – analogico e/o informatico -, ma anche orale.
L’azienda che intende conformarsi deve quindi, da un lato, curare la predisposizione di procedure ad hoc (o aggiornare quelle già presenti nel proprio modello 231/01) e, dall’altro, implementare nella prassi il citato canali. Queste operazioni, non banali, sono poi accompagnate dalla necessità di redigere un iter di gestione del contenuto delle segnalazioni comprensivo delle attività da svolgere per dare seguito alle stesse e descrittivo delle diverse fasi di presa in carico conformemente ai tempi di legge.
Un ruolo tutt’altro che secondario lo hanno gli adempimenti cosiddetti “privacy”. La normativa anzitutto costituisce un caso di eccezione rispetto alla regola aurea della responsabilizzazione, l’azienda infatti deve necessariamente redigere una valutazione di impatto ex art. 35 GDPR sul processo di gestione della segnalazione. L’azienda poi deve: autorizzare le persone che gestiscono il canale, prevedere specifiche informative, nominare responsabile del trattamento l’eventuale fornitore dello strumento inteso a gestire il canale interno di segnalazione.
In conclusione siamo alle battute finali di un periodo che ha visto un grande attenzione alla tematica (e per le ricadute di compliance privacy). Il fatto che il tutto si sia dovuto porre in essere in tempi tutto sommato contingentati non ha sicuramente giovato alla chiarezza complessiva e all’individuazione di best practices universamente riconosciute. Resta quindi amplio margine per riconsiderare e – se del caso – migliorare le scelte tecniche e procedurali adottate in sede di prima applicazione del Decreto da parte delle aziende. Ancora una volta sarà importante nei prossimi mesi il ruolo dei DPO che, in una ottica multidisciplinare, dovranno contribuire con le loro attività di audit periodico a ritornare sulle scelte fatte.