Le aziende che impiegano 250 o più dipendenti hanno 1 mese di tempo per allinearsi alle regole del d.Lgs. 24/2023 che ha attuato la Direttiva UE 2019/1937 e introdotto in via generalizzata l’istituto del whistleblowing nel nostro ordinamento. Le aziende che impiegano invece da 50 a 249 lavoratori hanno tempo fino al 17 dicembre 2023.
Con il termine di whistleblowing si intende la segnalazione da parte di un soggetto (whistleblower) di un illecito commesso da parte di una Società, della quale lo stesso abbia avuto conoscenza nell’esercizio delle sue funzioni.
Il whistleblowing ha avuto una prima applicazione con l’introduzione del d.Lgs. 231/2001 e ha sempre costituito parte integrante dei modelli organizzativi, rappresentando un baluardo dell’efficacia dei sistemi di controllo.
Oggi, grazie al recepimento della Direttiva EU che ha esteso e meglio definito i meccanismi di utilizzo, questo istituto diventa parte essenziale delle organizzazioni aziendali e impone una serie di adempimenti di particolare rilievo.

La nuova disciplina mira a proteggere le persone che segnalano violazioni capaci di ledere l’interesse o l’integrità aziendale.
Si tratta di una protezione estremamente ampia poiché si estende non solo al soggetto segnalante, del segnalato ma anche ai cosiddetti facilitatori ossia i soggetti preposti ad assistere il segnalante nel processo di segnalazione e – tra gli altri – i colleghi che operano abitualmente nello stesso contesto lavorativo. La protezione ha l’intento di essere particolarmente efficace: le tutele sono assicurate non solo nel corso del rapporto di lavoro ma prima del suo inizio, se le violazioni sono conosciute durante il processo di selezione, e dopo la sua cessazione.

Il Dlgs 24/2023 ha ampliato l’ambito di applicazione dell’istituto del whistleblowing, estendendone il campo di azione a tutte le società che:

1. hanno impiegato nell’ultimo anno una media di almeno 50 lavoratori subordinati;
2. operano in settori regolamentati a livello europeo (ad esempio i mercati finanziari) a prescindere dal numero di dipendenti;
3. rientrano nel campo di applicazione del Dlgs 231/2001 e adottano un modello organizzativo, sempre a prescindere dal numero dei dipendenti.

Per garantire l’auspicato grado di protezione il Garante della Privacy nel Provvedimento dell’11 Gennaio 2023 prescrive che le aziende dovranno mettere in atto una serie di adempimenti diretti a rendere effettiva la tutela. In particolare, dovranno attivare canali di segnalazione interna che garantiscano, anche tramite strumenti di crittografia, la riservatezza dell’identità del segnalante, del segnalato, del contenuto, dei documenti e delle persone comunque menzionate nella segnalazione.

Dovrà essere fornita idonea informativa sul trattamento dei dati ai sensi dell’art. 13 del GDPR e il Titolare del trattamento dovrà stabilire i tempi di conservazione della segnalazione, nominare e istruire i soggetti incaricati alla gestione delle stesse ed effettuare una valutazione d’impatto privacy (PIA) ai sensi dell’art. 35 del GDPR.

La gestione del canale di segnalazione potrà essere affidata anche ad un soggetto esterno. In ogni caso, l’istituzione del canale di segnalazione (interno o esterno) dovrà essere preceduta da una consultazione con le rappresentanze o le organizzazioni sindacali comparativamente più rappresentative sul piano nazionale.

Poiché le segnalazioni potranno essere effettuate con la massima libertà di forma scritta e orale, i canali di segnalazione dovranno garantire la prova della corretta ricezione della segnalazione (attraverso linee telefoniche, sistemi di messaggistica vocale, modalità informatiche o incontri diretti) e della rigorosa tempistica di risposta, in quanto è previsto l’obbligo di rilasciare al segnalante un avviso di ricevimento della segnalazione entro sette giorni, e un riscontro alla segnalazione entro 30 giorni.

Tutti i potenziali segnalanti dovranno essere resi edotti delle procedure previste per effettuare le segnalazioni mediante informazioni chiare e precise che l’azienda dovrà rendere facilmente visibili nel luogo di lavoro o in una sezione dedicata del suo sito internet, se esistente.

Sarà possibile anche effettuare una segnalazione usando un canale esterno istituito dall’ANAC (l’Autorità nazionale anti corruzione), con le stesse garanzie di riservatezza e protezione elencate sopra, laddove il segnalante non possa ricorrere al canale interno, in quanto non attivo o non conforme alle caratteristiche sopra descritte, o quando ci siano fondati motivi per ritenere che, in caso di segnalazione, il sistema interno non sarebbe efficace o porterebbe a fenomeni di ritorsione o pericoli per il pubblico interesse.

L’entrata in vigore del Dlgs 24/2023 avverrà il prossimo 15 luglio 2023 e, per i soggetti privati con meno di 250 dipendenti, il 17 dicembre 2023.
Entro queste date, dunque, le aziende dovranno attivare il canale di segnalazione, individuare e formare le funzioni preposte, istituire le necessarie procedure aziendali e garantire l’adeguata informazione a tutti i dipendenti.

L’Anac (l’Autorità Nazionale Anticorruzione) potrà applicare sanzioni amministrative pecuniarie

• da 10.000 a 50.000 euro nei casi in cui vengano commesse ritorsioni o quando viene accertato che una segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza,
• da 10.000 a 50.000 euro nel caso in cui Anac accerti che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni,
• inoltre sono previste sanzioni da 500 a 2.500 euro, nel caso in cui venga accertata la responsabilità penale della persona segnalante per i reati di diffamazione o di calunnia.

È inoltre da considerare, in caso di violazioni della normativa privacy, l’applicazione delle relative sanzioni previste dal GDPR.