Whistleblowing: la scadenza per le aziende è il 17 dicembre
Le aziende del settore privato di piccole dimensioni hanno ancora poche settimane per gli adempimenti dettati dalla nuova disciplina sul whistleblowing, entrata in vigore il 30 marzo con il D.Lgs. 24/2023, che tutela le persone che segnalano violazioni di cui siano venute a conoscenza nel contesto lavorativo e che prevede l’istituzione di un canale interno di segnalazione, adeguate procedure e la nomina di un soggetto incaricato della gestione.
La normativa, infatti, ha lasciato tempo fino al 17 dicembre prossimo per le società che abbiano impiegato nell’ultimo anno una media di lavoratori tra i 50 e i 249, mentre per gli altri soggetti, pubblici e privati, la scadenza è decorsa il 15 luglio.
Obiettivo della legge, in linea con la direttiva europea da cui origina, è quello di rafforzare la tutela giuridica delle persone che segnalano internamente all’azienda, o all’esterno mediante il canale istituito da Anac, o divulgano pubblicamente, violazioni di disposizioni normative nazionali o europee, che ledono l’interesse pubblico o l’integrità dell’ente pubblico o privato.
Le disposizioni si applicano anche a tutte le imprese che abbiano adottato un modello di organizzazione, gestione e controllo (” Modello 231 ”), indipendentemente dalla loro dimensione, per le segnalazioni relative a condotte illecite rilevanti ai fini della normativa sulla responsabilità da reato degli enti e per le violazioni del Modello 231.
Il dibattito sugli aspetti attuativi – Dopo l’entrata in vigore della normativa, si è aperto un ampio dibattito su alcuni temi interpretativi ed attuativi, in parte chiariti, almeno in termini di indirizzo, dalle Linee Guida Anac del 12 luglio 2023.
Ulteriore supporto alle aziende è arrivato da Confindustria con la Guida operativa pubblicata ad ottobre che ha esposto una serie di indicazioni utili per gli adempimenti previsti. Il documento ha inteso “offrire suggerimenti pratici sulle soluzioni più adeguate per definire le procedure interne anche tenendo conto delle specificità di ciascuna struttura aziendale”, anche facendo riferimento alle estese Linee Guida di Anac e focalizzandosi in particolare sulle modalità di predisposizione del canale di segnalazione, sull’individuazione dell’ufficio preposto alla segnalazione e sulle modalità per garantire tutele previste a favore del segnalante e degli altri soggetti coinvolti.
Inoltre, altre organizzazioni sono intervenute su temi specifici: dal Position Paper della Associazione Organismo di Vigilanza AODV231 che propone prime indicazioni sul ruolo dell’Organismo di Vigilanza nel sistema di whistleblowing al Documento di Ricerca del Consiglio Nazionale dei Commercialisti CNCCEC , che si è particolarmente concentrato sugli effetti della nuova disciplina sui modelli organizzativi, sulle modalità di segnalazione degli illeciti e sulla loro gestione oltre che sul ruolo dell’Organismo di Vigilanza.
Questi contributi – talvolta anche sollecitati dalla base associativa – si sono aggiunti a quelli di altri soggetti intervenuti nei primi mesi dopo l’entrata in vigore della normativa, ed evidenziano l’esigenza ancora viva di chiarire le modalità di attuazione dei requisiti normativi, anche alla luce delle implicazioni pratiche, delle peculiarità di ciascuna azienda, della necessità di allocare risorse per la gestione del sistema e delle conseguenze a cui può andare incontro l’impresa nel caso di mancata o inidonea predisposizione del sistema di whistleblowing.
Mentre si vanno definendo best practice e in attesa di orientamenti giurisprudenziali o ulteriori interventi normativi, restano alcuni punti fermi sui quali le aziende devono agire attuando scelte adeguate alla propria struttura organizzativa ed operativa.
Principali fasi d’attuazione – Il primo step è l’attivazione, sentite le rappresentanze sindacali, di un canale interno per le segnalazioni che garantisca il rispetto della riservatezza dell’identità del segnalante, della persona coinvolta o menzionata nella segnalazione nonché del contenuto della segnalazione, anche tramite il ricorso a strumenti di crittografia.
Fermo il requisito sopra descritto, che porta a prediligere il dotarsi di una apposita piattaforma informatica (anche visto l’indirizzo di Anac che esclude l’idoneità dell’email), l’azienda deve far in modo che le segnalazioni possano essere effettuate sia in forma scritta (anche tramite modalità informatiche) che orale (linee telefoniche, messaggistica vocale, incontro diretto).
La gestione del canale interno deve essere affidata ad una persona o ufficio interno oppure ad un soggetto esterno con requisiti di autonomia e specifica formazione.
Il requisito dell’autonomia rimanda all’esigenza di garantire imparzialità e assenza di condizionamenti o interferenze che possano compromettere l’obiettività rispetto a persone coinvolte e contenuto della segnalazione.
Non appare sempre possibile individuare risorse che possano garantire tali requisiti all’interno di aziende di piccola e media dimensione con una struttura organizzativa priva di figure elettivamente autonome o deputate a funzioni di controllo come internal audit o compliance.
In molti casi può essere opportuno definire un comitato interno composto da soggetti che collegialmente considerati possano costituire un ufficio con requisiti di autonomia e idonea formazione. Nei casi di adozione del Modello 231, si può valutare di coinvolgere l’Organismo di Vigilanza, eventualmente anche assegnandogli espressamente l’ulteriore ruolo di gestore delle segnalazioni.
L’opzione dell’affidamento ad un soggetto esterno renderà sempre necessario verificare non solo l’effettiva autonomia ma anche la professionalità, ossia conoscenze specialistiche e disponibilità di misure tecniche ed organizzative, che garantiscano riservatezza e protezione dei dati.
Resta pertanto sempre necessario fare scelte che tengano di volta in volta conto dell’organizzazione, e non solo della disponibilità di figure interne di controllo o prive di mansioni operative (anche in area legal o HR), ma anche del loro effettivo ruolo, posizione in organigramma, seniority e formazione.
Il soggetto incaricato ha un ruolo chiave nel sistema: dovrà gestire la segnalazione nei termini e secondo le modalità espressamente indicate dalla legge e rendere disponibili informazioni chiare sul canale interno, nonché sulle modalità di ricorso al canale esterno, in modo che siano facilmente visibili sul luogo di lavoro e accessibili anche ai soggetti esterni che possono effettuare segnalazioni. Tali informazioni devono essere pubblicate sul sito internet, se disponibile.
Nella gestione degli adempimenti per la definizione del sistema, particolare attenzione meritano le specifiche indicazioni a tutela della riservatezza ed al trattamento dei dati, tra l’altro adeguando la data retention policy, verificando l’adeguatezza del canale quanto alle misure di sicurezza tecniche e organizzative, svolgendo una DPIA, eseguendo le necessarie nomine.
Tutti gli adempimenti vanno condotti considerando non solo la fase di costituzione del sistema ma anche la fase di gestione, monitorandone l’efficacia e la conformità ai requisiti anche in caso di cambiamenti organizzativi e seguendo l’evoluzione normativa ed interpretativa.
Rischi ed opportunità – I rischi connessi alla mancata o inidonea conformità nella istituzione e gestione dei canali e delle segnalazioni non sono legati solo alla possibile applicazione di sanzioni da parte dell’ANAC, fino a € 50.000. L’inidoneità del sistema potrebbe infatti determinare violazioni della normativa sulla data protection (e possibili sanzioni), qualificare l’inefficacia del Modello 231 per carenza di uno dei suoi elementi sostanziali, esporre a costi in termini di contenziosi con dipendenti per l’assenza delle idonee tutele, legittimare il ricorso del segnalante al canale esterno o alla divulgazione pubblica della segnalazione.
Guardando la nuova normativa in termini di opportunità, deve considerarsi l’effetto positivo sul rafforzamento delle misure di prevenzione di violazioni in ambito aziendale, disponibilità di un sistema che intercetti le criticità prima che possano determinare danni, continuo monitoraggio dell’organizzazione per un più consapevole e strutturato controllo dei rischi, sostegno al commitment aziendale verso la sostenibilità.
Articolo ripreso da FederPrivacy