Whistleblowing-Opportunita

Internal Whistleblowing: come trasformare un obbligo in un’opportunità multi-compliant per le aziende

28 aprile 2023

di Milena CIRIGLIANO

Con il D.Lgs. 24/2023, pubblicato in Gazzetta Ufficiale S.G. n. 63 del 15 marzo 2023(1), va in onda, nell’ordinamento giuridico italiano, l’adozione per le aziende del settore pubblico e privato di uno strumento (canale di segnalazione ) che favorisca e concretizzi una ratio legis ambiziosa quanto eticamente informata: il progetto europeo di prevenzione della corruzione viene nazionalizzato, enfatizzata la tutela dei segnalatori (Whistleblowers) ovvero di quei “solerti soffiatori” che all’interno di un’organizzazione pubblica o privata narrino illeciti che pregiudichino l’interesse pubblico o l’integrità dell’ente di appartenenza (a segnalare possono essere dipendenti – compresi gli ex- e assimilati – ad esempio gli stagisti – ma anche stakeholders come clienti e fornitori).

Centrale la riservatezza rispetto al segnalante e al fatto narrato.

Se l’attenzione del legislatore ai protocolli anticorruzione come il whistleblowing appare attuale e giustificata alla luce degli ingenti finanziamenti previsti dal Recovery Plan posto che l’aumento del rischio corruttivo è direttamente proporzionale agli appalti finanziati, l’assetto normativo richiede sforzi interpretativi non da poco. Ad esempio, un tema sfidante ed aperto riguarda l’individuazione della “figura” (monocratica o collegiale) preposta all’interno dell’organizzazione aziendale a gestire le segnalazioni.

Le aziende dotate di modelli organizzativi, avvezze ai protocolli di whistleblowing, possono contare sull’organismo di vigilanza, che tuttavia si potrebbe trovare a dover valutare comportamenti critici al di fuori del perimetro tracciato dal D.Lgs. 231/01 e ss.mm.ii. Aumentano le violazioni rilevanti: a quelle del diritto nazionale già declinate, per il settore pubblico, con la L. 190/2012 e per il settore privato, con la L. 179/2017 si sommano le violazioni del Diritto Europeo.

Fortemente impattate dal nuovo obbligo le aziende a soglia dimensionale ridotta; infatti, il D.Lgs. 24/2023 amplifica l’efficacia dell’obbligo di conformità imponendo un criterio perimetrico: sono chiamate ad adottare un canale di segnalazione (protocollo di whistleblowing) tutte le aziende che nell’ultimo anno abbiano impiegato in media 50 o più dipendenti. Per le aziende sotto soglia nessun obbligo: organizzarsi o meno è una scelta rimessa all’accountability.

Il decreto attuativo conferisce all’ANAC il potere di irrogare sanzioni amministrative pecuniarie fino a 50.000 euro in caso di mancato adeguamento o di violazioni delle prescrizioni normative. Giustificata la curiosità degli addetti ai lavori che in trepidante attesa, confidano nelle linee guida ANAC di prossima emanazione (il 30 giugno 2023) al fine di respirare conferme circa le scelte di compliance già covate nell’interna corporis degli apparati aziendali o eventualmente apportare i necessari correttivi.

In ogni caso, poiché questo adeguamento “s’ha da fare” entro il 15 luglio 2023, (un po’ più di respiro -fino al 17 dicembre 2023 – è concesso alle aziende del settore privato che abbiano impiegato fino a 249 lavoratori nell’ultimo anno) meglio sfruttare l’obbligo trasformandolo in opportunità.

Come fare

Dotarsi di un applicativo ad hoc è la soluzione che va per la maggiore, fiutano il nuovo business i players di mercato, è tutto un pushing di offerte sull’adozione di un canale di segnalazione informatico che promette di essere a norma, ma attenzione alla scelta.

Quali caratteristiche deve avere l’applicativo

Per centrare l’obiettivo di strutturare un impianto di whistleblowing multi-compliant, virtuoso, trasparente, efficace nonché adatto ad ogni realtà aziendale, si impone un esercizio di compliance integrata: occorre analizzare e strutturare il protocollo scelto,

  • non solo alla luce delle norme ma anche
  • delle indicazioni fornite dalla autorità Garante della Concorrenza e del Mercato ( nelle linee guida sulla compliance antitrust del 25 settembre 2018) e
  • del Garante della Privacy che nel censurare alcune scelte operate dagli enti sanzionati – si leggano i provvedimenti nn. 134 e 135 del 7 aprile 2022 – fornisce una guida di conformità al GDPR.

Centrale la sicurezza informatica: il protocollo di rete deve essere tecnicamente sicuro (lo è il protocollo https) al fine di proteggere il transito dei dati contenuti nelle segnalazioni; deve consentire di separare i dati identificativi del segnalante dal contenuto della segnalazione. Il mercato offre software avanzati dal punto di vista tecnologico – che consentono denunce in forma anonima e non – da corredare con un’adeguata informativa art. 13 GDPR ed analizzare ad hoc alla luce della relativa DPIA (data protection impact assessment).

Come costruire un protocollo multi-compliance

Se tutto l’impianto di segnalazione, e qui la compliance si fa integrata, viene studiato ed attuato alla luce della normativa sulla responsabilità penale/amministrativa delle società (D.Lgs. 231/01 e ss.mm.ii.) ma anche in ottica di compliance privacy ed antitrust, si coglie l’opportunità di costruire un protocollo multi-compliance concedendo al whistleblower la possibilità di mantenere l’anonimato esattamente come quando si racconta una notitia criminis alla pubblica autorità. L’anonimato garantisce in re ipsa la tutela della riservatezza del segnalante ne stimola la narrazione, poiché annulla il timore di ritorsioni. Lo intuisce l’AGCM che nelle linee guida sulla compliance antitrust del 25 settembre 2018 raccomanda, nell’ambito di programmi di compliance relativi alla normativa di tutela della concorrenza, procedure di whistleblowing adeguate, auspicando la modalità di denuncia anche in forma anonima. Dà l’esempio essa stessa dotandosi di un applicativo ad hoc, annunciato con un recente comunicato stampa il 27 febbraio 2023.

Le convenienze che il sistema di whistleblowing integrato consente:

1) schivare la sanzioni per mancato/non conforme adeguamento alla D.Lgs. 24/2023;

2) ridurre le sanzioni comminate alle imprese dall’AGCM sulla base dell’art 15, co.1 della L. 287/del 1990. L’AGCM, nel definire le linee guida sulle modalità di applicazione dei criteri di quantificazioni delle sanzioni amministrative pecuniarie irrogate dall’autorità stessa in applicazione dell’articolo 15, co. 1 della legge 287/90, ha individuato, tra le possibili circostanze attenuanti, l’adozione ed il rispetto di uno specifico programma di compliance, adeguato e allineato alle best practice europee e nazionali;

3) ottenere la conformità anche ai fini del rapporto di sostenibilità: a ragionare in ottica di compliance integrata si scovano connessioni tra la lotta alla corruzione e gli innovativi temi di ESG. Le politiche e le pratiche di anticorruzione sono infatti parte sempre più integrante ed essenziale della sostenibilità sociale, ambientale e di governance sono dunque una caratteristica distintiva per un numero crescente di imprese. Un indicatore rilevante di questo trend è il lancio in Borsa Italiana del MIB ESG il primo indice che mira a indentificare i grandi emittenti italiani dotati delle migliori pratiche ESG;

4) potenziare la qualifica fornitori: un’azienda che – nel quadro delle proprie politiche anticorruzione – ha già implementato solide procedure di Whistleblowing, nel controllare (attraverso la qualifica) i terzi e la supply chain dimostra di essere sensibile ed in grado di diffondere la cultura dell’anticorruzione e della prevenzione dei reati in genere, valutando il fornitore anche in base all’adozione dei protocolli anticorruzione;

5) curare e valorizzare l’immagine aziendale: le società che adottano strumenti di comunicazione trasparente con i propri stakeholders fornendo strumenti concreti di prevenzione della corruzione (il protocollo di whistleblowing ne è un esempio) vengono percepite da dipendenti, fornitori, clienti e partner, come aziende, eticamente informate, impegnate nella lotta all’illegalità, promotrici di un business sicuro, credibilmente proiettate verso un futuro più sostenibile.

Intervento di Milena CIRIGLIANO – Avvocato, DPO e Compliance Officer c/o Gruppo API


Per approfondimenti e normative, consultare i seguenti link e/o riferimenti:

(1) D.Lgs. 24/2023 – Whistleblowing: protezione delle persone che segnalano violazioni normative



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *