whistleblowing-compliance-etica

La disciplina del Whistleblowing in ottica di compliance nella sua accezione etica

6 dicembre 2023

di Chiara PONTI

La tematica del whistleblowing (termine inglese che tradotto significa letteralmente “soffiare nel fischietto”) è, in questo periodo, al centro per molte Organizzazioni. 

Non solo per gli adempimenti che la stessa impone alle organizzazioni che abbiano impiegato, nell’ultimo anno, una media di (fino a) duecentoquarantanove (249) lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fra cui l’obbligo della istituzione di un canale di segnalazione interna, fissando al 17 dicembre 2023 l’ultima data utile per poterlo fare e quindi adeguarvisi.

Ma anche per le implicazioni che la disciplina stessa determina in ottica di compliance aziendale, analizzandola in questa sede, nella sua accezione etica.

LA DISCIPLINA DEL WHISTLEBLOWING

Partiamo dal quadro normativo. Il 23 ottobre del 2019 il Parlamento europeo e il Consiglio hanno emanato la Direttiva (UE) 2019/1937(1)  riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione”. In quanto direttiva, come noto, ogni Stato membro è tenuto a recepirla con un atto avente forza di legge. Cosicché con il D.lgs. n. 24/2023(2)  del 10 marzo 2023 “cd Decreto Whistlebowing”, la disciplina del whistleblowing è entrata in vigore anche nel nostro Paese, divenendo in parte qua efficace dal 15 luglio 2023, come disposto dall’art. 24 del citato Decreto.

Con questa (nuova) disciplina si intende proteggere i cosiddetti whistleblowers cioè tutti coloro che “soffiando nel fischietto”, intendono segnalare violazioni di disposizioni normative nazionali o europee poiché lesive dell’integrità dell’Organizzazione cui appartengono. Il contesto è dunque quello lavorativo sia esso pubblico che privato. In quest’ultimo caso, per quelle realtà con meno di cinquanta (50) dipendenti è consentita solo la segnalazione interna. Ma andiamo per gradi.

Gli obiettivi 

La disciplina sul whistleblowing se da un lato è orientata a garantire la manifestazione della libertà di pensiero e di espressioni, dall’altro, è uno strumento per contrastare e, non di meno, prevenire, forme corruttive o altri illeciti.

Le tutele

Il segnalante “cd whistleblower” è colui che effettua la segnalazione. Nel farlo fornisce informazioni che, in quanto tali e se non altrimenti pretestuose, condurranno all’avvio di una indagine, e dopo all’accertamento delle circostanze segnalate e quindi al perseguimento delle stesse, a violazione delle norme provate. Tale meccanismo, quindi, rafforza due principi fondamentali: quello di trasparenza e quell’altro di responsabilità.

A fronte di ciò, il nuovo articolato normativo si pone proprio come obiettivo quello di garantire la protezione dei soggetti che si espongono effettuando delle segnalazioni. Di qui, la doppia tutela, tanto in termini di riservatezza (art. 12) quanto di divieto di ritorsione (art. 17) dal momento che i segnalanti contribuiscono all’emersione e alla prevenzione dei rischi e di situazioni sconvenienti rectius pregiudizievoli.

Ma a essere tutelati non sono solo i whistleblowers, ma anche altri soggetti come il “cd facilitatore” (colleghi, parenti o affetti stabili del segnalante) così definito poiché chiamato ad assistere il segnalante in tutto l’iter del processo di segnalazione, operando all’interno dello stesso contesto lavorativo (art. 2 lett. h); oltre a tutti quelli che si trovano ad essere menzionati nella segnalazione, da rimanere assolutamente riservati. 

La ratio legislativa del whistleblowing risiede nel creare un importante presidio per la legalità e il buon andamento delle Organizzazioni coinvolte.

In concreto, a tutela del whistleblower, è fatto assoluto divieto di compiere atti di ritorsione (come per citarne alcuni licenziamento, demansionamento, trasferimento; riduzione di stipendio, referenze negative; intimidazione/molestie/ostracismo, ecc.) o di discriminazione alcuna.

Il regime sanzionatorio

Nel caso in cui il lavoratore ampiamente inteso (dipendente pubblico o privato, collaboratore/libero professionista, volontari, tirocinanti anche non retribuiti, azionisti, direzione, controllo, vigilanza o rappresentanza) che abbia fatto la segnalazione, non venisse tutelato, l’Autorità Nazionale Anticorruzione –  ANAC competente per materia, potrà disporre di sanzioni amministrative fino a:

  • 30.000 euro, a carico del responsabile dell’amministrazione o ente che abbia adottato misure discriminatorie nei confronti del whistleblower;
  • 50.000 euro a carico del responsabile delle attività di verifica delle segnalazioni, in caso di mancata analisi di quest’ultime;
  • 50.000 euro, in caso di mancata adozione di procedure per inoltro e gestione delle segnalazioni.

Si tratta di tre scaglioni che l’Autorità applicherà se del caso e in base al caso concreto che di volta in volta giunge all’attenzione della stessa.

IL WHISTLEBLOWING COME ULTERIORE TASSELLO DI COMPLIANCE AZIENDALE

Ciò premesso, la disciplina del whistleblowing si può dire fare parte di quel più ampio per non dire vastissimo campo della compliance, costituendone un ulteriore tassello. 

Trattandosi di un adempimento di legge, le Organizzazioni sono chiamate a (dover) garantire la conformità alle normative in questo caso attinenti alla disciplina del whistleblowing, disponendo di due principali strumenti, da un lato dei canali interni, e dall’altro dell’intero impianto di compliance fatto di norme cogenti, vigenti e volontarie, politiche, procedure, buone pratiche, e ogni altro atto/documento utile o necessario, quale “abito su misura” rispetto al contesto di riferimento. 

Ciò vale al fine di identificare prima e classificare dopo i rischi legali e non di meno operativi dell’Organizzazione. L’obiettivo è virtuoso: stabilire meccanismi volti alla prevenzione, gestione, controllo.

Il vantaggio di una compliance integrata 

È indiscusso che, per quelle Organizzazioni virtuose dotate di sistemi di gestione volti a creare un’efficace compliance aziendale non solo formale ma in primis sostanziale, potranno integrare i modelli. 

In pratica, l’Organizzazione a tendere può arrivare ad avere un solo modello di gestione che si intersechi e integri con tutti i sistemi ai fini di una più ampia e strutturata  mitigazione dei rischi (privacy, 231, ecc).

Il “box” operativo: cosa occorre sapere (e) fare 

Dall’entrata in vigore della normativa in questione (D.lgs. 24/2023), non sono mancati dibattiti, dubbi anche interpretativi e concrete difficoltà applicative. Da qui, l’ausilio prima delle Linee Guida ANAC(3)  nel luglio 2023, e poi della Guida operativa di Confindustria(4)  nell’ottobre 2023. Si tratta di documenti che chiariscono le modalità con le quali le Organizzazioni sono chiamate ad attuare i requisiti di norma, anche alla luce delle implicazioni concrete che ciascuna realtà, in base al contesto, si trova a dover affrontare. 

Dalla apparentemente banale esigenza di allocare risorse per la gestione del sistema, alla necessità di soppesare le eventuali conseguenze del caso specie quando o manchi del tutto il sistema in parola, ovvero sia stato predisposto, ma il prodotto non risulta di fatto adeguato.

Ciò non toglie che, in attesa di ulteriori definizioni/migliori pratiche, già ad oggi le Organizzazioni possono rifarsi ad alcuni punti fermi, e in particolare:

  • alla creazione di un canale interno per le segnalazioni garante della riservatezza in tutto e per tutto, mediante strumenti di protezioni (crittografia, autenticazioni sicure, ecc.) e quindi la necessità di adottare un’apposita piattaforma informatica con la possibilità per il whistleblower di fare la segnalazione scritta o comunque oralmente; 
  • alla costituzione di un comitato interno composto da diverse figure, collegialmente riunite le quali possano agire in autonomia, dopo essere state adeguatamente formate; 
  • in presenza dell’Organismo di Vigilanza – Odv per il presidio MOG-231 è verosimile coinvolgerlo assegnandogli l’ulteriore ruolo di gestore delle segnalazioni.

Ancora, operativamente, l’incaricato è tenuto a gestire la segnalazione nei termini e secondo le modalità previste dalla legge, rendendo disponibili chiare informazioni sul canale interno oltre che alle modalità di ricorso al canale esterno.

In punto privacy, gli adempimenti nella disciplina del whistleblowing non possono esulare dalla conformità al GDPR. Pertanto, la Data protection impact assessment – DPIA (una delle principali misure orientate alla protezione dei dati personali), ad esempio, sarà un adempimento di processo. Parimenti, la data retention policy (ove predisposta) andrà rivista ed adeguata previa verifica che il canale individuato sia adeguato alle misure di sicurezza tecniche e organizzative.

I rischi

rischi di una mancata conformità a questa disciplina non sono soltanto pecuniari (con sanzioni amministrative fino a 50.000€), ma anche e in primis legali per una mancata ottemperanza a una normativa cogente e vigente, eziologicamente connessa al D.lgs. 231/2001 dalle note conseguenze penalmente rilevanti; e qualificare un Modello 231 – MOG inefficace per carenza di uno dei suoi elementi essenziali nel senso di sostanziali, significa esporre l’Organizzazione a costi ingenti, per ipotesi, a causa di potenziali contenziosi; con danni reputazionali incalcolabili.

L’OPPORTUNITA’ DEL WHISTLEBLOWING IN OTTICA DI UNA COMPLIANCE ETICA

Guardando la normativa in parola sotto la lente delle opportunità, è evidente che l’effetto positivo dell’intero sistema risieda nel prevenire possibili violazioni intercettando le criticità, gli aspetti illeciti prima che questi rechino danni anche ingenti. Solo un monitoraggio costante e continuo oltre che consapevole e strutturato sui rischi anche legali è considerata una misura efficace anche in termini di impresa “sostenibile”.

Ecco come la pratica del whistleblowing evidenzi l’impegno dell’Organizzazione verso l’integrità quale onestà e rettitudine assoluta. In una parola, etica

Di qui, promuovere un ambiente organizzativo nel quale chiunque si possa sentire libero di segnalare comportamenti non corretti, contribuisce a diffondere/irrobustire/cementificare una cultura aziendale basata sull’etica e sulla responsabilità; che rispetta la libertà di espressione altrui, e che agisce per conseguenza, nel rispetto della persona che pone al centro. 

D’altronde, la protezione del whistleblower [DPO, Compliance Manager, Compliance Officer…] è l’emblema della compliance vista attraverso la lente dell’etica, così come nel metterlo al riparo da probabili ritorsioni. Certo, le segnalazioni dal canto loro non devono essere futili, infondate, pretestuose o dolose.

I requisiti per aver standard etici elevati

Nell’applicazione del whistleblowing, per avere standard etici elevati nel contesto di un’Organizzazione occorrono requisiti come:

  • una comunicazione trasparente grazie alla quale l’Organizzazione informa chiaramente tutti sulla possibilità di segnalare eventuali irregolarità, e forma circa il processo di gestione delle segnalazioni erudendoli anche sulle azioni succedanee alle indagini; 
  • una cultura della responsabilità che punta al benessere dell’Organizzazione in modo reale facendosi concreta portavoce di valori, regole, prassi, consuetudini e condotte improntante alla legalità e integrità. 

CONCLUSIONI

Oggi giorno, quindi, elementi come la fiducia, la trasparenza, la governance risk e compliance – GRC(5)   aziendale sono dei must have che un’Organizzazione non si può (più) permettere di non avere o di considerare in maniera assai modesta. Attualmente, un’Organizzazione che sia trasparente, affidabile, etica/sostenibile è una leva fondamentale che premia ed agevola il business, sul lungo. La compliance nel senso più pieno del termine non a caso risponde all’esigenza delle Organizzazioni di implementare/radicare valori morali e best pratice, oltre ad essere lo strumento (legale) fondamentale in grado di assicurare una reale ed efficace compliance(6).


Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1)  Direttiva (UE) 2019/1937, “La protezione delle persone che segnalano violazioni del diritto dell’Unione”

(2)  D.lgs. n. 24/2023, La protezione delle persone che segnalano violazioni del diritto dell’Unione 

(3)  ANAC, “Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne” del 12 luglio 2023

(4)  Confindustria, “Disciplina whistleblowing, nuova guida operativa” del 27 ottobre 2023

(5)  C. PONTI (2023) GRC, un approccio integrato nel processo di Auditing ISO 27001 – Risk & Compliance Platform Europe; www.riskcompliance.it

(6)  A. CERBONI (2023) Compliance non va tradotto con conformità! – Risk & Compliance Platform Europe; www.riskcompliance.it



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *