di Marco CASSARO e Stefano GALLI
Introduzione
Con il decreto legislativo 10 marzo 2023, n. 24 (di seguito, anche “Decreto”)(1), pubblicato nella Gazzetta Ufficiale del 15 marzo 2023, l’Italia ha recepito la Direttiva (UE) 2019/1937(2) del Parlamento europeo e del Consiglio, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (cd. Whistleblowing).
La nuova normativa, progettata per garantire la tutela degli individui che segnalano condotte illecite nel contesto lavorativo, si propone di incentivare tali segnalazioni a beneficio sia delle organizzazioni coinvolte che dell’interesse pubblico in generale.
Inevitabilmente, le implicazioni di queste nuove disposizioni si estendono alle Aziende, imponendo loro l’adozione di regole mirate a gestire con efficacia le segnalazioni. Parallelamente, è richiesto un pieno adempimento agli obblighi normativi in materia di protezione dei dati personali, comunemente noti come aspetti legati alla “privacy“. Questi requisiti sono essenziali:
- per garantire la sicurezza e la riservatezza del segnalante, nonché
- per gestire in modo appropriato l’intero processo di segnalazione.
Giova segnalare, come meglio si dirà nel seguito, che il Decreto ha introdotto due diverse scadenze per l’applicazione della nuova disciplina:
- i) quello che ormai è passato da circa 6 mesi i.e. 15 luglio per le aziende che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati superiore a 250 unità;
- ii) il prossimo 17 dicembre, per le aziende che, nell’ultimo anno, hanno impiegato una media di lavoratori subordinati fino a 249 unità.
Interessante notare il cambio di prospettiva introdotto dalla nuova normativa: si passa, infatti, da un preliminare criterio di adozione del canale di segnalazione solo per quelle Aziende che avevano implementato il Modello di Organizzazione, Gestione e Controllo ex D.Lgs. 231/2001 a un criterio quantitativo basato sul numero di lavoratori impiegati dall’Azienda.
Ecco, dunque, alcunI degli adempimenti che le Aziende devono attuare per conformarsi alla cogente normativa in materia di whistleblowing e privacy.
1. Panoramica Normativa
Prima di tutto appare fondamentale analizzare il nuovo ambito normativo, così come modificato dalla Direttiva UE 2019/1937, dal Decreto Legislativo 24/2023 e meglio chiarito dalle Linee Guida ANAC(3), dal Parere del Garante della Privacy n. 304 del 6 luglio 2023(4), dalla Guida Operativa per gli enti privati di Confindustria(5) e dalle Linee Guida del CNDCEC(6); la numerosità di Autorità di settore che si sono interessate al tema lascia trasparire l’importanza dell’argomento.
Come già detto, la direttiva europea intende armonizzare la normativa degli Stati membri in materia di whistleblowing, stabilendo norme minime comuni per garantire un elevato livello di protezione delle persone che segnalano violazioni del diritto dell’Unione e creando regole per l’implementazione di canali di comunicazione sicuri, sia all’interno di un’organizzazione, sia all’esterno. È altresì utile specificare che, in casi specifici, la direttiva prevede anche la possibilità di effettuare la segnalazione mediante la divulgazione pubblica attraverso i media.
In ultima analisi, la direttiva si pone l’obiettivo di contrastare e prevenire fenomeni illeciti all’interno delle organizzazioni sia pubbliche che private, incoraggiando la segnalazione di condotte pregiudizievoli, delle quali il segnalante sia venuto a conoscenza nel contesto lavorativo e che potrebbero causare danni all’ente di appartenenza e, di conseguenza, arrecare pregiudizio all’interesse pubblico collettivo.
Al fine di recepire la Direttiva UE 2019/1937 senza che questa arretri le tutele già riconosciute nel nostro ordinamento, il Decreto Legislativo 24/2023 ha abrogato e modificato la disciplina nazionale previgente, racchiudendo in un unico testo normativo, valevole sia per il settore pubblico che per il settore privato, le tutele previste per i soggetti che segnalano condotte illecite poste in essere in violazione delle disposizioni europee e nazionali, purché basate su fondati motivi e lesive dell’interesse pubblico o dell’integrità dell’ente.
Con particolare riferimento al settore privato, il nuovo Decreto intende rafforzare i principi di trasparenza e responsabilità in materia di segnalazioni di violazioni di cui si è venuti a conoscenza nell’ambito del proprio contesto lavorativo in qualità di dipendenti o collaboratori, lavoratori subordinati e autonomi, liberi professionisti ed altre categorie come volontari e tirocinanti anche non retribuiti, gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.
In tale contesto normativo, si inseriscono le linee guida ANAC e la Guida Operativa per gli enti privati di Confindustria, che forniscono una serie di indicazioni e direttive per la corretta implementazione di politiche e procedure in materia di segnalazioni di illeciti all’interno delle organizzazioni, pubbliche e private.
Le Linee Guida ANAC, adottate con delibera del 12 luglio 2023, sono volte a dare indicazioni per la presentazione ad ANAC delle segnalazioni esterne e per la relativa gestione, come previsto dall’art. 10 del D.Lgs. n. 24/2023, nonché fornire indicazioni e princìpi di cui gli enti pubblici e privati possono tener conto per i propri canali e modelli organizzativi interni, su cui ANAC si riserva di adottare successivi atti di indirizzo. Inoltre, in continuità con gli orientamenti del Garante italiano della Privacy, le Linee guida di ANAC chiariscono, anche, l’ambito delle condotte segnalabili e ribadiscono la necessità di garantire – nel caso delle segnalazioni tramite piattaforma informatica – la non tracciabilità del segnalante per non vanificare le tutele di riservatezza previste dalla legge, ma di tracciare, a tutela della sicurezza del trattamento, le operazioni effettuate dal personale autorizzato a gestire le segnalazioni.
Lo scorso mese di ottobre 2023, anche Confindustria ha emesso la propria Guida operativa per gli Enti privati in materia di whistleblowing, con l’intento di offrire alle Aziende destinatarie della nuova disciplina whistleblowing una serie di indicazioni e misure operative.
Giova segnalare che anche il CNDCEC, nel mese di ottobre 2023, ha pubblicato un documento di ricerca sulla nuova disciplina del whistleblowing e gli impatti sul D.Lgs. 231/2001 con particolare riguardo agli effetti della nuova disciplina sui modelli organizzativi, sulle modalità di segnalazione degli illeciti e sulla loro gestione, nonché sul ruolo dell’Organismo di Vigilanza e sull’opportunità che a quest’ultimo sia attribuita la funzione di gestore delle segnalazioni.
Relativamente alla tutela della riservatezza dei dipendenti che segnalano un eventuale illecito presso la propria amministrazione o la propria azienda, il Garante italiano della Privacy, con parere n. 304 del 6 luglio 2023, si è detto favorevole circa la possibilità, prevista dalle Linee Guida ANAC, di inviare una segnalazione direttamente all’Autorità Anticorruzione.
2. Termine ultimo 17 Dicembre 2023. Sì, ma a chi si applica?
Come già detto, il Decreto prevede che la nuova disciplina si applichi, in via generale, a decorrere dallo scorso 15 luglio 2023. Il termine del 17 dicembre 2023, invece, riguarda i seguenti soggetti del settore privato:
- enti privati che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati compresa da 51 a 249 unità.
- enti privati che rientrano nell’ambito di applicazione degli atti dell’Unione Europea (settori bancario, assicurativo, del credito, dell’investimento, etc.) anche se nell’ultimo anno non hanno impiegato la media di almeno 50 lavoratori subordinati;
- enti privati che hanno adottato il Modello di Organizzazione, Gestione e Controllo ex D.lgs. 231/2001, anche se nell’ultimo anno non hanno impiegato la media di almeno 50 lavoratori subordinati.
Fino al 17 dicembre 2023, continua ad applicarsi la disciplina previgente (art. 6, co. 2-bis del Decreto legislativo 8 giugno 2001, n. 231).
3. Consigli utili per una ricetta a prova di Compliance. Spunti e prassi operative
Sulla base di quanto sopra riportato è chiaro come la disciplina del whistleblowing e la normativa in materia di tutela e protezione dei dati debbano oggi essere gestite in un’ottica di integrazione. Pertanto, ciò che sarà necessario verificare o premurarsi di aver fatto prima di proclamare la conformità sarà sicuramente:
- comunicazione dell’implementazione del sistema whistleblowing alle rappresentanze sindacali interne, ovvero, a scelta del Datore di Lavoro, alle rappresentanze o le associazioni sindacali comparativamente più rappresentative sul piano nazionale. Il D.Lgs. 24/2023, per come formulato letteralmente all’art. 4 comma 1, sembra suggerire una consultazione preventiva del sindacato rispetto all’attivazione del sistema whistleblowing: “[…] i soggetti del settore privato, sentite le rappresentanze o le organizzazioni sindacali di cui all’articolo 51 del decreto legislativo n. 81 del 2015, attivano […]”;
- implementazione di almeno due canali di segnalazione idonei ad assicurare la riservatezza dell’identità del segnalante, delle persone coinvolte (segnalato, facilitatore, eventuali altri terzi), del contenuto della segnalazione e della documentazione a essa relativa. Per quanto attiene agli strumenti, la normativa ut sopra prevede che le segnalazioni possono essere effettuate secondo diverse modalità:
- forma scritta, analogica o con modalità informatiche (ad esempio, mediante piattaforma informatica o lettere raccomandate). Sul punto, giova segnalare come le linee guida ANAC e il Parere del Garante della Privacy n. 304 del 6 luglio 2023 considerino inadeguate la posta elettronica ordinaria e la PEC come canale di segnalazione;
- forma orale, attraverso linee telefoniche dedicate o sistemi di messaggistica vocale e, su richiesta del segnalante, attraverso un incontro diretto con il gestore della segnalazione, che deve essere fissato entro un tempo ragionevole;
- individuazione di un gestore delle segnalazioni, al quale affidare la gestione del canale di segnalazione. Questo soggetto può essere individuato in un ufficio interno all’Azienda o ad un soggetto, interno o esterno all’azienda, che sia autonomo (inteso come imparziale ed indipendente) e specificamente formato (attenzione ai conflitti di interesse).
- adozione di un’apposita procedura per il ricevimento delle segnalazioni e per la loro gestione. In particolare, tale documento, secondo le Linee Guida ANAC deve essere formalmente adottato mediante delibera dell’organo amministrativo dell’azienda;
- esecuzione di un’adeguata attività di informazione e formazione verso i segnalanti circa il canale, le procedure e i presupposti per effettuare le segnalazioni, interne o esterne. In particolare, tali informazioni devono essere esposte, ad esempio, nei luoghi di lavoro e sul sito internet dell’azienda, nonché, laddove implementata, sulla piattaforma informatica. A titolo esemplificativo e non esaustivo, si raccomanda di fornire tramite gli strumenti anzidetti le seguenti informazioni:
- soggetti legittimati a effettuare le segnalazioni;
- soggetti che godono delle misure di protezione riconosciute dal Decreto;
- violazioni che possono essere segnalate;
- indicazioni sul canale di segnalazione implementato
- tutele riconosciute;
- sistema sanzionatorio.
- implementazione della documentazione privacy necessaria per garantire la conformità al GDPR. A tal proposito e con particolare riferimento agli adempimenti in materia di tutela e protezione dei dati ricordiamo la necessità di:
- fornire specifica informativa ex art. 13 GDPR al soggetto segnalante/segnalato al fine di renderlo edotto dei dati trattati, delle informazioni relative al titolare del trattamento e dell’eventuale DPO nominato, delle finalità per le quali i dati saranno utilizzati etc.;
- ove presente (intendendosi in questo caso la volontà di affidare esternamente il servizio di gestione delle segnalazioni ad Azienda terza tramite applicativo), nomina a responsabile del trattamento ex art. 28 GDPR e contestuale verifica delle misure di sicurezza da esso adottato;
- esecuzione della DPIA ex art. 35 GDPR raccogliendo con particolare attenzione le informazioni circa le modalità di tutela e riservatezza dei dati personali trattati al fine del calcolo del rischio;
- aggiornamento del Registro del Titolare delle attività di trattamento ex art. 30 par. 1 GDPR mappando le finalità di trattamento inerenti al ricevimento e alla gestione delle segnalazioni;
- lettera di incarico al Whistleblowing Manager e contestuale nomina ad autorizzato al trattamento dei dati ex art. 29 GDPR.
Infine, in un’ottica di compliance integrata e con particolare riferimento alle Società che hanno un Modello Organizzativo 231 di particolare rilevanza sarà necessario:
- aggiornare il Modello 231 con l’indicazione dei canali di segnalazione interna adottati dall’ente ai sensi della nuova normativa whistleblowing, avendo cura di esplicitare: il riferimento al divieto di commissione di qualsiasi atto di ritorsione come richiamato dalla norma; il rispetto dei doveri di riservatezza nel trattamento delle informazioni relativamente alla gestione delle segnalazioni;
- adeguare i canali di segnalazione in considerazione dei requisiti introdotti dal nuovo Decreto 24/2023;
- integrare il sistema disciplinare previsto dal Modello 231, prevedendo sanzioni nei confronti dei responsabili delle violazioni per le quali l’ANAC applica sanzioni amministrative pecuniarie.
4. Sanzioni e altri rimedi
Come molto spesso accade non c’è norma che si rispetti senza un buon apparato sanzionatoria che obblighi le Azienda ad adeguarsi ed ecco dunque che qualora entro il detto termine del 17 dicembre 2023, l’ente privato non abbia implementato il “Sistema Whistleblowing” oppure abbia implementato un sistema inadeguato, che non garantisce la riservatezza, l’ANAC, autorità competente per l’applicazione delle sanzioni, applicherà al responsabile le seguenti sanzioni amministrative pecuniarie:
- da 10.000 a 50.000 euro quando accerta che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero che l’adozione di tali procedure non è conforme a quelle di cui agli articoli 4 e 5, nonché quando accerta che non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute;
È bene ricordare, inoltre, che il Decreto prevede anche le seguenti ipotesi di sanzione:
- da 10.000 a 50.000 euro quando accerta che sono state commesse ritorsioni o quando accerta che la segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza;
- da 500 a 2.500 euro, nel caso di cui all’articolo 16, comma 3, salvo che la persona segnalante sia stata condannata, anche in primo grado, per i reati di diffamazione o di calunnia o comunque per i medesimi reati commessi con la denuncia all’autorità giudiziaria o contabile.
Per quanto ci è dato sapere, anche a fronte delle varie partecipazioni a convegni da parte dell’ANAC ad oggi ed in relazione alle Aziende del settore privato che erano tenute ad adeguarsi entro il 15 luglio 2023 le segnalazioni hanno riguardato la mancata adozione da parte della Società di sistemi in linea con la nuova normativa.
Si segnala ai fini di studio ed approfondimento alcuni link utili.(7)
5. E per i Gruppi Societari?
Per quanto riguarda i Gruppi Societari anche da questo punto la normativa di settore offre spunti di riflessioni ed ottimi suggerimenti operativi. Va da sé che il workflow di adeguamento alla normativa potrebbe variare a seconda della struttura del Gruppo, delle scelte aziendali interne nonché della Sede di appartenenza di ciascuna Società.
Di particolare rilevanza è certamente la Circolare n. 12 del 18 aprile 2023 emessa da Assonime, alla luce dell’interpretazione della Commissione Europea (secondo la quale la condivisione del canale era concessa solo alle medie imprese e non a quelle di grandi dimensioni nelle quali una gestione centralizzata avrebbe pregiudicato le ragioni di efficienza del canale) e dell’art. 4 D.Lgs. 24/2023 secondo la quale i gruppi di imprese dovrebbero valutare se rinunciare ad una gestione centralizzata in favore di un doppio canale (uno a livello locale e uno a livello centrale), permettendo al segnalante di decidere quale strumento utilizzare.
Questa opzione potrebbe consentire di mantenere poteri investigativi a livello centrale e separare, almeno in parte, il processo di segnalazione dalla gestione delle informazioni.
Per quanto nella Nostra esperienza, le Aziende appartenenti al medesimo Gruppo possono condividere il canale di segnalazione informatica nell’ottica di una gestione congiunta del processo e per garantire una compliance integrata di gruppo. In tale ipotesi, la capogruppo potrebbe essere individuata quale soggetto che predispone la piattaforma, smista e/o gestisce le segnalazioni, purché:
- sia garantito che ciascuna Azienda possa accedere esclusivamente alle segnalazioni di propria spettanza (e.g. tutte le Società appartenenti al medesimo Gruppo possono adottare la medesima piattaforma di segnalazione informatica, prevedendo la possibilità di specificare per quale Azienda viene effettuata la segnalazione);
- siano stipulati apposti accordi/convenzioni tra loro nei quali siano definiti i termini della gestione associata delle segnalazioni (e.g. modalità di funzionamento del canale, soggetto destinatario delle segnalazioni, misure tecniche e organizzative adottate, etc.);
Ovviamente, la condivisione del canale non è l’unica soluzione percorribile. Infatti, è possibile anche una gestione decentralizzata del canale a livello di singola Azienda.
Attenzione ovviamente alle peculiarità che ciascuno stato membro potrebbe adottare come ad esempio in materia di tempistiche di conservazione dei dati diverse (e.g Spagna/Italia) nonché le eventuali tempistiche di risposta e presa incarico.
Intervento di:
Marco CASSARO, Avvocato | Responsabile Ufficio Legale & Compliance e DPO di Gruppo | Kirey Group
Dott. Stefano GALLI, Legal & Compliance Specialist | Kirey Group
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Decreto legislativo 10 marzo 2023, n. 24 per il recepimento della Direttiva 2019/1937, (cd. Whistl eblowing)
(2) Direttiva UE 2019/1937, La protezione delle persone che segnalano violazioni del diritto dell’Unione (cd. Whistleblowing)
(3) ANAC, Linee Guida in materia di Whistleblowing, Delibera n. 311 del 12 luglio 2023
(4) Garante della Privacy, Parere n. 304 del 6 luglio 2023 sullo Schema di Linee Guida in materia di Whistleblowing
(5) Confindustria, Guida Operativa per gli enti privati, Nuova Disciplina Whistleblowing, ottobre 2023
(6) CNDCEC, Nuova Disciplina sul Whistleblowing ed impatto sul D.Lgs. 231/2001, ottobre 2023
(7) Garante per la protezione dei dati personali, Provvedimento n. 235 del 10 giugno 2021, ordinanza ingiunzione nei confronti di Aeroporto Guglielmo Marconi di Bologna S.p.A. – 10 giugno 2021
(7) Garante per la protezione dei dati personali, Provvedimento n. 236 del 10 giugno 2021, ordinanza ingiunzione nei confronti di aiComply S.r.l. – 10 giugno 2021
(7) Garante per la protezione dei dati personali, Provvedimento n. 134 del 7 aprile 2022, ordinanza ingiunzione nei confronti di Azienda ospedaliera di Perugia – 7 aprile 2022
(7) Garante per la protezione dei dati personali, Provvedimento n. 135 del 7 aprile 2022, ordinanza ingiunzione nei confronti di ISWEB S.p.A. – 7 aprile 2022