direttiva whistleblowing

Whistleblowing significato e rapporti con il MOGC 231 e con il GDPR

12 maggio 2023

di Alberto LEGNARO

Whistleblowing significato e rapporti con il Modello di organizzazione e gestione ai sensi del Decreto legislativo 8 giugno 2001, n. 231, con la direttiva whistleblowing (Direttiva UE 2019/1937) e con il GDPR

Con riferimento al termine whistleblowing traduzione storicamente significativa è quella data da Ralph Nader, attivista e politico americano, nel 1972: “an act of a man or woman who, believing that the public interest overrides the interest of the organization he serves, blows the whistle that the organization is involved in corrupt, illegal, fraudulent or harmful activity.

L’espressione individua l’azione di denuncia/segnalazione compiuta dal whistleblower ovvero la persona che lavorando all’interno di un’organizzazione, di un’azienda pubblica o privata è testimone di un comportamento irregolare, illegale, potenzialmente dannoso per la collettività e decide di segnalarlo all’interno dell’azienda stessa o all’autorità giudiziaria o all’attenzione dei media, affinché venga posta una fine a quel comportamento (letteralmente whistleblower sta per “chi soffia – blower – nel fischietto – whistle” derivante dall’espressione metaforica “to blow the whistle” che inizialmente veniva usata col significato di “interrompere qualcosa bruscamente” come farebbe un arbitro con un colpo di fischietto).

In Italia nel settore privato la prima regolamentazione del whistleblowing è avvenuta con la Legge 179/2017 la quale ha stabilito disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui fossero venuti a conoscenza nell’ambito del rapporto di lavoro introducendo un’apposita disciplina nell’ambito del Decreto Legislativo 8 giugno 2001, n. 231 relativo alla responsabilità amministrativa da reato degli enti: in tal modo,

  • l’ente privato (società, associazione, ecc.) che sceglie di dotarsi del Modello 231 deve anche prevedere un sistema di segnalazioni di condotte illecite, rilevanti ai sensi del D. Lgs. 231 del 2001, oltre che di garanzia della protezione nei confronti del segnalatore di illeciti (c.d. sistema di whistleblowing appunto).

Finora nel settore privato tale sistema di tutela dei whistleblowers ha trovato applicazione solamente in capo agli enti privati che adottano il Modello 231 tuttavia il recepimento della Direttiva Whistleblowing UE con il D. Lgs. 10 marzo 2023, n. 24 ha innovato la disciplina vigente.

La Direttiva (UE) 2019/1937 (c.d. Direttiva Whistleblowing ) e il successivo Decreto legislativo 10 marzo 2023, n. 24 di attuazione hanno riformato la materia del whistleblowing: l’obiettivo è quello di:

  1. rafforzare i principi di trasparenza e responsabilità e,
  2. prevenire la commissione di reati
  3. senza distinzione tra settore pubblico e privato.

Le principali novità per i soggetti del settore privato:

  • in tema di whistleblowing i soggetti obbligati saranno:
    1) i soggetti che hanno impiegato, nell’ultimo anno, una media di almeno 50 lavoratori dipendenti,
    2) i soggetti che rientrano in determinati ambiti di applicazione degli atti dell’UE (quali ad esempio servizi, prodotti e mercati finanziari), anche se nell’ultimo anno non hanno raggiunto la media di lavoratori subordinati di cui al n. 1),
    3) i soggetti che adottano il Modello organizzativo ai sensi del Decreto Legislativo 8 giugno 2001, n. 231 e che nell’ultimo anno hanno impiegato la media di lavoratori dipendenti di cui al n. 1),
    4) i soggetti che adottano il Modello 231 anche se nell’ultimo anno non hanno raggiunto la media di lavoratori dipendenti di cui al n. 1),
  • ampliamento del concetto di whistleblower, comprensivo oltre che dei dipendenti anche di tutti quei soggetti collegati in senso ampio all’organizzazione nella quale si è verificata la violazione e che potrebbero temere ritorsioni (ad esempio ex dipendenti, lavoratori autonomi, tirocinanti, subappaltatori, fornitori, colleghi e parenti del whistleblower, ecc.),
  • obbligo per le imprese private di istituire canali interni per le segnalazioni whistleblowing, unitamente alla previsione di canali esterni e pubblici, e di implementare procedure per dare seguito alla segnalazione ricevuta tutelando la riservatezza dell’identità del segnalante oltre al divieto di qualsiasi atto ritorsivo nei confronti di quest’ultimo all’esito della segnalazione inoltrata (incluse anche forme indirette di discriminazione come ad esempio valutazioni negative della performance, referenze negative o mancate promozioni),
  • le segnalazioni potranno riguardare anche le violazioni del diritto dell’UE lesive del pubblico interesse o che rientrano in settori come servizi, sicurezza e conformità dei prodotti, sicurezza degli alimenti, protezione dei consumatori, appalti pubblici, tutela dell’ambiente, sicurezza delle reti e dei sistemi informativi e tutela della vita privata, protezione dei dati personali, ecc., eccetto che per i soggetti di cui al punto 4) nei confronti dei quali tale tipologia di segnalazioni non è prevista.

Con riguardo al whistleblowing ANAC applicherà sanzioni amministrative pecuniarie fino a 50.000,00 Euro in ipotesi di violazione delle previsioni del D. Lgs. 24/2023.

Le disposizioni del Decreto Legislativo in parola avranno effetto dal 15 luglio 2023.
Tuttavia, per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori dipendenti fino a 249, l’obbligo di istituzione del canale di segnalazione interna decorrerà dal 17 dicembre 2023.

In tal senso, l’adozione del Modello 231 non solo offre un valido approccio in termini di adeguamento ai nuovi obblighi di legge ma, al contempo, può dare all’assetto dell’ente quell’autoregolamentazione tipica dello strumento in grado di recare potenziali benefici sia in termini organizzativo-gestionali che economico-strategici oltre che di preclusione della responsabilità 231.

Parliamo ora dei profili legati alla disciplina della protezione dei dati personali: difatti, l’adozione di un sistema di Whistleblowing nel settore privato richiede che lo stesso venga effettuato anche in conformità alla normativa del GDPR.

Innanzitutto con riferimento alla liceità del trattamento, in quanto i trattamenti di dati personali connessi alla gestione delle segnalazioni whistleblowing costituiscono adempimento di un obbligo legale a cui soggiace il titolare del trattamento.

Inoltre, il Garante Privacy, in considerazione dei rischi per diritti e libertà, della delicatezza delle informazioni potenzialmente trattate nonché delle vulnerabilità a cui sono esposti gli interessati nel contesto lavorativo, ha voluto sottolineare l’importanza di ulteriori adempimenti quali:

  • una specifica informativa agli interessati sui caratteri essenziali dei trattamenti di dati personali relativi all’acquisizione della segnalazione,
  • la mappatura dei trattamenti dei dati personali per l’acquisizione e la gestione delle segnalazioni di condotte illecite nel Registro trattamenti (rilevante in ottica di accountability),
  • una valutazione d’impatto sulla protezione dei dati personali e, ove necessario, la consultazione preventiva dell’Autorità di controllo,
  • la qualificazione soggettiva dei soggetti che a vario titolo possono trattare i dati personali nell’ambito dell’acquisizione e gestione delle segnalazioni,
  • l’adozione di misure a tutela degli interessati con riguardo al tracciamento degli accessi agli applicativi per le segnalazioni whistleblowing,
  • l’implementazione delle misure tecniche e organizzative che soddisfino i requisiti richiesti sotto il profilo della sicurezza e garantiscano la tutela dell’identità del segnalante (in ossequio al concetto di “privacy by design”).

Una corretta redazione del sistema di Whistleblowing impone senz’altro un’attenta valutazione da parte dell’azienda per la quale l’apporto di un professionista appare consigliato per non dire imprescindibile.

Intervento di Alberto LEGNARO, Giurista internazionale d’Impresa, Avvocato e Consulente 231



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *