È ormai imminente anche la scadenza dell'ultimo termine previsto dal D.Lgs. 24/2023 per l'adeguamento delle aziende del settore privato alla nuova disciplina whistleblowing.
Quest'ultima ha rimodellato gli obblighi in materia di protezione delle persone che segnalano violazioni di disposizioni nazionali o europee di cui vengono a conoscenza in ragione dell'attività lavorativa svolta, individuando ex novo l'ambito oggettivo e soggettivo di applicazione, nonché le definizioni rilevanti, le norme in materia di segnalazioni interne, esterne e di divulgazioni pubbliche. Al contempo, il D.Lgs. 24/2023 fissa puntuali obblighi di riservatezza, predisponendo strumenti per la tutela dei segnalanti, fissando le condizioni per l'applicazione delle misure di protezione e prevedendo presidi a fronte di eventuali ritorsioni, misure di sostegno e ipotesi di limitazioni della responsabilità.
Nel prosieguo sono fornite alcune indicazioni specifiche per le aziende che hanno adottato un modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001, tenute all'adeguamento alla nuova disciplina anche se hanno un numero di dipendenti inferiore a 50.
Gli adempimenti in scadenza il 17 dicembre 2023
Al fine di tutelare l'interesse pubblico e l'integrità dell'ente, le regole menzionate, indirizzate a proteggere i soggetti che segnalano le condotte illecite di cui sono venuti a conoscenza in ambito lavorativo, hanno l'obiettivo di incentivare le segnalazioni. La nuova disciplina, tra obblighi e tutele, prevede l'istituzione e la regolamentazione di apposite procedure di segnalazione (canali interni, esterni e divulgazione pubblica), garantendo la riservatezza e stabilendo uno specifico regime applicabile in caso di ritorsioni.
Istituzione del canale interno di segnalazione
Innanzitutto, occorre istituire il canale interno di segnalazione e ciò significa, da un lato, determinare le modalità con cui il segnalante potrà inviare le segnalazioni e, dall'altra, individuare il soggetto (interno o esterno) deputato alla gestione delle stesse.
In questi primi mesi di applicazione della normativa, probabilmente anche in considerazione del fatto che ANAC, accogliendo le indicazioni del Garante Privacy, ha ritenuto la posta elettronica uno strumento non adeguato a garantire la riservatezza, è stato riscontrato, seppur maggiormente gravoso in termini economici, il prevalente utilizzo di piattaforme informatiche da parte degli enti interessati. Risultano disponibili sul mercato numerose piattaforme che garantiscono la riservatezza dell'identità del segnalante, del segnalato, del contenuto della segnalazione e della relativa documentazione, mediante l'utilizzo di protocolli sicuri e strumenti di crittografia. Da un'ampia analisi di mercato emerge, poi, che molte piattaforme consentono di inviare anche segnalazioni in forma orale, tramite la registrazione di un messaggio vocale, mentre talune altre prevedono la possibilità di gestire le eventuali richieste di incontro diretto con il soggetto deputato alla gestione delle segnalazioni. L'ampio ventaglio di strumenti offerti dal mercato garantirebbe la facoltà, in capo al segnalante e normativamente prevista, di optare tra più modalità di inoltro della segnalazione.
Individuazione del gestore del canale
Definito il canale interno, occorre individuare il soggetto incaricato della gestione delle segnalazioni (c.d. gestore). La scelta è rimessa all'autonomia organizzativa di ciascun ente, che potrà optare per un soggetto/ufficio interno all'ente con personale dedicato, anche se non in via esclusiva, oppure avvalersi di un soggetto esterno. Al riguardo ANAC precisa che deve trattarsi di un soggetto che possieda requisiti di autonomia, imparzialità e indipendenza, specificamente formato sulla disciplina del whistleblowing, citando a titolo esemplificativo e non esaustivo: l'Organismo di Vigilanza ex D.Lgs. 231/2001, gli organi di internal audit, i comitati etici.
In ossequio al principio di proporzionalità, evidentemente, per gli enti di piccole o medie dimensioni la scelta, non semplicistica, comporterà valutazioni ponderate in virtù di un sostanziale approccio basato sul rischio, in ottica di presidio e mitigazione dello stesso.
Adozione di un atto organizzativo interno
ANAC evidenzia la necessità dell'adozione di un apposito atto organizzativo che definisca le procedure per il ricevimento e la gestione delle segnalazioni, atto che dovrà:
essere adottato dall'organo di indirizzo;
definire il ruolo e i compiti dei diversi soggetti cui è consentito l'accesso alle informazioni e ai dati contenuti nella segnalazione, limitando il trasferimento di questi ultimi ai casi strettamente necessari;
definire le modalità e i termini di conservazione dei dati appropriate e proporzionate ai fini della procedura di whistleblowing.
La procedura, oltre ai destinatari, all'oggetto e al contenuto della segnalazione, deve individuare le caratteristiche del canale interno di segnalazione ed elencare tassativamente le ipotesi (residuali) di utilizzo di quello esterno; inoltre, deve descrivere le forme di tutela della riservatezza e protezione dalle ritorsioni, nonché la responsabilità del whistleblower. Infine, nella procedura sono disciplinati i flussi informativi interni e le modalità di conservazione documentale nel rispetto della normativa in materia di protezione dei dati personali.
Modifica del sistema disciplinare
Nel sistema disciplinare, che costituisce parte integrante del Modello 231, devono essere introdotte sanzioni nei confronti di coloro che accertano essere responsabili delle violazioni previste dalla nuova disciplina.
L'adozione della procedura di whistleblowing deve essere formalmente comunicata ai dipendenti.
Le informazioni sull'utilizzo del canale interno e di quello esterno devono essere rese accessibili anche alle altre persone legittimate a presentare segnalazioni, ad esempio mediante affissione in bacheca, pubblicazione in una sezione apposita del sito web della società/ente, ecc.
L'adeguamento del Modello 231 e della procedura è oggetto di attività formative specifiche.
Trattamento dei dati personali
Dovranno evidentemente essere assolti tutti gli adempimenti in materia di protezione dei dati personali, tra cui la predisposizione delle informative sul trattamento dei dati per il segnalante e per le persone coinvolte nella segnalazione, la definizione dei ruoli e dei rapporti con il soggetto deputato alla gestione delle segnalazioni (autorizzato o responsabile ex art. 28 Reg. UE 2016/679), l'aggiornamento del registro dei trattamenti. Imprescindibile, inoltre, proprio perché espressamente previsto dal D.Lgs. 24/2023, la valutazione di impatto volta a stabilire se le misure tecniche e organizzative adottate siano inidonee a garantire un livello di sicurezza adeguato agli specifici rischi che derivano dai trattamenti effettuati.
Rapporti con le rappresentanze sindacali
Altra necessaria considerazione riguarda le rappresentanze sindacali o le organizzazioni sindacali di cui all'art. 51 D.Lgs. 81/2005, che devono essere informate, in quanto normativamente previsto dal decreto, prima dell'adozione dell'intero sistema.
ANAC, a conferma del sempre maggiore interesse per la materia, ha pubblicato l'elenco degli enti del “Terzo Settore” con cui è stata stipulata una convenzione per garantire misure di sostegno ai segnalanti (vale a dire informazioni, assistenza e consulenze a titolo gratuito sulle modalità di segnalazione e sulla protezione dalle ritorsioni, sui diritti della persona coinvolta e sull'accesso al patrocinio a spese dello Stato). Attualmente sono sei gli enti iscritti nell'elenco istituito da ANAC.