Whistleblowing: ultimo termine per le aziende italiane
I whistleblower sono fondamentali per mantenere una società aperta e trasparente, in quanto denunciano atti illeciti e irregolarità.
Per garantire che i segnalanti vengano protetti adeguatamente da eventuali ritorsioni, il 16 dicembre 2019 è stata pubblicata la Direttiva UE 2019/1937 sul Whistleblowing.
Gli obiettivi della Direttiva Europea sul Whistleblowing sono:
- Rilevare e prevenire comportamenti scorretti e violazioni di leggi e regolamenti;
- Migliorare l’applicazione della legge implementando canali di segnalazione efficaci, affidabili e sicuri per proteggere i segnalanti da eventuali ritorsioni;
- Proteggere i whistleblower aiutandoli a denunciare atti illeciti o irregolarità in modo sicuro, garantendo la possibilità di segnalare in modo anonimo.
Whistleblowing: Il recepimento della Direttiva 2019/1937 in Italia
Prima dell’arrivo della nuova legge italiana sul whistleblowing, quest’ultimo era regolato dalla Legge 179 del 2017, che aveva introdotto l’obbligo di dotarsi di canali di segnalazioni anche per le aziende del settore privato dotate di modello organizzativo 231, integrando in questo modo la preesistente disciplina prevista per il settore pubblico (art. 54-bis, D. Lgs. n. 165/2001).
Il 9 marzo 2023 il Consiglio dei Ministri ha approvato il decreto legislativo recante attuazione della Direttiva UE 1937/2019 in materia di whistleblowing e la nuova legge italiana sul Whistleblowing (d.lgs n.24) è entrato ufficialmente in vigore.
Le aziende italiane pubbliche e private con più di 250 dipendenti sono chiamate a implementare un sistema di segnalazione di illeciti interno entro il 15 luglio, mentre quelle con più di 50 dipendenti hanno tempo fino al 17 dicembre 2023 per adeguarsi ai nuovi requisiti (cf. infra).
La protezione dei segnalanti è al centro della Direttiva sul Whistleblowing
Il tema principale della Direttiva è la protezione dei segnalanti.
Ecco i punti essenziali:
- La protezione non viene garantita solo ai dipendenti che effettuano la segnalazione, ma anche ai clienti, fornitori, tirocinanti, candidati, ex dipendenti, giornalisti…;
- Le persone coinvolte sono protette dal licenziamento, dal demansionamento e da altre forme di discriminazione;
- La protezione si applica solo alle segnalazioni di illeciti relativi al diritto dell’UE, come frode fiscale, riciclaggio di denaro o reati in materia di appalti pubblici, sicurezza dei prodotti e stradale, protezione dell’ambiente, salute pubblica e tutela dei consumatori e dei dati;
- Il segnalante può scegliere se riportare un sospetto all’interno dell’azienda o direttamente all’autorità di vigilanza competente. Se non accade nulla in risposta a tale segnalazione, o se il segnalante ha motivo di ritenere che sia nell’interesse pubblico, può rivolgersi direttamente ai media. I segnalanti sono protetti in entrambi i casi. Con queste misure protettive l’UE garantisce ai segnalanti che non devono temere ritorsioni e allo stesso tempo incoraggia le persone a segnalare le violazioni all’interno dell’azienda.
Requisiti della politica di whistleblowing
Le aziende sono tenute a istituire canali di segnalazione interna per i dipendenti e gli altri stakeholder (liberi professionisti, consulenti, tirocinanti, azionisti, amministratori, stagisti, fornitori) per esprimere preoccupazioni relative alla conformità legale o normativa e/o per segnalare sospetti illeciti o comportamenti illegali o non etici.
L’Autorità Nazionale Anticorruzione (“ANAC”) è stata incaricata di emanare una serie di linee guida sull’implementazione di canali di segnalazione esterni e pubblici in aggiunta alle politiche interne.
Scadenze per l’implementazione delle politiche di whistleblowing
Aziende con almeno 250 dipendenti: entro il 15 luglio 2023.
Altre aziende soggette al Decreto (con meno di 250 dipendenti): entro il 17 dicembre 2023, aziende che hanno impiegato, nell’ultimo anno, una media di almeno 50 lavoratori subordinati;
aziende hanno adottato Modelli Organizzativi ex D. Lgs. 231/2001 anche se non hanno raggiunto la media di 50 lavoratori subordinati, ma in questo caso potranno essere oggetto di segnalazione solo le violazioni ex D. Lgs. 231/2001.
Le conseguenze in caso di violazione delle nuove norme
Le violazioni possono essere punite come illecito amministrativo con una multa da:
- da 10.000 a 50.000 euro nei casi di ritorsione nei confronti del segnalante, di impedimento alla segnalazione o di mancata istituzione di canali interni di segnalazione.
- da 500 a 2.500 euro se l’azienda non protegge adeguatamente l’identità di chi denuncia.
Privacy e whistleblowing
L’Autorità Garante per la Protezione dei Dati Personali (Garante Privacy) ha recentemente emanato due decisioni che stabiliscono alcuni requisiti delle politiche di whistleblowing esistenti in termini di protezione del segnalante e privacy.
In una di queste decisioni, l’11 maggio 2022, ha sanzionato una società informatica che aveva fornito servizi di whistleblowing a un ospedale per una violazione del GDPR.
Il software fornito all’ospedale dalla società informatica non garantiva l’anonimato nel caso delle segnalazioni, ma consentiva, attraverso la registrazione dei dati, l’identificazione dei potenziali informatori.
L’Autorità italiana per la protezione dei dati personali ha imposto una multa di 40.000 euro sia all’ospedale che alla società informatica.