Whistleblowing: cosa prevede la normativa per le segnalazioni di condotte illecite

Il fenomeno del whistleblowing è sempre più presente e discusso nella società odierna. Con l'entrata in vigore della Direttiva Europea sul whistleblowing (2019/1937) e la crescente attenzione dei media, diventa sempre più importante comprendere cosa si intenda per whistleblowing e come si possa segnalare eventuali illeciti. Inoltre, è fondamentale conoscere le normative presenti in Europa e in Italia che tutelano il whistleblower e gli obblighi che le aziende devono rispettare. In questo articolo esploreremo il concetto di whistleblowing, le leggi presenti in Italia ed Europa, il ruolo e le garanzie della figura del whistleblower e gli obblighi delle aziende in materia di segnalazioni di illeciti.

Cosa si intende per Whistleblowing

Whistleblowing è il termine utilizzato per descrivere la situazione in cui un individuo, chiamato "segnalante" (whistleblower in inglese), denuncia spontaneamente atti illeciti o irregolarità all'interno dell'ente di cui fa parte e di cui è stato testimone durante l'esercizio delle proprie funzioni. Questo può includere la segnalazione di violazioni delle norme, reati, situazioni di corruzione o frodi, o pericoli per la salute o la sicurezza pubblica. Il segnalante è spesso un dipendente, ma può anche essere un fornitore o un cliente terzo.  

Perché un sistema di segnalazione di irregolarità sia efficace e valido deve essere:  

• di facile accesso e utilizzo  
• assicurare la riservatezza di ogni segnalazione  
• prevedere il monitoraggio e la gestione delle segnalazioni  
• produrre i report necessari per le funzioni e gli organi preposti.  

Il D.lgs. 24/2023 prevede che le segnalazioni possano essere effettuate in due diversi modi:  

• il whistleblowing "interno" si verifica quando un dipendente dell'azienda utilizza i canali di segnalazione interni per segnalare un'illegalità o comportamenti non etici all'interno dell'organizzazione. Questi mezzi sono stati implementati per fornire una linea di comunicazione per coloro che hanno conoscenze di atti scorretti all'interno dell'azienda.  
• si definisce whistleblowing “esterno” se la denuncia viene fatta pubblicamente, come ad esempio alle autorità giudiziarie o alla stampa. Questa forma è spesso utilizzata da persone che non hanno abbastanza fiducia nell'organizzazione o che non pensano che i sistemi interni o le procedure di gestione dei casi siano sufficienti.  

Indipendentemente dalla modalità effettuata della segnalazione, affinché possa essere considerata "whistleblowing", la denuncia deve riguardare illeciti disciplinati dal diritto nazionale o europeo. Tuttavia, le policy e le procedure aziendali possono ampliare il campo di situazioni pertinenti, arrivando a coprire comportamenti non etici o non conformi al Codice di condotta.  

È importante considerare che il whistleblowing riguarda la violazione di una legge o di un regolamento, la minaccia di un interesse pubblico come nel caso della corruzione e della frode e/o situazioni gravi e specifiche di pericolo per la salute e la sicurezza pubblica. È diverso da una semplice "lamentela", che solitamente riguarda una questione di interesse personale.  

Le segnalazioni possono essere effettuate tramite:  

• un sistema informatico  
• in forma scritta o orale (utilizzando anche linee telefoniche e altri mezzi di messaggistica vocale).  
• In alternativa, se richiesto dalla persona, anche tramite un incontro in presenza.  

L’Autorità Nazionale Anticorruzione (ANAC) è autorità competente per le segnalazioni esterne, anche per il settore privato.

La persona, l'ufficio interno o il soggetto esterno responsabile della gestione del canale di segnalazione interna devono svolgere almeno le seguenti attività:  

• fornire alla persona che ha segnalato un avviso di ricevimento entro sette giorni dalla data di ricezione;  
• mantenere il contatto con la persona che ha segnalato chiedendo eventualmente di fornire ulteriori informazioni;  
• procedere diligentemente con le segnalazioni ricevute.  
• fornire una risposta alla segnalazione entro tre mesi dalla data in cui l'avviso di ricevimento è stato ricevuto, oppure entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione, se l'avviso non è stato ricevuto.  

• sia sui siti web sia nei luoghi di lavoro, sono necessarie informazioni chiare sulle procedure e sui canali per effettuare segnalazioni interne ed esterne.  

Ci sono molteplici scenari possibili, ma spesso le denunce riguardano principalmente la corruzione, la discriminazione e le molestie sul luogo di lavoro, le violazioni della legge e dei crimini penali, la violazione dei diritti umani, la corruzione attiva o passiva, la cattiva amministrazione o gestione, l'abuso dell’insider trading e l'uso improprio dei dati.  

L'utilizzo scorretto dei dati può comportare rischi diversi per i dipendenti, le aziende o addirittura per l'intero paese. È essenziale scoprire comportamenti non etici al fine di impedire l'arricchimento illecito da parte di individui o aziende, o la commissione di altri crimini senza alcuna conseguenza penale.  

In queste azioni risiedono pericoli e implicazioni di varie dimensioni per i lavoratori, le imprese o persino per le nazioni. Per questo motivo, è estremamente importante denunciare comportamenti anti-etici al fine di impedire che persone e aziende guadagnino illegalmente o commettano altri reati senza essere penalizzati.  

Whistleblower: trattamento dei dati personali

Ogni segnalazione viene accompagnata da un trattamento di dati personali, che deve essere conforme a quanto previsto dal GDPR.  

Il soggetto incaricato di gestire la segnalazione, sia esso di natura pubblica o privata, verrà identificato come Titolare del trattamento e quindi dovrà:  

• Assicurarsi di rispettare i principi previsti dal GDPR e dall'art. 3 del D.lgs.51/2018 sulla tutela dei dati personali  
• Nominare e formare le persone incaricate del trattamento
• Individuare i "Responsabili del trattamento" eventuali fornitori esterni che trattano i dati personali per loro conto, ad esempio un fornitore di servizi informatici per la raccolta e la segnalazione

• Eseguire una Valutazione di Impatto sulla Protezione dei Dati Personali (DPIA)
• Garantire la riservatezza dell'identità del segnalante e astenersi da eventuali ritorsioni contro di lui
• Attuare misure di sostegno a favore del whistleblower

La scelta di segnalare un comportamento sbagliato o illegale è principalmente basata sulla volontà personale del segnalante di fare ciò che è giusto. Tuttavia, nonostante la normativa protegga il segnalante dalle eventuali ripercussioni, la sua carriera potrebbe comunque risentirne. Il mobbing sul posto di lavoro, specialmente al livello più basso dell'organizzazione, può essere difficile da individuare. I segnalanti vengono spesso isolati e i colleghi in cui hanno fiducia potrebbero voltare le spalle per proteggere la propria reputazione. Nonostante il sistema di segnalazione sia anonimo, i segnalanti devono avere coraggio e determinazione per denunciare le irregolarità, potenzialmente esponendo i propri colleghi e l'organizzazione per cui hanno lavorato per molti anni.  

Il segnalante ha la possibilità di segnalare un reato all'interno dell'azienda o direttamente all'autorità di vigilanza competente. Se la segnalazione non viene presa in considerazione internamente o se il denunciante crede che l'evento abbia un impatto sull'interesse pubblico, ha il diritto di contattare direttamente le autorità competenti. In ogni caso, i segnalanti sono protetti.  

La protezione si riferisce soltanto alle denunce riguardanti violazioni del diritto comunitario, come ad esempio evasione fiscale, riciclaggio di denaro o reati legati agli appalti pubblici, alla sicurezza dei prodotti e dei trasporti, alla tutela dell'ambiente, della salute pubblica, dei diritti dei consumatori e dei dati personali (l'Unione Europea incoraggia i legislatori a estendere l'ambito di applicazione anche nella loro legislazione nazionale).  

Attualmente in molti paesi europei la protezione legale per i whistleblower è solo parziale. Tuttavia, grazie alla Direttiva UE sulla denuncia di irregolarità, i segnalanti sono garantiti di avere maggiori tutele, sia nel settore pubblico che in quello privato, in tutti gli Stati membri dell'Unione Europea.  

Direttiva e obblighi per le aziende

La Direttiva proibisce all'azienda di prendere atti diretti o indiretti di rappresaglia, come stabilito dal D. Lgs., che includono: licenziamento, retrocessione, discriminazione, cambiamento di luogo di lavoro, taglio salariale, modifica dell'orario di lavoro, interruzione della formazione o del rapporto di lavoro, l'uso di misure disciplinari o altre sanzioni magari monetarie, danni, incluso il danno alla reputazione della persona.  

Le aziende titolari del trattamento dovranno esaminare se gli strumenti e i processi utilizzati sono adeguati alla luce delle regolamentazioni sulla protezione dei dati, considerando attentamente le scelte.

L'impresa dovrà:  

• creare un proprio modello di ricevimento e gestione delle segnalazioni, eseguendo una valutazione preliminare dell'impatto sulla protezione dei dati ("DPIA") ai sensi dall'art. 35 del GDPR.  
• nel rispetto dei principi fondamentali di privacy by design e privacy by default, verranno implementate misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato in relazione ai rischi specifici derivanti dalle operazioni di trattamento dei dati sensibili. In particolare, si prenderà in considerazione la delicatezza dei dati trattati, gli eventuali effetti ritorsivi o discriminatori sulla persona che segnala, la cui identità è protetta da particolari regimi di riservatezza, nonché la vulnerabilità dei soggetti coinvolti (segnalante e segnalato).  

Un importante spunto proviene dalle Linee Guida sul whistleblowing dell'Autorità Nazionale Anticorruzione emesse a giugno 2021. Le Linee Guida, pur essendo rivolte al settore pubblico, identificano le misure di sicurezza che un sistema di gestione efficace dovrebbe adottare, come ad esempio:  

• distinzione tra il contenuto delle segnalazioni e l'identità del segnalante deve essere mantenuta, mediante l'utilizzo della crittografia - come richiesto anche dall'articolo 4 del decreto legislativo 24/2023 - e l'accesso selettivo ai dati. Inoltre, sono in vigore sistemi di autenticazione e tracciamento dell'attività degli utenti, per prevenire attività illecite e comportamenti impropri nel sistema.  

• l'azienda dovrà fare una selezione accurata del tipo di canale interno, e registrare le proprie decisioni in conformità con gli articoli 24 e 25 del GDPR, come specificato dal principio generale di responsabilità.  
• identificare le mansioni dei responsabili incaricati di gestire le notifiche. Nel caso di un ufficio interno all'azienda, il personale correlato deve essere autorizzato al trattamento delle informazioni ai sensi dell'articolo 29 del GDPR - articolo 2 quaterdecies del Codice della privacy.  
• nel caso in cui una segnalazione sia fatta da una fonte esterna, l'impresa deve nominare un responsabile del trattamento ai sensi dell'art. 28 del GDPR, dopo aver verificato l'affidabilità e le garanzie del soggetto individuato.  
• se si utilizza un software per la gestione delle segnalazioni, indicare il provider responsabile del trattamento dei dati.  
• organizzare e fornire informazioni adeguate in conformità agli art. 13 e 14 del GDPR sui trattamenti svolti relativi alle segnalazioni, inclusi i diritti previsti dagli art. 15-22 del GDPR, che possono essere esercitati nell'ambito dell'art. 2 undecies del D.lgs. 196/2003. Le informazioni, insieme alle informazioni sul canale e sulle procedure, devono essere visibili sul luogo di lavoro e in una sezione apposita del sito web aziendale.  

• il trattamento dei dati deve essere effettuato seguendo i principi generali dell'art. 5 GDPR, con particolare attenzione al principio di minimizzazione. Inoltre, l'art. 13, comma 2 del decreto prevede che non si debbano raccogliere dati che non sono utili per la segnalazione e che devono essere cancellati immediatamente in caso di raccolta accidentale.  
• dovrebbe essere presa in considerazione la durata della conservazione dei rapporti e della documentazione correlata. L'art. 14 stabilisce un periodo massimo di cinque anni dalla data della comunicazione del risultato finale della procedura di segnalazione.  
• riportare il registro delle attività di trattamento a una versione più recente.  

I vantaggi derivanti dalle aziende che implementano un sistema di segnalazione per le denunce sono che questa procedura migliora il controllo interno e offre la possibilità di individuare eventuali criticità in modo tempestivo prima che possano generare danni o responsabilità maggiori. Spesso, i dipendenti hanno maggiori opportunità di individuare eventuali anomalie all'interno dell'azienda e segnalarle ai dirigenti per intervenire.  

Normative in Europa e Italia

In Europa, i paesi pionieri nella creazione di leggi per la protezione dei whistleblower sono la Francia e il Regno Unito. Questi paesi già dispongono di leggi per tutelare le persone che segnalano eventi illeciti all'interno di un'azienda o organizzazione, promuovendo una cultura favorevole alla segnalazione.  

La Direttiva dell'UE sul whistleblowing rappresenta un importante passo avanti nella protezione dei whistleblower: tutte le aziende con più di 50 dipendenti e le istituzioni pubbliche o i comuni con almeno 10.000 abitanti nell'Unione Europea sono tenute a istituire un sistema di segnalazione interna.  

La nuova normativa prevede un sistema di segnalazione a tre livelli: inizialmente i dipendenti devono segnalare alle autorità interne, poi possono rivolgersi alle autorità competenti se la segnalazione interna non sortisce effetto, infine, in ultima istanza, possono segnalare pubblicamente. Tuttavia, una segnalazione pubblica può danneggiare la reputazione e l'economia dell'azienda segnalata.  

In Italia, la tematica è stata introdotta attraverso la Legge 90/2012; una norma che richiedeva l'uso di sistemi di prevenzione della corruzione, come un meccanismo di whistleblowing per le pubbliche amministrazioni. In seguito, questa legge è stata estesa a una parte del settore privato con la Legge 179/2017. Il regolamento sul whistleblowing si applica anche alle condotte illecite nel settore privato, quali la violazione della Legge 231/2001 sul Modello 231.  

Con l'entrata in vigore del GDPR nel 2018, sono state introdotte nuove misure per preservare la "riservatezza dell'identità del segnalatore".  

Il Consiglio dei Ministri ha approvato il D.lgs. che incorpora la direttiva dell'UE del 2019/1937 sul whistleblowing; il decreto legislativo n. 24/2023 è stato pubblicato nella Gazzetta Ufficiale il 15 marzo 2023. Entrato in vigore il 30 marzo 2023, avrà efficacia dal 15 luglio 2023. Il Decreto ha esteso l’applicazione della disciplina in materia di whistleblowing, rendendola obbligatoria anche nel settore privato oltre che nel pubblico.

Il Decreto ha stabilito le scadenze in cui la nuova disciplina dovrà essere applicata dagli enti pubblici e dalle imprese:

• tutti gli enti pubblici e società con più di 250 dipendenti si devono adeguare alla norma entro luglio 2023
• le società da 50 a 249 dipendenti e quelle con meno di 50 dipendenti, che hanno adottato un modello 231, si dovranno adeguare entro dicembre 2023.

L’ANAC applica al responsabile le seguenti sanzioni amministrative pecuniarie:

• da 10.000 a 50.000 euro quando accerta che sono state commesse ritorsioni o quando accerta che la segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza di cui all’articolo 12;
• da 10.000 a 50.000 euro quando accerta che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni;
• da 500 a 2.500 euro, nel caso in cui venga accertata la responsabilità penale della persona segnalante per i reati di diffamazione o di calunnia.

 
Hai bisogno di una consulenza in materia di whistleblowing? Scopri il nostro servizio di consulenza

‍

FAQ - Domande frequenti ‍

1. Cos'è il whistleblowing?

Il whistleblowing è la segnalazione di un illecito o di un comportamento scorretto da parte di un dipendente da parte dell’ente per cui lavora. Questa pratica prevede la segnalazione, da parte del dipendente, di condotte illecite o irregolarità che possono danneggiare l'organizzazione stessa o il pubblico.

2. Chi può segnalare?

Tutti i dipendenti pubblici o privati, con la possibilità di segnalare anche in forma anonima. Inoltre, anche i cittadini, le organizzazioni della società civile e le altre parti interessate possono segnalare eventuali illeciti e comportamenti scorretti da parte dei dipendenti pubblici o delle aziende private. Tuttavia, è importante che le segnalazioni siano fatte in buona fede e basate su prove sufficienti, in modo da evitare eventuali conseguenze negative per le persone coinvolte.  

3. Cosa significa segnalare un illecito?

Segnalare un illecito significa informare le autorità competenti o la propria organizzazione di un comportamento scorretto che va contro le leggi o le regole interne. Questa pratica è importante per garantire la trasparenza e la legalità all'interno delle organizzazioni e per prevenire eventuali danni. ‍

4. Quali sono le condotte illecite che possono essere segnalate?

Possono essere segnalate tutte le violazioni di leggi o regolamenti, nonché tutte quelle condotte che, pur essendo "legali", violano l'etica professionale o i principi di integrità. Esempi di condotte illecite che possono essere segnalate sono:  

• corruzione, concussione, peculato, abuso d'ufficio, frode fiscale, evasione fiscale, riciclaggio di denaro sporco;  
• discriminazione, molestie, violenza sul lavoro, mancato rispetto della privacy dei dipendenti o dei clienti;  

• attività in conflitto d'interesse, sfruttamento del patrimonio aziendale per scopi personali, manipolazione del mercato, insider trading; - Violazione delle norme sulla sicurezza sul lavoro, dell'ambiente, della salute pubblica;  
• Mancata segnalazione di comportamenti scorretti o illeciti da parte di colleghi o superiori;  
• Violazione dei diritti dei consumatori o dei fornitori, frode nei confronti dei clienti, pubblicità ingannevole.  

In sostanza, tutte le condotte che rappresentano una minaccia per il bene comune possono essere segnalate alle autorità competenti o all'interno dell'organizzazione stessa, attraverso i canali di whistleblowing predisposti.  

5. Quali sanzioni o ritorsioni possono subire i "whistleblower"?

La legge prevede specifiche tutele per i dipendenti che effettuano una segnalazione. Nessuna sanzione può essere inflitta al whistleblowing se la segnalazione è in buona fede. Tuttavia, in alcuni casi il whistleblower può essere soggetto a ritorsioni da parte del datore di lavoro o dei colleghi, come ad esempio licenziamenti ingiustificati, perdita del lavoro, minacce, intimidazioni, stipendi tagliati o addirittura violenze fisiche. In caso di ritorsioni, il whistleblower può avvalersi delle tutele previste dalla legge, come il diritto alla tutela della propria privacy, alla conservazione del posto di lavoro e alla protezione da eventuali discriminazioni. Inoltre, può rivolgersi alle autorità competenti, come l'Autorità Garante della Privacy o la magistratura, per ottenere riparazione dei danni subiti.  ‍

6. Qual è il percorso di gestione della segnalazione?

La segnalazione avviene attraverso una piattaforma informatica. Dopo un primo esame della documentazione, l'autorità competente procede con le opportune verifiche e investigazioni.  

7. Qual è il contenuto della segnalazione?

La segnalazione deve contenere una descrizione accurata dei fatti e delle circostanze che hanno portato alla violazione o alla condotta illecita. ‍

8. Fino a quando si può segnalare?

È possibile segnalare entro 60 giorni dalla data di conoscenza della condotta illecita o del fatto violativo. Tuttavia, è sempre consigliabile segnalare il prima possibile per evitare ulteriori conseguenze negative e per favorire una rapida risoluzione del problema.  

9. Cosa prevede la nuova normativa sul whistleblowing?

La nuova normativa sul whistleblowing, in vigore dal 2023, prevede l'introduzione di un canale di segnalazione obbligatorio per le organizzazioni che contano più di 50 dipendenti. Questo canale dovrà garantire la riservatezza dell'identità del segnalante e prevedere sanzioni contro eventuali molestie o ritorsioni nei confronti dei dipendenti che effettuano la segnalazione.  

‍