Whistleblowing e Privacy: tra Diritti e Doveri.

Il whistleblowing, o segnalazione di illeciti, è diventato un tema cruciale nel contesto del diritto del lavoro e della privacy, soprattutto alla luce delle recenti evoluzioni normative e giurisprudenziali. L’incoraggiamento alla segnalazione di comportamenti illegali o non etici all’interno delle organizzazioni si scontra con la necessità di proteggere la riservatezza dei dati personali, creando un campo di tensione tra trasparenza e privacy.

Il Whistleblowing nel Diritto del Lavoro

Nel diritto del lavoro, il whistleblowing si configura come uno strumento di tutela della legalità e dell’etica aziendale. I lavoratori che segnalano irregolarità contribuiscono alla prevenzione di reati e alla promozione di un ambiente di lavoro sano.

In Italia, la legge 179/2017 ha introdotto importanti novità per la protezione dei lavoratori che segnalano illeciti, prevedendo, tra l’altro, delle specifiche tutele contro le ritorsioni.

La Privacy dei Whistleblower

La protezione dell’identità dei whistleblower è essenziale per garantire l’efficacia del sistema di segnalazione.

La normativa sulla privacy, in particolare il Regolamento Generale sulla Protezione dei Dati (GDPR), impone che le informazioni personali siano trattate in modo da garantire la sicurezza e la riservatezza. Pertanto, i sistemi di whistleblowing devono essere progettati per assicurare che l’identità del segnalante sia protetta, a meno che il divulgare non sia necessario per gli accertamenti.

L’Equilibrio tra Trasparenza e Riservatezza

Per mantenere un equilibrio tra la necessità di trasparenza e la tutela della privacy, è fondamentale che le aziende implementino politiche e procedure chiare per il trattamento delle segnalazioni.

Queste devono includere misure tecniche e organizzative adeguate per proteggere i dati personali, come l’anonimato (ove possibile) e la limitazione dell’accesso alle informazioni sui whistleblower solo al personale autorizzato.

Il Nuovo Orizzonte del Whistleblowing: Il Decreto Legislativo 10 marzo 2023, n. 24

Il whistleblowing assume una nuova dimensione giuridica in Italia con l’introduzione del decreto legislativo 10 marzo 2023, n. 24.

.Questo decreto, frutto di un articolato processo legislativo, ha il merito di aver integrato nel nostro ordinamento la Direttiva (UE) 2019/1937 relativa al whistleblowing, ponendo le fondamenta per una più solida protezione dei segnalanti di illeciti.

Il provvedimento che riflette una crescente attenzione verso la cultura della legalità e della trasparenza nel contesto lavorativo, rappresenta un passo avanti significativo nella protezione dei lavoratori che si espongono per segnalare irregolarità.

L’Armonizzazione con la Direttiva Europea

Il decreto legislativo rappresenta l’epilogo di un percorso volto a recepire gli standard europei in materia di tutela dei whistleblower, ovvero coloro che, nell’esercizio delle loro funzioni lavorative, rivelano violazioni del diritto sia dell’Unione europea che nazionale. L’intento è quello di creare un ambiente lavorativo in cui la legalità sia salvaguardata e promossa attraverso meccanismi di segnalazione efficaci e sicuri.

La Protezione dei Whistleblower: Una Priorità Rinnovata

Il decreto, comunemente denominato “decreto whistleblowing“, riforma il quadro normativo preesistente, ponendo un accento rinnovato sulla protezione delle persone che, nel proprio ambiente di lavoro, si trovano di fronte alla necessità morale e civica di segnalare violazioni delle norme nazionali o europee.

La tutela si estende a tutti coloro che, nell’ambito delle loro funzioni lavorative, vengono a conoscenza di comportamenti illeciti e decidono di agire per il bene collettivo.

L’Impatto sulle Aziende e le Organizzazioni

Le implicazioni di questo decreto sono ampie per le aziende e le organizzazioni, che sono chiamate a rivedere i propri sistemi interni di segnalazione per conformarsi ai nuovi standard di protezione.

È previsto che le procedure interne siano non solo accessibili e comprensibili ma anche in grado di garantire la massima riservatezza dei dati personali dei segnalanti, in linea con il GDPR.

La Segnalazione e la Riservatezza: Un Bilanciamento Delicato

Il decreto pone particolare enfasi sul delicato bilanciamento tra la necessità di facilitare la segnalazione di illeciti e l’obbligo di proteggere la privacy dei segnalanti.

Le aziende sono chiamate a garantire non solo la creazione di canali sicuri e accessibili per le segnalazioni ma anche la riservatezza dei dati dei segnalanti. Inoltre, devono assicurare un trattamento equo e imparziale delle segnalazioni ricevute, con un’attenzione particolare alla prevenzione di atti di ritorsione.

La normativa pone un accento particolare sulla riservatezza delle segnalazioni, garantendo che l’identità del segnalante sia protetta e che le informazioni fornite siano trattate con la massima discrezione.

Questo aspetto è fondamentale per incoraggiare i lavoratori a segnalare eventuali irregolarità senza la paura di subire conseguenze negative.

Le aziende devono quindi navigare con attenzione tra questi due aspetti, assicurando che i whistleblower possano sentirsi sicuri nel fare la loro parte senza temere ritorsioni o violazioni della propria privacy.

Il Rafforzamento della Normativa sul Whistleblowing nel Settore Privato: Impatti e Implementazioni

La nuova normativa amplia la portata degli obblighi imposti alle organizzazioni private, introducendo requisiti più stringenti per la gestione delle segnalazioni di illeciti.

Le aziende devono ora adeguarsi a questo cambiamento normativo implementando canali interni per la raccolta di segnalazioni e sviluppando procedure per la loro gestione.

Questo implica un impegno non indifferente in termini di risorse e organizzazione interna, ma è un passo necessario per garantire trasparenza e conformità alle norme vigenti.

Estensione degli Obblighi alle Aziende Private

Una delle novità più rilevanti introdotte dal decreto è l’espansione del novero dei soggetti tenuti al rispetto della normativa.

Ora, un numero maggiore di aziende private è obbligato a istituire canali interni dedicati alla raccolta delle segnalazioni. Questa estensione mira a creare una rete più capillare di protezione e prevenzione contro le violazioni normative.

la comunicazione alle organizzazioni sindacali

Un elemento innovativo è rappresentato dall’obbligo di comunicazione informativa alle rappresentanze sindacali prima dell’attivazione del canale di segnalazione.

Le rappresentanze sindacali assumono dunque un ruolo attivo nel processo di whistleblowing, fungendo da garanti per i lavoratori e contribuendo a creare un ambiente lavorativo trasparente e giusto. La loro partecipazione assicura che le preoccupazioni dei lavoratori siano

Questo passaggio è cruciale poiché permette un dialogo aperto con le organizzazioni sindacali e offre la possibilità di raccogliere osservazioni e suggerimenti che potrebbero migliorare l’efficacia e l’efficienza del processo.

Canali Interni di Segnalazione: Una Struttura Necessaria

Le aziende sono chiamate ad attivare specifici canali interni per consentire ai lavoratori di segnalare eventuali illeciti in modo sicuro e protetto.

Il decreto impone alle organizzazioni l’istituzione di canali interni per la raccolta delle segnalazioni e l’adozione di procedure adeguate per la loro gestione. Questo rappresenta un cambiamento significativo per molte aziende, che dovranno adeguarsi a nuovi standard di compliance e responsabilità sociale.

Questo sistema dovrebbe garantire l’anonimato del segnalante, se desiderato, e fornire un meccanismo efficace per la raccolta e la gestione delle informazioni.

La legge prevede che la gestione delle segnalazioni possa avvenire attraverso canali di diversa natura: piattaforme software per le segnalazioni online, posta raccomandata per chi preferisce il canale cartaceo, o sistemi telefonici e incontri diretti per chi sceglie la comunicazione verbale. Questa varietà risponde all’esigenza di adattabilità alle diverse realtà aziendali e alle diverse esigenze dei segnalanti.

La scelta del canale interno per le segnalazioni deve essere fatta con attenzione, considerando la grandezza dell’azienda, il tipo di lavoro che svolge e come è organizzata. È importante anche assicurarsi che ci siano buone misure di sicurezza, specialmente se il canale è basato su sistemi informatici, per proteggere le informazioni e le persone che fanno le segnalazioni.

In un’organizzazione grande o in quelle che ricevono molte segnalazioni, è molto utile avere strumenti specializzati. Una caratteristica fondamentale di questi strumenti è la crittografia, che serve a proteggere l’identità della persona che fa la segnalazione e le informazioni contenute in essa, mantenendole segrete e sicure.

Basandosi su questo principio, per quanto riguarda i metodi informatici, l’Autorità Nazionale Anticorruzione nelle sue linee guida ha stabilito che non si possono usare la posta elettronica normale o la PEC (Posta Elettronica Certificata) per ricevere segnalazioni. Questo perché queste forme di comunicazione potrebbero non essere sufficientemente sicure per proteggere la riservatezza e l’integrità delle segnalazioni.

Per garantire che il canale interno di segnalazione funzioni correttamente e non sia solo una formalità, l’azienda deve monitorarlo costantemente.

Questo serve per assicurarsi che le decisioni prese inizialmente siano ancora valide e che il canale sia sempre funzionante e gestito correttamente dalle persone responsabili. In pratica, è importante che ci sia un processo continuo di verifica e valutazione per mantenere l’efficacia della procedura di segnalazione interna.

L’identificazione del soggetto che deve gestire il canale di segnalazione

Un punto fondamentale è la possibilità per le aziende di affidare la gestione del canale di segnalazione sia a soggetti interni che a uffici esterni. La condizione imprescindibile è che questi soggetti garantiscano autonomia nella gestione delle segnalazioni e competenza specifica nella materia trattata. Questo assicura un trattamento delle segnalazioni obiettivo e professionalmente qualificato.

Il decreto sottolinea l’importanza che il soggetto o l’ufficio incaricato della gestione del canale sia dotato di sufficienti garanzie di autonomia e competenza. Questo è cruciale per mantenere l’integrità del processo di segnalazione e per assicurare che ogni caso venga valutato con la dovuta attenzione e conoscenza.

Il decreto stabilisce che il soggetto o l’organo deputato alla gestione delle segnalazioni debba godere di completa autonomia. Questo significa che deve essere in grado di operare senza interferenze esterne o interne, assicurando un trattamento imparziale e obiettivo delle segnalazioni di illeciti.

Un altro aspetto rilevante è che il soggetto incaricato deve essere designato attraverso un formale incarico. Questo passaggio ufficializza il ruolo del gestore delle segnalazioni e ne sottolinea l’importanza all’interno dell’organizzazione, conferendo un mandato chiaro e definito.

Informazione e Formazione: Due Pilastri Fondamentali

L’adozione di una procedura interna si rivela duplice: da un lato serve a informare il personale sulle vie attraverso cui può esprimere segnalazioni in maniera protetta e confidenziale; dall’altro, è indispensabile per fornire istruzioni chiare ai responsabili della gestione delle segnalazioni stesse.

Procedura di Gestione delle Segnalazioni: Verso un’Effettiva Protezione

Il decreto impone alle aziende di adottare una procedura chiara e trasparente per la gestione delle segnalazioni.

Tale procedura deve assicurare tempestività nell’esame delle segnalazioni e nell’adozione di eventuali misure correttive. È fondamentale che le aziende stabiliscano un protocollo che preveda l’analisi approfondita e imparziale delle informazioni ricevute, proteggendo nel contempo i diritti di tutte le parti coinvolte.

La Comunicazione ai Lavoratori

Il decreto impone che ogni lavoratore sia adeguatamente informato riguardo l’esistenza di canali ufficiali per il whistleblowing, le modalità di utilizzo e le garanzie offerte in termini di anonimato e protezione.

Ciò è fondamentale per costruire una cultura aziendale che incoraggi la segnalazione responsabile e tuteli chi decide di agire nell’interesse collettivo.

Istruzioni ai Gestori delle Segnalazioni

Altrettanto importante è che i gestori del canale di segnalazione ricevano istruzioni precise su come trattare le informazioni ricevute. Devono essere formati per assicurare un’analisi accurata e imparziale delle segnalazioni, garantendo al contempo la riservatezza e l’integrità del processo.

Necessità di una Procedura Chiara

La normativa sottolinea che l’adozione di una procedura interna non è solo utile, ma diventa necessaria per assicurare l’efficacia del sistema di whistleblowing.

Una procedura ben definita serve a stabilire un framework chiaro, che faciliti la segnalazione e la gestione degli illeciti in maniera strutturata e organizzata.

Definizione dell’applicazione della normativa

Una parte introduttiva ben articolata è fondamentale per definire il campo di applicazione della normativa sul whistleblowing. Questo aiuta le aziende a comprendere in quali casi la normativa si applica e quali azioni sono richieste per conformarsi alle disposizioni di legge.

Chiarimento della Terminologia

La comprensione della terminologia è essenziale per evitare malintesi e per garantire che tutti i soggetti coinvolti abbiano una chiara percezione dei loro diritti e doveri. Una definizione precisa dei termini utilizzati nella procedura interna contribuisce a creare un quadro di riferimento comune, facilitando la comunicazione e l’interpretazione della normativa.

Migliore Comprensione del Contesto Normativo

Un’introduzione che spieghi il contesto normativo aiuta i lavoratori e i gestori del canale di segnalazione a collocare la procedura all’interno del più ampio sistema legislativo.

Questo approccio didattico è vantaggioso per assicurare che le segnalazioni siano gestite in maniera conforme non solo alla lettera, ma anche allo spirito della legge.

Corretta Messa a Fuoco dell’Ambito di Applicazione

L’ambito di applicazione oggettivo e soggettivo della normativa deve essere esplicitato con chiarezza.

Ciò significa identificare quali tipi di condotte rientrano nel whistleblowing e chi può essere considerato whistleblower.

Una definizione precisa aiuta a prevenire l’applicazione errata della procedura e assicura che le protezioni siano estese a tutti coloro che ne hanno diritto.

Modalità di Presentazione delle Segnalazioni

La procedura deve delineare chiaramente le modalità con cui i whistleblowers possono presentare le loro segnalazioni.

Ciò include la descrizione dei passaggi pratici, degli strumenti disponibili (come form online, email, o numeri telefonici dedicati), e delle misure adottate per garantire la riservatezza e l’anonimato dei segnalanti.

Istruzioni per il Gestore delle Segnalazioni

È essenziale fornire istruzioni specifiche al gestore o ai gestori delle segnalazioni, dettagliando come devono essere trattate le segnalazioni ricevute.

Questo include la valutazione iniziale, le procedure di follow-up, le tempistiche di gestione e le modalità di feedback ai segnalanti.

Tutele per i Segnalanti

Un punto cruciale della procedura interna riguarda la rappresentazione e l’attuazione delle tutele per i segnalanti previste dal decreto. Le aziende devono assicurare che i diritti dei segnalanti siano protetti e che non vi siano ritorsioni a seguito delle segnalazioni effettuate.

Protezione dei Dati Personali

Infine, la normativa impone un’attenzione particolare alla protezione dei dati personali. Le procedure devono essere conformi al Regolamento Generale sulla Protezione dei Dati (GDPR) e ad altre normative pertinenti, assicurando che le informazioni personali siano trattate con la massima cura e sicurezza.

Il ruolo del gestore delle segnalazioni

Le linee guida per una corretta gestione delle segnalazioni di whistleblowing, come dettate dall’articolo 5 del Decreto Legislativo n. 24/2023, richiedono che il gestore delle segnalazioni sia preparato ad affrontare una serie di attività cruciali.

Queste attività variano a seconda del tipo di canale di segnalazione interno adottato e del contesto specifico dell’organizzazione.

È fondamentale che il gestore sia in grado di esaminare e gestire le segnalazioni in modo efficace, garantendo conformità, riservatezza e assenza di ritorsioni per i segnalanti.

Le azioni richieste comprendono la ricezione, la verifica e il follow-up delle segnalazioni, oltre alla necessità di operare in linea con le migliori pratiche e le normative vigenti in materia di protezione dei dati e tutela dei lavoratori.

Il responsabile o l’ufficio incaricato di gestire le segnalazioni di irregolarità in un’azienda ha un compito molto importante: deve prendere in carico e rispondere a queste segnalazioni. È come se fosse il punto di riferimento per chi vuole segnalare qualcosa che non va. Ma è altrettanto fondamentale il lavoro di chi deve scegliere questa persona o ufficio, perché da questa scelta dipende quanto bene verranno gestite le segnalazioni. In pratica, chi decide chi si occuperà delle segnalazioni deve essere molto attento a fare la scelta giusta.

L’articolo 4 del decreto stabilisce che la persona scelta per gestire le segnalazioni di irregolarità, che può essere un dipendente dell’azienda o un professionista esterno, deve essere indipendente e avere una formazione specifica per questo compito. Questo significa che deve poter lavorare senza subire pressioni o influenze e deve avere le conoscenze necessarie per gestire le segnalazioni in modo efficace e corretto.

Obbligo di Conferma di Ricezione:

Quando una persona, che chiameremo “whistleblower“, invia una segnalazione di un illecito che ha notato in azienda, il gestore delle segnalazioni ha l’obbligo di inviare a questa persona una conferma che la sua segnalazione è stata ricevuta. Questa conferma deve essere inviata entro sette giorni lavorativi dalla data in cui la segnalazione è stata effettivamente ricevuta.

Immaginiamo che Marco, un impiegato, noti che nella sua azienda si sta verificando uno spreco di risorse. Decide quindi di segnalarlo attraverso i canali ufficiali previsti dalla sua azienda. Invia la sua segnalazione il 1° aprile. Il gestore delle segnalazioni, ricevendo questa comunicazione, ha il dovere di inviare a Marco una conferma entro il 8 aprile, per informarlo che la sua segnalazione è stata ricevuta e sarà presa in considerazione.

Dialogo aperto con il segnalante

La norma stabilisce che il gestore delle segnalazioni di whistleblowing deve mantenere un dialogo aperto con il segnalante. Questo significa che, se necessario, il gestore può chiedere al segnalante di fornire ulteriori dettagli o chiarimenti sulla segnalazione presentata.

Esempio
Supponiamo che Anna, un’impiegata, segnali che ha visto un collega commettere un errore nella gestione dei fondi aziendali. Il gestore delle segnalazioni riceve la comunicazione e, dopo una prima analisi, si rende conto che servono più informazioni per capire meglio la situazione. Contatta quindi Anna e le chiede di fornire dettagli aggiuntivi, come date specifiche o documenti che possano supportare la sua segnalazione.

Questo scambio di informazioni è cruciale per garantire che la segnalazione sia gestita in modo accurato e che tutte le accuse siano supportate da prove concrete, consentendo così all’azienda di agire in modo informato e responsabile.

Valutazione di ammissibilità

La normativa richiede che il gestore delle segnalazioni di whistleblowing agisca con diligenza nel dare seguito alle segnalazioni ricevute. Questo comporta due passaggi fondamentali:

1. Valutazione della Ammissibilità: Il gestore deve prima determinare se la segnalazione rientra nei casi previsti dalla normativa e se soddisfa i criteri per essere considerata. Questo significa verificare che la segnalazione sia pertinente e che sia stata presentata attraverso i canali appropriati.
2. Accertamento del Contenuto: Se la segnalazione è ammissibile, il gestore deve poi procedere con l’esame del suo contenuto. Questo implica un’analisi dettagliata delle informazioni fornite per stabilire la veridicità dei fatti denunciati e decidere le eventuali azioni da intraprendere.

Esempio
Immaginiamo che Luca, un tecnico, segnali che ha scoperto una non conformità nelle procedure di sicurezza. Il gestore delle segnalazioni, dopo aver ricevuto la segnalazione di Luca, deve prima assicurarsi che il problema segnalato sia di competenza dell’azienda e che la segnalazione sia stata presentata correttamente. Se tutto è in ordine, il gestore deve poi esaminare attentamente le informazioni fornite da Luca per capire esattamente cosa non va e come intervenire per risolvere la questione.

La risposta formale

La normativa impone che il gestore delle segnalazioni di whistleblowing debba fornire una risposta formale alla segnalazione entro un periodo di tempo specifico. Dopo aver inviato l’avviso di ricevimento al segnalante, il gestore ha un massimo di tre mesi per comunicare l’esito delle indagini o le azioni intraprese in risposta alla segnalazione.

Esempio
Se il 1° gennaio, Giorgia fa una segnalazione di irregolarità e riceve una conferma di ricezione il 3 gennaio, il gestore delle segnalazioni ha tempo fino al 3 aprile per informare Giorgia su cosa è stato fatto in merito alla sua segnalazione. Se invece Giorgia non riceve alcun avviso di ricevimento, il termine di tre mesi parte comunque dal settimo giorno dopo la presentazione della segnalazione, ovvero l’8 gennaio, e si estende quindi fino all’8 aprile.

Questo obbligo assicura che i segnalanti non vengano lasciati nell’incertezza riguardo allo stato della loro segnalazione e che ci sia trasparenza e responsabilità nel trattamento delle stesse.

Sanzioni

Se il responsabile del canale interno di segnalazione non effettua la verifica e l’analisi delle segnalazioni ricevute, si incorre in una violazione come descritto all’articolo 21 del Decreto Legislativo n. 24/2023. Questa mancanza può comportare l’applicazione di sanzioni amministrative pecuniarie che variano da un minimo di 10.000 euro a un massimo di 50.000 euro.

Il Divieto di Ritorsioni: Una Barriera Contro l’Intimidazione

Il decreto stabilisce in maniera inequivocabile il divieto di adottare misure punitive nei confronti dei segnalanti.

Tale provvedimento è essenziale per creare un ambiente lavorativo sicuro, dove i dipendenti si sentano liberi di esprimere preoccupazioni relative a potenziali violazioni senza il timore di ritorsioni.

Il buio dietro la siepe

Dopo che una segnalazione viene fatta, ci sono alcune incertezze su cosa accada poi, perché le leggi attuali descrivono come impostare i canali per fare queste segnalazioni, ma non spiegano dettagliatamente i passaggi successivi. In pratica, sappiamo che se qualcuno fa una segnalazione all’interno di un’organizzazione, c’è qualcuno specifico (una persona o un ufficio) o un’entità esterna responsabile per gestire questa segnalazione, ma le istruzioni su come procedere dopo non sono molto chiare.

La situazione descritta riguarda cosa accade quando qualcuno fa una segnalazione basata su informazioni false. La legge attuale non specifica cosa succede in questi casi, si limita a descrivere come dovrebbe procedere la segnalazione. Anche se è ovvio che ci debba essere un controllo per verificare la veridicità di una segnalazione, non è chiaro cosa debba fare il responsabile se scopre che la segnalazione è falsa. I poteri di indagine a disposizione del responsabile della conformità (compliance) potrebbero essere utili in questi casi.

una segnalazione di un fatto non vero:

1. Ricezione della Segnalazione: Quando arriva una segnalazione, il responsabile la registra e ne prende atto.
2. Verifica Iniziale: Il responsabile inizia un’indagine preliminare per capire se le informazioni nella segnalazione sembrano vere.
3. Indagine Approfondita: Se ci sono dubbi sulla veridicità della segnalazione, il responsabile può usare i poteri di indagine per esaminare più a fondo.
4. Valutazione dei Risultati: Dopo l’indagine, il responsabile valuta se la segnalazione è fondata o meno.
5. Azioni Conseguenti:

• Se la segnalazione è vera, si procede con le azioni appropriate per risolvere il problema segnalato.
• Se la segnalazione è falsa, il responsabile deve decidere quali misure prendere nei confronti del segnalante, tenendo conto delle politiche interne e delle leggi applicabili.

1. Conclusione e Report: Il processo si conclude con un rapporto che riassume l’indagine e le azioni intraprese.

La procedura dovrebbe sempre essere condotta in modo equo e conforme alla legge, proteggendo la riservatezza e i diritti di tutte le parti coinvolte.

Ulteriori indagini

La seconda ipotesi affronta un’altra lacuna normativa, che emerge quando il gestore della segnalazione si accorge che sono necessarie ulteriori indagini che vanno oltre i limiti del suo ruolo, soprattutto se queste indagini riguardano il comportamento di persone fisiche. La legge attuale non fornisce un’autorizzazione esplicita per condurre tali indagini, creando problemi sia di interpretazione che di applicazione.

In teoria, il gestore dovrebbe avere una “posizione di garanzia” o uno specifico mandato che gli permetta di eseguire indagini più approfondite, anche tramite terze parti autorizzate, come un’agenzia di investigazioni esterna.

Tuttavia, è necessario essere consapevoli dei limiti impliciti: un gestore o compliance manager non ha le stesse prerogative di un pubblico ufficiale o di un incaricato di pubblica sicurezza, per cui non può condurre indagini su presunti reati di propria iniziativa, specialmente se avvenuti all’interno di un’azienda privata e commessi da individui.

Se si verifica una discrepanza nell’inventario, non è possibile semplicemente consultare le registrazioni della videosorveglianza interna per fare verifiche; è necessario prima coinvolgere un ufficiale di pubblica sicurezza per esaminare il contenuto delle immagini. Qualsiasi prova raccolta senza l’autorizzazione appropriata potrebbe essere considerata invalida in un successivo procedimento legale.

Il confini delle indagini

La legge non specifica i limiti di queste verifiche. Il whistleblower è colui che fa la segnalazione di un possibile reato, mentre il gestore o compliance manager è colui che riceve tale segnalazione.

Consideriamo il caso in cui il gestore ritenga che la segnalazione sia fondata e decida di verificare ulteriormente, per esempio esaminando la corrispondenza interna. La legge non chiarisce se questa azione sia permessa, e bisogna tenere conto delle restrizioni imposte dallo Statuto dei Lavoratori (articolo 4) che protegge la privacy dei lavoratori, tra altre cose.

Questo vuoto normativo diventa ancora più significativo quando i reati segnalati sono gravi, come nel caso di condotte corruttive. La situazione si complica ulteriormente quando si considerano i reati presupposto previsti dal D.lgs. 231/2001, che regolamenta la responsabilità amministrativa delle aziende per certi tipi di reati commessi dai loro rappresentanti. In assenza di limiti chiari definiti dalla legge, si pone un problema interpretativo e applicativo importante.

In termini semplici e per un pubblico non esperto, questo significa che ci sono delle regole su come un’azienda deve comportarsi quando riceve una segnalazione di comportamenti scorretti o illegali. Tuttavia, non è sempre chiaro fino a che punto l’azienda possa indagare per verificare se queste segnalazioni siano vere, specialmente senza violare la privacy dei dipendenti. Questo lascia le aziende in una situazione difficile quando devono decidere come procedere con le indagini senza una guida chiara dalla legge.

Nulla questio

Nella quarta ipotesi si considera il caso in cui il gestore o il compliance manager di un’azienda decida di non prendere alcuna azione dopo aver ricevuto una segnalazione di illecito. In questa situazione, il segnalante può decidere di rivolgersi a un canale esterno, come l’Autorità Nazionale Anticorruzione (ANAC) in Italia. Tuttavia, la legge non specifica quali azioni l’ANAC possa effettivamente intraprendere, soprattutto se l’azienda in questione è privata e non pubblica.

Le domande che sorgono sono: l’ANAC ha il potere di fare ispezioni in aziende private? Quali sono i suoi poteri di intervento? La legge non fornisce risposte a queste domande, lasciando un vuoto normativo. Anche le linee guida esistenti, che dovrebbero aiutare a interpretare e implementare la legge sul whistleblowing, non trattano questi aspetti, perché non sono menzionati nella legge stessa.

In termini semplici, questo significa che se un’azienda ignora una segnalazione di illecito, non è chiaro cosa possa fare l’ANAC per intervenire, specialmente se l’azienda è privata. Questo rappresenta un’altra incertezza legale che potrebbe lasciare il segnalante senza un chiaro percorso di azione se la sua segnalazione viene ignorata dall’azienda.

Il ruolo del DPO

Il DPO (Data Protection Officer) è responsabile della pianificazione degli audit e, con l’introduzione del Decreto in questione, dovrebbe anche gestire gli audit relativi ai processi di whistleblowing.

Gli audit possono essere eseguiti dal DPO stesso o dal Data Manager, a condizione che abbiano le competenze adeguate e comprovate. Queste competenze non si limitano alla conoscenza della legge, ma includono anche le abilità pratiche necessarie per condurre gli audit in modo efficace.

Gli audit interni sono un elemento cruciale per assicurare che le procedure di whistleblowing siano efficaci e conformi alle normative. Dovrebbero essere eseguiti già nel primo anno di attività e poi annualmente o ogni due anni. La frequenza degli audit dovrebbe considerare diversi fattori: le norme obbligatorie in vigore, le raccomandazioni delle Autorità Competenti e delle associazioni di categoria, il numero di segnalazioni ricevute e le eventuali problematiche individuate nella gestione delle segnalazioni, comprese quelle emerse in audit precedenti. Questo processo aiuta a garantire che i sistemi di whistleblowing siano gestiti in modo trasparente e responsabile.

I criteri per la fase di audit nel contesto del whistleblowing includono diversi elementi chiave.

Tra questi vi sono il rispetto del requisito legislativo stabilito dal Decreto Legislativo 24/2023, la valutazione dell’impatto sulla protezione dei dati (DPIA) non solo sulla piattaforma di segnalazione ma sull’intero processo di gestione delle segnalazioni, la procedura interna adottata per gestire tali segnalazioni, le istruzioni dettagliate per i segnalanti, e le istruzioni per i facilitatori, cioè le persone che assistono i segnalanti all’interno dello stesso ambiente lavorativo.

Inoltre, si considerano il registro dei trattamenti dei dati personali, il modello di informativa per il segnalante e per le altre figure coinvolte (come testimoni o persone citate), e l’atto di designazione del responsabile per il fornitore della piattaforma di segnalazione e per altri soggetti eventualmente coinvolti nel processo.

Secondo i criteri di audit, sia durante la preparazione che in campo, dovrebbero essere valutati i seguenti aspetti: la completezza, la leggibilità, lo stato di aggiornamento e il rispetto delle procedure interne per la gestione dei documenti.

In particolare, la procedura interna per la gestione delle segnalazioni dovrebbe prevedere che le stesse possano pervenire attraverso più canali.

Inoltre, le istruzioni rivolte al segnalante dovrebbero essere esaustive e fornire tutte le informazioni in merito al ciclo di vita di una segnalazione.

Il DPO deve verificare

1. Designazione dell’Incaricato: L’azienda deve nominare formalmente una persona o un team responsabile del canale di segnalazione. Questo atto di designazione è come un contratto, dove si specifica che la persona incaricata deve mantenere la riservatezza e ricevere una formazione adeguata. È come se l’azienda scegliesse un custode dei segreti, assicurandosi che sappia come custodirli e proteggerli.
2. Informativa chiara: Tutti quelli che sono coinvolti nel processo di segnalazione, dal segnalante (colui che fa la segnalazione) al segnalato (colui su cui cade la segnalazione), e altri possibili interessati, devono avere a disposizione delle guide o dei documenti che spiegano come funziona tutto il processo. È un po’ come avere le istruzioni per montare un mobile: ogni passaggio deve essere chiaro per evitare errori.
3. Consentimento del Segnalante: In alcuni casi, il segnalante deve dare il suo permesso esplicito per certe azioni, come per esempio la registrazione di un’intervista o la condivisione delle sue informazioni con terzi. Questo è simile a quando firmiamo un consenso presso il medico prima di un intervento.
4. Scelta del Fornitore: Se l’azienda usa una piattaforma esterna per gestire le segnalazioni, deve scegliere con cura il fornitore di tale servizio. Questo fornitore deve essere affidabile come un buon meccanico per la tua auto: non è obbligatorio avere un’auto per spostarsi, ma se la scegli, deve essere sicura e affidabile.
5. Gestione dei Sub-fornitori: Se ci sono altri fornitori coinvolti, come quelli che offrono servizi cloud per lo storage dei dati, l’azienda deve specificare chi sono e quali responsabilità hanno. È come avere una squadra per un progetto: tutti devono sapere chi fa cosa.

Altri obblighi

1. Congruenza con la DPIA: Assicurati che la Valutazione d’Impatto sulla Protezione dei Dati (DPIA) corrisponda al modo in cui è gestito il processo di segnalazione. È come controllare che la mappa che stai seguendo corrisponda al territorio che stai esplorando.
2. Allineamento con il Registro e la Normativa: Verifica che tutti i documenti, come il registro dei trattamenti e le informative, siano in linea con quanto richiesto dal Decreto Legislativo 24/2023. Questo include dettagli come quanto a lungo conservare le segnalazioni e dove i dati sono archiviati. È simile a seguire una ricetta di cucina: gli ingredienti e i passaggi devono combaciare con la ricetta originale.
3. Coerenza delle Misure di Sicurezza: Controlla che le misure di sicurezza descritte nei contratti, come l’autenticazione a due fattori e la crittografia, siano effettivamente messe in atto dalla piattaforma. È come verificare che le serrature di sicurezza che hai comprato siano realmente installate sulla tua porta.
4. Funzionalità di Cancellazione dei Dati: Assicurati che la piattaforma permetta di eliminare i dati in modo sicuro e nei tempi previsti. Questo è come avere una trituratrice per documenti sensibili che li distrugge dopo un certo periodo.
5. Ruolo nei Gruppi di Aziende: Se l’azienda fa parte di un gruppo, bisogna capire bene il suo ruolo nel trattamento dei dati degli altri membri del gruppo. È come definire chi ha le chiavi in un condominio.
6. Esclusione dei Log di Navigazione: Se l’azienda registra i log di navigazione internet, l’accesso alla piattaforma di segnalazione non dovrebbe essere tracciato per mantenere l’anonimato. È come cancellare le proprie tracce quando si vuole mantenere la privacy su dove si è stati.
7. Cancellazione Pianificata dei Dati: Deve esserci un piano chiaro su come e quando i dati delle segnalazioni verranno cancellati secondo i tempi stabiliti. È un po’ come avere un calendario per i rifiuti che ti dice quando buttare via determinati oggetti.

e ancora

1. Cambio del Fornitore o della Piattaforma: Se l’azienda ha cambiato il fornitore della piattaforma di segnalazione o ha aggiornato la piattaforma stessa, è importante controllare come sono state gestite le segnalazioni precedenti. Ad esempio, se l’azienda è passata da un sistema acquistato a uno in affitto (o viceversa), bisogna assicurarsi che nessuna segnalazione sia stata persa o gestita in modo inadeguato durante il cambiamento. È un po’ come quando cambi casa e devi trasferire con cura tutti i tuoi oggetti preziosi senza danneggiarli.
2. Aggiornamenti della Piattaforma: Se ci sono state modifiche significative alla piattaforma in risposta a nuove direttive, come quelle dell’ANAC o suggerimenti del fornitore, bisogna valutare l’impatto di queste modifiche sul processo di gestione delle segnalazioni. È simile a quando aggiorni il software del tuo computer: devi controllare che tutte le funzioni che usi regolarmente funzionino ancora come dovrebbero.

La gestione dalla riservatezza

La gestione della riservatezza delle informazioni durante un audit è cruciale. Il DPO (Data Protection Officer) non deve essere a conoscenza dei dettagli specifici di una segnalazione, come l’identità del segnalante o del segnalato, o le informazioni relative ad altre persone coinvolte, come testimoni o facilitatori. Il suo compito è assicurarsi che il processo di gestione delle segnalazioni sia conforme alle normative sulla privacy, senza entrare nei dettagli dei casi individuali.

Il DPO è vincolato dal segreto professionale, che impone la massima riservatezza.

Per chi non è tenuto all’adempimento

Il Considerando 51 chiarisce che anche se un’entità privata non mette a disposizione un canale di segnalazione interno, le persone dovrebbero comunque avere la possibilità di fare segnalazioni esterne e godere della protezione contro eventuali ritorsioni. L’articolo 10 stabilisce che una segnalazione esterna può essere effettuata dopo aver tentato una segnalazione interna oppure può essere fatta direttamente tramite canali esterni senza passare prima per quelli interni.

Alcuni numeri

che il WB, che pure ha portato a un incremento delle segnalazioni esterne all’ANAC (al 17.12.23 oltre 600 segnalazioni di cui 240 riguardanti il settore privato e 360 quello pubblico, rispetto alle 347 totali nel 2022, quando il whistleblowing riguardava essenzialmente il settore pubblico) percepisca solo una parte del fenomeno;

Elogio delle persone difficili: un ritratto dell’informatore impegnato

I critici delle grandi organizzazioni considerano da tempo il dissenso individuale di principio, compreso il “whistleblowing”, importante per garantire la responsabilità in burocrazie altrimenti insensibili. È opinione diffusa che la denuncia delle irregolarità sia un atto costoso per chi denuncia, cosa che molti considerano un’ulteriore prova della necessità di migliori tutele legali e di un maggiore controllo esterno sulle organizzazioni coinvolte. Il conflitto generato dal dissenso interno comporta una posta in gioco elevata anche per l’organizzazione. Oltre a sfidare diversi tabù sociali (non fare il “piccione delle feci”, non stendere mai la “biancheria sporca” in pubblico), denunciare spesso contrappone la lealtà verso i propri clienti o colleghi alla lealtà verso il pubblico e include l’accusa che la propria superiori e/o colleghi hanno trascurato o abusato della fiducia pubblica (Bok, 1980). Di conseguenza, la denuncia di irregolarità rappresenta una delle forme più minacciose di dissenso organizzativo, capace di suscitare notevole ostilità e varie forme di ritorsione organizzativa