Whistleblowing: uno strumento vantaggioso per le aziende

Con l’obiettivo di garantire la libertà d’espressione, la nuova disciplina in materia di whistleblowing è stata pensata per prevenire e contrastare la corruzione e la cattiva amministrazione anche nel settore privato.

Con il termine whistleblowing, che tradotto in italiano significa “soffiare nel fischietto”, si intende un processo che permette ai dipendenti di un’azienda e/o ai soggetti che entrano in contatto con essa di segnalare, in modo riservato e protetto, eventuali violazioni di legge riscontrate durante l’attività lavorativa.

Le segnalazioni whistleblowing potranno avere ad oggetto:

• le violazioni del diritto dell’Unione europea: cioè tutte quelle violazioni in materia d’appalti, di servizi, di prodotti e di mercati finanziari, oltre a violazioni in materia di riciclaggio, d’ambiente, di trasporti e di salute e benessere anche degli animali passate in rassegna dalle fonti sovranazionali;
• le violazioni del decreto legislativo 8 giugno 2001, numero 231. In questo caso si fa riferimento alla legge che ha introdotto nell’ordinamento giuridico italiano la responsabilità penale delle aziende. Essa, infatti, stabilisce che le aziende risponderanno in proprio di tutta una serie di reati, commessi dalle persone fisiche che operano a loro vantaggio.
• le violazioni del modello di organizzazione, gestione e controllo. Vale a dire un documento giuridico che l’azienda ha deciso di adottare per evitare che, nella quotidiana attività lavorativa aziendale, vengano commessi reati da parte delle persone fisiche. I dipendenti dell’azienda e/o i soggetti che entrano in contatto con essa potranno segnalare, in modo riservato e protetto, eventuali violazioni delle regole contenute in questo documento.

Attualmente la materia del whistleblowing è disciplinata:

• a livello legislativo, dal d.lgs. 10 marzo 2023, n. 24 (attuativo della Direttiva (UE) 2019/1937);
• a livello di soft law (vale a dire norme prive d’efficacia vincolante diretta), dalle linee guida ANAC (Autorità Nazionale Anticorruzione) approvate con delibera 12 luglio 2023, n. 311.

Si dovranno adeguare alla nuova disciplina le aziende:

• che hanno impiegato, nell’ultimo anno, una media di 50 lavoratori subordinati;
• che hanno adottato un modello di organizzazione, gestione e controllo, anche se, nell’ultimo anno, non hanno impiegato una media di 50 lavoratori subordinati;
• che si occupano di servizi, prodotti, mercati finanziari, prevenzione del riciclaggio, prevenzione del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente, anche se, nell’ultimo anno, non hanno impiegato una media di 50 lavoratori subordinati.

L’obbligo di adeguarsi alla nuova disciplina decorre:

• dal 15 luglio 2023, se si tratta di aziende con più di 249 dipendenti;

• dal 17 dicembre 2023, se si tratta di aziende con meno di 249 dipendenti.

Per adeguarsi alla nuova disciplina, le aziende dovranno:

• dotarsi di piattaforme informatiche per la gestione delle segnalazioni. Queste piattaforme dovranno essere conformi alla legge GDPR e alle linee-guida ANAC, oltre a garantire la riservatezza delle persone segnalanti, delle segnalazioni e della relativa documentazione mediante crittografia dei dati;
• aggiornare il registro dei trattamenti;
• predisporre un’idonea informativa in materia;
• effettuare un’idonea valutazione d’impatto. Questo significa effettuare una valutazione dei rischi connessi al trattamento dei dati. Dati raccolti mediante la gestione dei canali di segnalazione interni.

In caso di mancato adeguamento alla nuova disciplina:

1) l’ANAC potrà applicare le seguenti sanzioni:

• multa da € 10.000 a € 50.000 quando si accerti che non sono stati istituiti canali di segnalazione conformi alla legge e alle linee-guida ANAC;
• multa da € 10.000 a € 50.000 quando si accerti che non sono state adottate procedure per la gestione delle segnalazioni conformi alla legge e alle linee-guida ANAC;
• multa da € 500 a € 2.500 quando si accerti che è stato violato l’obbligo di riservatezza previsto dalla legge e dalle linee-guida ANAC;

2) il garante per la protezione dei dati personali potrà applicare la seguente sanzione:

• multa fino a € 20.000.000 quando si accertino violazioni degli artt. 58 § 2 lett. i) e 83 § 5 GDPR, ovvero quando sono accertate violazioni dei principi di base del trattamento dei dati personali anche in condizioni in cui è presente il consenso dell’interessato.

A cura di Guido Sola e Nicolò Superbi