Anche in Italia arriva la nuova legge europea sul Whistleblowing. Il Decreto Legislativo 24 del 10 marzo 2023 ratifica infatti la Direttiva e introduce anche nel nostro ordinamento una tutela più forte del cosiddetto “whistleblower“. La nuova normativa si applica alle organizzazioni pubbliche e private con almeno 50 dipendenti, e avrà un considerevole impatto sia nel settore pubblico che in quello privato.
Per whistleblowing si intende la denuncia di comportamenti irregolari o illeciti all’interno di un’organizzazione pubblica o privata. Il whistleblower, cioè il segnalante, può avere diversi profili: dipendenti, collaboratori esterni, azionisti, soci o volontari che hanno rapporti con l’organizzazione.
Cosa prevede la nuova legge
Il whistleblowing ha molte sfaccettature ed elementi di cui tener conto: da una parte ci sono le esigenze di privacy e tutela giuridica del segnalante; dall’altro le esigenze di confidenzialità e sicurezza delle informazioni aziendali che transitano sui canali di segnalazione. Se infatti è fondamentale proteggere l’identità e la riservatezza del denunciante, è anche necessario proteggere le informazioni aziendali, che possono anche essere molto sensibili: segreti industriali, informazioni contrattuali riservate e comunicazioni confidenziali.
Per questo motivo, prima la Direttiva europea, e poi la normativa italiana di recepimento, hanno stabilito specifici standard di protezione del segnalante e delle informazioni.
Le aziende sono chiamate a dotarsi di canali di segnalazione sicuri e conformi alla normativa privacy europea. Tali canali devono garantire, anche attraverso la crittografia, la riservatezza dell’identità della persona segnalante, delle persone coinvolte nella segnalazione e l’assoluta confidenzialità del contenuto della segnalazione e la relativa documentazione allegata. È quindi fondamentale evitare soluzioni “fatte in casa”, come ad esempio l’uso della posta elettronica come canale di segnalazione, da cui potrebbero derivare situazioni di insicurezza e anche un doppio rischio sanzionatorio per violazione della normativa privacy e della nuova legge sul whistleblowing.
Il canale di segnalazione dovrà essere affidato a una persona o a un ufficio interno dedicato e con personale appositamente formato per la gestione dello stesso. In alternativa, i soggetti del settore privato con un numero di dipendenti non superiore a 249 potranno anche condividere il canale di denuncia interna e la relativa gestione.
Indipendentemente dalla condivisione o meno dei canali di denuncia e della loro gestione, è comunque necessario prestare attenzione ai ruoli dei soggetti coinvolti nel trattamento dei dati personali e ai requisiti previsti dalla normativa sulla privacy (Reg. UE 2016/679), anche in ambito contrattuale.
Non solo un adempimento obbligatorio
La nuova normativa è anche un’opportunità per promuovere una maggiore trasparenza e responsabilità nelle proprie attività aziendali. I canali di denuncia interni possono infatti consentire alle imprese di individuare e risolvere tempestivamente eventuali violazioni di legge o irregolarità, prevenendo così il rischio di sanzioni e danni all’immagine.
Secondo alcuni studi (Association of Certified Fraud Examiners, 2020) le imprese con un sistema di whistleblowing adeguato individuano gli illeciti con 6 mesi di anticipo rispetto alle imprese che non dispongono di strumenti di questo tipo. Così riescono a mitigare le conseguenze negative (sanzioni, danni all’immagine, ecc.) di almeno il 50%.
Inoltre, un sistema di whistleblowing sicuro e conforme alla normativa sulla privacy incoraggia i dipendenti a denunciare anche illeciti come accessi abusivi a sistemi informatici o danneggiamenti di dati e sistemi informatici, dando così alle imprese la possibilità di poter mitigare rischi sanzionatori derivanti da violazioni di dati personali.
Acara, la piattaforma per le segnalazioni sicure
Proteggere l’identità dei segnalanti e delle informazioni aziendali confidenziali richiede un approccio incentrato sulla privacy & security by design.
Fin dalle prime fasi di progettazione, Acara è stata immaginata e sviluppata secondo rigorosi requisiti mutuati dalla normativa privacy europea (“GDPR”) e dai migliori standard nel campo della sicurezza delle informazioni. Così abbiamo creato un prodotto che poggia la sua struttura su solide fondamenta di privacy e sicurezza dei dati. Clicca qui per scoprire le specifiche tecniche di privacy e sicurezza di Acara!
Acara è stata sviluppata appositamente per essere conforme alla Direttiva europea e alla normativa italiana:
- Sicurezza e crittografia dei dati, sia in transito che a riposo
- Protezione totale della riservatezza dell’identità dei segnalanti e dei dati trasmessi nelle segnalazioni
- Audit trail e log, per garantire trasparenza e accountability nella gestione delle segnalazioni
Inoltre, Acara offre agli operatori che gestiscono le segnalazioni un sistema di dashboard e notifiche automatizzate per assicurare il rispetto dei termini di legge.