Il tempo sta ormai per scadere: il 15 luglio 2023 è la data fissata come prima deadline per le aziende entro cui conformarsi alla nuova disciplina sul whistleblowing, entrata in vigore già dal 30 marzo 2023. Permane, invece, per le aziende private che, nell’ultimo anno, hanno impiegato una media di lavoratori subordinati non superiore a 249, la data del 17 dicembre 2023 come termine ultimo per adeguarsi.
Ma quali sono le novità introdotte con il D.Lgs. 24/2023? Rivediamole insieme.
Ricordiamo, innanzitutto, che il D.Lgs. 24/2023 recepisce la direttiva europea 2019/1937, la quale ha come obiettivo il rafforzamento delle tutele riconosciute ai c.d. whistleblowers, ossia i soggetti che segnalano gli illeciti di cui vengono a conoscenza nel contesto lavorativo.
Prima importante novità del decreto 24/2023 è sicuramente il campo di applicazione: la normativa, infatti, non si applica più solamente al settore pubblico, ma anche a quello privato, coinvolgendo tutte quelle aziende che hanno impiegato, nel corso dell’ultimo anno, una media di almeno 50 lavoratori subordinati o, anche al di sotto di tale soglia, qualora svolgano attività in determinati settori (ad esempio nei settori dei servizi, prodotti e mercati finanziari o prevenzione del riciclaggio) o abbiano adottato un modello di organizzazione e gestione di cui al d.lgs. 231/2001. È quindi evidente come la normativa interessi gran parte delle aziende.
L’altra importante novità riguarda l’obbligo, posto in capo a tali soggetti, di attivare un canale di segnalazione che garantisca la riservatezza dell’identità del segnalante, della persona coinvolta o menzionata nella segnalazione, del contenuto della segnalazione e della relativa documentazione. La gestione di tale canale di segnalazione interno può essere affidata ad un soggetto o ufficio interno, nonché ad un soggetto esterno, i quali devono garantire tutta una serie di attività, tra cui:
- Rilasciare al segnalante l’avviso di ricevimento della segnalazione entro sette giorni dalla ricezione,
- Mantenere le interlocuzioni con il segnalante, richiedendo, laddove necessario, eventuali integrazioni;
- Dare diligente seguito alle segnalazioni;
- Fornire riscontro alle segnalazioni entro tre mesi dall’avviso di ricevimento o, in mancanza, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;
- Mettere a disposizione informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché per quelle esterne.
Infatti, è ammessa la possibilità di rivolgersi direttamente all’ANAC (attraverso una segnalazione, appunto, esterna) quando:
- L’azienda non ha attivato alcun canale di segnalazione interno – a prescindere dal fatto che esso sia obbligatorio o meno – o quando il suddetto canale non è conforme;
- Quando la segnalazione non ha avuto seguito;
- Quando il segnalante ha fondati motivi di ritenere che alla segnalazione interna non sarebbe dato efficace seguito o dalla stessa potrebbe derivare un rischio di ritorsione;
- Quando il segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo di imminente o palese per il pubblico interesse.
Infine, il segnalante potrà anche decidere di effettuare una divulgazione pubblica, sempre al ricorrere di determinate condizioni (ad esempio quando non viene dato riscontro alla segnalazione esterna).
Il D.Lgs. 24/2023 prevede un obbligo di riservatezza in capo ai soggetti che ricevono le segnalazioni: queste ultime, infatti, non possono essere utilizzate oltre quanto necessario a dare un adeguato seguito alle stesse e, non solo l’identità del segnalante ma anche tutte quelle informazioni da cui possa in qualche modo desumersi tale identità, non possono essere rivelate, a meno che non vi sia un consenso espresso del segnalante, essendo inoltre sottratte anche all’accesso agli atti amministrativi e al diritto di accesso civico generalizzato. Allo stesso modo, l’identità delle persone coinvolte è soggetta al medesimo obbligo di riservatezza fino a conclusione del procedimento.
È la normativa stessa che poi sottolinea la profonda interconnessione tra la disciplina del whistleblowing e la normativa in materia di protezione dei dati personali. È infatti evidente che se, da un lato, è fondamentale tutelare la riservatezza del segnalante, altrettanto vale per le informazioni aziendali che potrebbero essere ricomprese nelle segnalazioni. Ecco che allora sarà onere dell’azienda dotarsi di un canale di segnalazione in grado di garantire tali aspetti, utilizzando misure tecniche ed organizzative tali da assicurare un livello di sicurezza adeguato. Ma non solo. La norma richiede infatti che i rischi derivanti dal trattamento siano sottoposti a valutazione d’impatto e che siano disciplinati i rapporti con eventuali fornitori esterni, sottoscrivendo quindi le eventuali nomine a responsabile del trattamento.
Il decreto si occupa anche di definire i termini di conservazione delle segnalazioni e relativa documentazione, prevedendo che le stesse debbano essere conservate per il tempo necessario alla gestione della segnalazione, e comunque non oltre 5 anni dalla data di comunicazione dell’esito finale della procedura.
Il canale di segnalazione prescelto dalle aziende dovrà quindi combinare tutti questi aspetti, dimostrando così di essere compliant sia alla normativa di settore che al GDPR. È proprio per venire in contro a tali esigenze che Net Patrol ha sviluppato ACARA, piattaforma di whistleblowing pensata appositamente per una gestione delle segnalazioni tale da soddisfare tutte le normative in gioco.
ACARA ti permette infatti di trattare le tue segnalazioni in sicurezza, garantendo la riservatezza del segnalante e delle informazioni.