Cos’è il Whistleblowing e cosa implica per le aziende italiane

Whistleblowing

Il whistleblowing è uno strumento giuridico istituito con l’obiettivo di prevenire e reprimere la corruzione e l’illegalità all’interno delle imprese. È una norma che tutela la persona fisica (tipicamente un dipendente o un collaboratore dell’impresa) che, venuta a conoscenza di un presunto illecito, deve poterlo segnalare in piena sicurezza promuovendo la legalità e l’integrità all’interno dell’organizzazione.

In Italia la disciplina era già stata introdotta nel settore pubblico nel 2012: a marzo 2023 il Decreto Whistleblowing (D.lgs. 24/2023), in recepimento della Direttiva (UE) 2019/1937 , obbliga le imprese nazionali private con determinate caratteristiche o più di 50 dipendenti ad adottare un particolare modello di compliance aziendale a partire dal 17 dicembre 2023.

In questo articolo vediamo insieme di capire cos’è il whistleblowing e quali sono gli adempimenti più importanti che questa disciplina richiede alle società che operano nel settore privato.

Cos’è il whistleblowing

Il whistleblowing è un processo attraverso il quale un dipendente o un collaboratore o una qualsiasi persona esterna all’azienda segnala spontaneamente attività illegali, immorali o scorrette del quale è stato testimone all’interno dell’organizzazione.

Costituiscono segnalazioni whistleblowing quelle compiute da un lavoratore che, nello svolgimento delle proprie mansioni, si accorge di situazioni, fatti, circostanze che, ragionevolmente, possono portare a ritenere che un’irregolarità o un fatto illecito si sia verificato (Agenzia delle Entrate).

Questa pratica riveste un’importanza fondamentale nel prevenire e correggere comportamenti illeciti, contribuendo così a creare un ambiente di lavoro basato su valori etici e trasparenza.

È una strumento legislativo che si configura come un efficace mezzo per combattere e prevenire l’illegalità, la corruzione e la cattiva amministrazione, sia nel settore pubblico che in quello privato, preservando la libertà di espressione e di informazione, fondamentali per la democrazia e il pluralismo dei media.

La segnalazione può essere fatta in modo anonimo o meno, seguendo una procedura che ha lo scopo proteggere le persone che segnalano violazioni: in questo modo, difende il diritto dei lavoratori di denunciare fatti non conformi alla legalità e alla trasparenza, tutelandoli contro eventuali atti discriminatori (mobbing, licenziamento, retrocessione, coercizione, ecc.).

 

Whistelblowing in breve

Cos’è Il whistleblowing è un processo attraverso il quale un dipendente o un collaboratore o una qualsiasi persona esterna all’azienda segnala spontaneamente attività illegali, immorali o scorrette del quale è stato testimone all’interno dell’organizzazione.
Quali sono le aziende obbligateOltre all’Amministrazione Pubblica, sono obbligate a rispettare la normativa sul whistleblowing le seguenti categorie di aziende private:

  • Aziende che hanno impiegato una media di almeno 50 lavoratori subordinati negli ultimi dodici mesi, con contratti a tempo indeterminato o determinato.
  • Aziende appartenenti ai cosiddetti settori sensibili disciplinati da atti dell’Unione Europea.
  • Aziende che adottano il Modelle 231 o Modello Gestionale e Organizzativo (MOG) ai sensi del D.lgs. 231/2001.
Cosa devono fare le aziende private per adeguarsiPer adeguarsi alla normativa del whistleblowing, le aziende private devono seguire i seguenti step:

  1. Creare un canale interno per la raccolta delle segnalazioni.
  2. Definire una procedura interna per la ricezione e l’analisi delle segnalazioni.
  3. Individuare il gestore delle segnalazioni.
  4. Formare il personale aziendale
  5. Predisporre un DPIA (Data Privacy Impact Assessment)
  6. Predisporre misure di cancellazione dei dati, decorso il termine di conservazione
  7. Proteggere le persone segnalanti assicurandone, se lo desiderano, l’anonimato.
  8. Prevenire le ritorsioni contro le persone segnalanti
Quali sono le condotte illeciteLe segnalazioni posso riguardare:

  • Corruzione e frode
  • Discriminazione e molestie sul posto di lavoro
  • Illeciti amministrativi, contabili, civili o penali
  • Violazioni della legge e reati penali
  • Violazioni dei diritti umani
  • Insider trading
  • Abuso di dati
Come segnalare le violazioniLa segnalazione può avvenire utilizzando, secondo la normativa, i seguenti canali:

  • Segnalazione interna tramite il canale di segnalazione predisposto dall’azienda
  • Segnalazione esterna presso l’ANAC (Autorità Nazionale Anticorruzione)
  • Divulgazione pubblica (stampa, mezzi di comunicazione, media, ecc.)
  • Denuncia all’autorità giudiziaria o contabile

 

Nel seguito andiamo ad approfondire questi punti.

 

 

Whistelblowing e Modello 231

Il whistleblowing è stato introdotto in Italia per la prima volta con la legge del 6 novembre 2012, n. 190 (L. 190/2012) per il settore pubblico. Nel 2017, con la legge 179/2017 la normativa era già stata estesa al settore privato, ma soltanto alle aziende che avevano adottato il modello organizzativo e gestionale (MOG o Modello 231) ai sensi del D.lgs. 231/2001.

 

Il decreto 231 del 2001 (Responsabilità Enti e Società) istituì la responsabilità amministrativa in capo alle società (di ogni tipo, dimensione e attività) per una serie di reati commessi da propri amministratori, dirigenti, dipendenti o terzi mandatari, qualora tali reati siano stati realizzati nell’interesse o a vantaggio dell’impresa stessa.

 

Molti reati sono resi possibili da carenze della struttura organizzativa dell’impresa.

L’adozione di un modello organizzativo e gestionale dotato delle caratteristiche previste nel Decreto 231 (detto MOG o Modello 231), e l’istituzione di un Organismo di Vigilanza (OdV) interno o esterno, che si occupi di controllare che l’azienda osservi correttamente il MOG, rappresentano uno strumento di tutela e prevenzione per l’impresa verso i reati che possono essere commessi dalle persone fisiche dell’organizzazione.

Il MOG può essere adottato spontaneamente da qualsiasi azienda (che ha già vissuto o meno situazioni di questo tipo) e permette di prevenire le gravi conseguenze derivanti dalla commissione di reati da parte di individui interni alla società: dimostrando di aver attuato il MOG prima della commissione del fatto-reato, la società può sottrarsi alle responsabilità e alle relative sanzioni. Sebbene non obbligatorio, quando ben progettato e implementato, questo modello può impedire o almeno ridurre l’applicazione di sanzioni pecuniarie e interdittive e di misure cautelari contro l’impresa. Inoltre, le aziende che adottano questa gestione hanno un punteggio di rating di legalità incrementato rispetto a chi non lo fa.

L’attuale normativa sul whistleblowing è più ampia rispetto a quella del Modello 231, perché, intanto estende la sua efficacia al settore sia privato che pubblico (il decreto 231 riguarda solo il settore privato). Inoltre, mentre l’adozione del MOG è facoltativa, la nuova normativa sul whistleblowing impone l’obbligo di adottare determinate procedure per i soggetti che hanno i requisiti esposti sopra.

 

Quali aziende sono obbligate al whistleblowing

Con il decreto legislativo 10 marzo 2023, n. 24 l’Italia recepisce la Direttiva Europea sul Whistleblowing (2019/1937) in vigore dal 17 dicembre 2021, estendendo la disciplina anche al settore privato e stabilendo le date di entrata in vigore dei nuovi obblighi per le aziende italiane.

In particolare, l’applicazione della legge ha riguardato inizialmente, dal 15 luglio 2023, le aziende private con più di 250 dipendenti, mentre dal 17 dicembre 2023 l’obbligo è stato esteso alle seguenti categorie di imprese:

  • Aziende che hanno impiegato una media di almeno 50 lavoratori subordinati negli ultimi dodici mesi, con contratti a tempo indeterminato o determinato.
  • Aziende appartenenti ai cosiddetti settori sensibili disciplinati da atti dell’Unione Europea (anche se negli ultimi dodici mesi non hanno raggiunto la media di almeno 50 dipendenti con contratti di lavoro a tempo indeterminato o determinato); esempi di settori sensibili sono i servizi e prodotti dei mercati finanziari, la prevenzione del riciclaggio di denaro, la prevenzione del finanziamento al terrorismo, la sicurezza dei  trasporti, la tutela dell’ambiente.
  • Aziende che adottano il Modelle 231 o Modello Gestionale e Organizzativo (MOG) ai sensi del D.lgs. 231/2001 (anche se negli ultimi dodici mesi non hanno raggiunto la media di almeno 50 dipendenti con contratti di lavoro a tempo indeterminato o determinato).

 

 

Chi è il segnalatore o whistleblower

Il termine “whistleblowing“, in inglese, identifica l’azione dell’arbitro che soffia nel fischietto per segnalare un’irregolarità durante una partita. Nella normativa in esame, il whistleblower o segnalatore è colui che denuncia una irregolarità e assume così un ruolo chiave nel promuovere la legalità e l’integrità all’interno dell’organizzazione.

Può essere un:

  • dipendente interno all’azienda;
  • collaboratore o fornitore che può segnalare eventuali illeciti messi in atto dall’organizzazione e di cui viene a conoscenza;
  • cliente che, come fruitore di beni o servizi venduti dall’azienda, può rilevare situazioni scorrette tali da essere denunciate;
  • soggetto esterno che, pur non avendo rapporti diretti con l’azienda, può cogliere comportamenti non eticamente giusti nell’interesse pubblico (ad esempio, attività che hanno un impatto ambientale scorretto e così via).

 

La normativa tutela la riservatezza di tutti i segnalatori, che siano lavoratori subordinati, autonomi, liberi professionisti, consulenti, volontari, tirocinanti, azionisti, persone con funzioni di amministrazione, direzione, controllo o vigilanza, facilitatori e individui con legami affettivi o di parentela.

 

Cosa segnalare: quali sono le condotte illecite

Possono essere segnalati comportamenti, atti od omissioni che danneggiano l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’azienda privata. In particolare questi atti possono consistere in:

  • Corruzione e frode
  • Discriminazione e molestie sul posto di lavoro
  • Illeciti amministrativi, contabili, civili o penali
  • Violazioni della legge e reati penali
  • Violazioni dei diritti umani
  • Insider trading
  • Abuso di dati

Le singole policy e procedure aziendali possono ulteriormente allargare lo spettro di casistiche, arrivando a coprire comportamenti non etici o non conformi al codice di condotta.

 

whistleblowing tipologie segnalazioni

Whistleblowing: tipologie segnalazioni – Fonte immagine Ministero di Giustizia

 

Ovviamente il whistleblowing si riferisce a violazioni che rappresentano degli illeciti disciplinati dal diritto nazionale o europeo, oppure una minaccia di un interesse pubblico o gravi situazioni di pericolo per la salute e la sicurezza pubblica, non a semplici ‘lamentele’ legate ad una questione di interesse personale.

 

 

Cosa devono fare le aziende: la procedura di whistleblowing

Cosa deve fare un’azienda privata per adeguarsi alla normativa sul whistleblowing? Deve implementare un procedura di compliance whistleblowing interna.

Per fare ciò, l’azienda deve:

  1. Creare un canale interno per la raccolta delle segnalazioni (ad esempio, una cassetta postale fisica o di posta elettronica, una linea telefonica dedicata, una piattaforma informatica di whistleblowing, eccetera)
  2. Definire una procedura interna per la ricezione e l’analisi delle segnalazioni
  3. Individuare il gestore delle segnalazioni (persona o ufficio) che può essere interno oppure esterno (gestito da terzi)
  4. Formare adeguatamente tutte il personale aziendale sul whistleblowing, la normativa e le modalità di segnalazione

Ai fini Privacy, per il corretto trattamento dei dati raccolti è necessario:

  1. Predisporre un DPIA – Data Privacy Impact Assessment ovvero una valutazione d’impatto sulla protezione dei dati del whistleblowing, adeguando il sistema di rilevazione delle segnalazioni al Regolamento UE 2016/679
  2. Predisporre misure per la cancellazione dei dati, decorso il termine di conservazione

La procedura deve essere implementata con il fine di:

  1. Proteggere le persone segnalanti assicurandone, se lo desiderano, l’anonimato.
  2. Prevenire le ritorsioni contro le persone segnalanti, attuando politiche anti-ritorsione e conducendo indagini interne eque.

 

Per implementare una procedura di compliance, l’azienda dovrà attivare il canale interno per le segnalazioni e dotarsi di una procedura interna per la gestione del whistleblowing (eventualmente di un software whistleblowing apposito) che dovrà essere adeguatamente divulgata al personale interessato, per fornire tutte le informazioni e le modalità d’uso dei canali di segnalazione. Queste informazioni devono essere chiare e accessibili, anche online, a tutti i soggetti coinvolti.

La gestione del canale deve essere affidata ad un soggetto – detto gestore interno il cui ruolo sarà quello di gestire ogni eventuale segnalazione e rapportarsi col segnalatore. Secondo la normativa, il ruolo di gestore del canale di segnalazione può essere affidato ad una persona (ad esempio il Responsabile delle Risorse Umane o altro manager, il DPO ecc) oppure a un intero ufficio interno autonomo o ad un soggetto esterno, purché sia autonomo e con personale specificamente formato per tale attività. Le best practices predisposte dall’azienda conterranno indicazioni e istruzioni condivise per il gestore del canale interno.

Prima dell’attivazione del canale, la legge impone che l’azienda condivida le varie informazioni con le rappresentanze o le organizzazioni sindacali, per eventuali osservazioni. La nuova normativa, oltre a garantire la riservatezza e a vietare azioni ritorsive contro il segnalante, impone obblighi formali, che potrebbero rendere necessario l’integrazione dei modelli esistenti per la protezione dei dati personali. Ciò influisce notevolmente sugli assetti organizzativi delle imprese, soprattutto in contesti meno strutturati.

 

Come fare la segnalazione di illecito

Il whistleblower può effettuare la sua segnalazione con diverse modalità, in base a determinate circostanze, utilizzando prima di tutto il canale interno e solo in determinate condizioni, di seguito descritte, effettuare una segnalazione esterna o una divulgazione pubblica.

  • Segnalazione interna: quando un soggetto vuole denunciare una violazione dell’organizzazione in cui lavora o collabora, il primo canale che è tenuto ad utilizzare è quello interno.  Nel settore privato, il canale interno deve essere appositamente predisposto dall’azienda stessa. I canali interni possono essere scritti oppure orali. Quando sono scritti la legge prevede che facciano uso di tecnologia crittografata per garantire la massima protezione per chi fa la segnalazione. Quando invece sono orali, le segnalazioni possono esser fatte in presenza (davanti al gestore) oppure tramite una hotline (ossia linee telefoniche, numeri verdi, ecc.).
  • Segnalazione esterna: è la segnalazione che viene effettuata all’ANAC – Autorità Nazionale Anticorruzione. Questa segnalazione può avvenire solo in determinati casi ossia quando:
    • nel proprio contesto lavorativo non è previsto, non è stato attivato, non è ancora attivo o non è conforme alla legge un canale di segnalazione interna;
    • il segnalatore, pur avendo fatto la segnalazione interna, non ha avuto alcun riscontro;
    • il segnalatore ha fondati motivi di pensare che la segnalazione interna non abbia la giusta efficacia o possa implicare un rischio di ritorsione;
    • il segnalatore ha giusto motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.
  • Divulgazione pubblica: il segnalatore può utilizzare la stampa, mezzi elettronici o mezzi di diffusione in grado di raggiungere un numero elevato di persone. Anche per questa segnalazione la legge impone che possa essere fatta direttamente quando:
    • il segnalatore ha già effettuato una segnalazione interna ed esterna o ha fatto direttamente una segnalazione esterna a cui non è seguito un riscontro entro i termini previsti;
    • il segnalatore ha fondati motivi di pensare che la segnalazione interna non abbia la giusta efficacia o possa implicare un rischio di ritorsione;
    • il segnalatore ha giusto motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.
  • Denuncia all’Autorità Giudiziaria o Fiscale: in questo caso, il segnalatore può utilizzare i canali messi a disposizione dalle autorità. Ad esempio, il Ministero di Giustizia mette a disposizione una piattaforma dedicata alle segnalazioni raggiungibile dall’indirizzo https://whistleblowing.giustizia.it: le segnalazioni sulla piattaforma possono avvenire sia in forma anonima, sia con identificazione del soggetto denunciante, attuando tutte le tutele previste dalla norma whistleblowing e dalla privacy.

 

whistleblowing tutela segnalante o whistleblower

Whistleblowing: tutela del segnalante – Fonte immagine Ministero di Giustizia

 

Cosa fare quando si riceve una segnalazione

Quando si riceve una segnalazione nel proprio canale interno, il gestore deve prima di tutto inviare un avviso di ricevimento entro 7 giorni al segnalante (whistleblower). Nel caso in cui abbia bisogno di ulteriori informazioni potrà richiederle al segnalante. Dovrà valutare, in primo luogo, che quanto segnalato vada effettivamente a ledere normative o diritti UE o il codice etico. Qualora la segnalazione non rientrasse in una violazione, dovrà comunicarlo al segnalante.

In ogni caso, il gestore dovrà dare un riscontro entro 3 mesi dalla data indicata nell’avviso. L’omessa verifica può portare a sanzioni amministrative. Nel caso si ritenga fondata la segnalazione, può essere avviata un’indagine interna (acquisizione di documenti, richieste di informazioni ulteriori a personale, ecc.), il tutto nel completo rispetto della privacy e del diritto del lavoro. Dopo aver raccolto tutte le informazioni aggiuntive, bisognerà condividere i risultati con il management e procedere ad eventuali misure correttive.

 

L’Autorità Nazionale Anticorruzione (ANAC) e whistleblowing

Un ruolo molto importante nella disciplina del whistleblowing è rivestito dall’ANAC, l’Autorità Nazionale Anticorruzione, che è un organo italiano indipendente fondato con la legge n. 190/2012. In generale l’ANAC è responsabile di vigilare sull’integrità, la trasparenza e l’efficienza nelle pubbliche amministrazioni.

L’ANAC svolge il ruolo di vigilante sulle segnalazioni di whistleblowing e ha il potere di proporre, qualora ci fossero i presupposti, le sanzioni amministrative. Inoltre, su espresso volere del decreto whistleblowing, l’ente ha elaborato linee guida relative alle procedure per la presentazione e la gestione delle segnalazioni esterne.

Nel processo di whistleblowing, il segnalatore si può rivolgere all’ANAC, ma solo in un secondo momento ossia quando non ha ricevuto alcun riscontro alla segnalazione effettuata tramite il canale interno oppure quando teme che la segnalazione interna possa implicare il rischio di ritorsione e ritenere il canale interno non opportuno per la segnalazione.

Quando l’ANAC riceve una denuncia di questo tipo deve dare un avviso di ricevimento entro 7 giorni dalla denuncia stessa e dare poi un riscontro entro 3 mesi. Alla fine dell’istruttoria l’ente deve fornire al segnalatore l’esito finale della denuncia.

 

 

Normativa sul whistleblowing

La principale normativa italiana in materia di whistleblowing è la seguente:

  • Legge n. 190/2012Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione“: introdotta inizialmente contrastare la corruzione nel settore pubblico, questa legge ha rappresentato il punto di partenza per la normativa sul whistleblowing in Italia.
  • Legge n. 179/2017Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato“: è la legge che disciplina il whistleblowing in Italia. Incentiva e favorisce la diffusione di una mentalità orientata alla denuncia degli illeciti all’interno delle varie organizzazioni, offrendo ai whistleblower la possibilità di segnalare questi comportamenti non conformi, senza timore di subire eventuali rappresaglie.
  • D.Lgs n. 24/2023Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” (Decreto Whistleblowing): è il decreto, emanato in attuazione della Direttiva UE 2019/1937, che estende l’ambito del whistleblowing anche al settore privato, introducendo nuovi obblighi per le aziende per la protezione dei segnalanti e la gestione delle segnalazioni.
  • D.Lgs n. 231/2001Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300“: sebbene non sia specificamente dedicata al whistleblowing, questa legge si occupa di responsabilità amministrative delle persone giuridiche, delle società e delle associazioni, introducendo la figura del “Modello di Organizzazione, Gestione e Controllo” (MOG) che può prevedere meccanismi di segnalazione interna.

Altre fonti utili:

 



 

Vuoi saperne di più?

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!