Al fine di conformarsi alle prescrizioni del D.Lgs. 24/2023, attuativo della direttiva UE in tema whistleblowing, le aziende private che hanno impiegato nell’ultimo anno una media di lavoratori subordinati tra i 50 e i 249 dovranno assolvere specifici obblighi entro il 17 dicembre 2023. Sono altresì obbligate le aziende con meno di 50 dipendenti, se hanno adottato un modello 231.
Premessa
Il D.Lgs. 24/2023, per l’adeguamento delle aziende del settore privato alla nuova disciplina, ha rimodellato gli obblighi in materia di protezione delle persone che segnalano violazioni di disposizioni nazionali o europee di cui vengono a conoscenza in ragione dell’attività lavorativa svolta, individuando ex novo l’ambito oggettivo e soggettivo di applicazione, nonché le definizioni rilevanti, le norme in materia di segnalazioni interne, esterne e di divulgazioni pubbliche.
Al contempo, ha fissato puntuali obblighi di riservatezza, predisponendo strumenti per la tutela dei segnalanti, fissando le condizioni per l’applicazione delle misure di protezione e prevedendo presidi a fronte di eventuali ritorsioni, misure di sostegno e ipotesi di limitazioni della responsabilità.
Gli adempimenti in scadenza il 17 dicembre 2023
La nuova disciplina, tra obblighi e tutele, prevede l’istituzione e la regolamentazione di apposite procedure di segnalazione (canali interni, esterni e divulgazione pubblica), garantendo la riservatezza e stabilendo uno specifico regime applicabile in caso di ritorsioni.
Istituzione del canale interno di segnalazione
Innanzitutto, occorre istituire il canale interno di segnalazione e ciò significa, da un lato, determinare le modalità con cui il segnalante potrà inviare le segnalazioni e, dall’altra, individuare il soggetto (interno o esterno) deputato alla gestione delle stesse.
L’Autorità Garante per la Protezione dei Dati Personali ha ritenuto la posta elettronica uno strumento non adeguato a garantire la riservatezza; da qui il prevalente utilizzo di piattaforme informatiche da parte degli soggetti obbligati al rispetto della normativa. Ad oggi risultano disponibili sul mercato numerose piattaforme che garantiscono la riservatezza dell’identità del segnalante, del segnalato, del contenuto della segnalazione e della relativa documentazione, mediante l’utilizzo di protocolli sicuri e strumenti di crittografia. Molte piattaforme consentono di inviare anche segnalazioni in forma orale, tramite la registrazione di un messaggio vocale e la possibilità di gestire le eventuali richieste di incontro diretto con il soggetto deputato alla gestione delle segnalazioni.
Individuazione del gestore del canale
Definito il canale interno, occorre individuare il soggetto incaricato della gestione delle segnalazioni (c.d. gestore). La scelta è rimessa all’autonomia organizzativa di ciascun soggetto obbligato, che potrà optare per un soggetto/ufficio interno con personale dedicato, anche se non in via esclusiva, oppure avvalersi di un soggetto esterno. Al riguardo ANAC precisa che deve trattarsi di un soggetto che possieda requisiti di autonomia, imparzialità e indipendenza, specificamente formato sulla disciplina del whistleblowing, citando a titolo esemplificativo e non esaustivo: l’Organismo di Vigilanza ex D.Lgs. 231/2001, gli organi di internal audit, i comitati etici.
Procedura specifica
Le Linee Guida Anac evidenziano la necessità di adozione di un apposito atto organizzativo che definisca le procedure per il ricevimento e la gestione delle segnalazioni, atto che dovrà:
• essere adottato dall’organo di indirizzo;
• definire il ruolo e i compiti dei diversi soggetti cui è consentito l’accesso alle informazioni e ai dati contenuti nella segnalazione, limitando il trasferimento di questi ultimi ai casi strettamente necessari;
• definire le modalità e i termini di conservazione dei dati appropriate e proporzionate ai fini della procedura di whistleblowing.
La procedura, oltre ai destinatari, all’oggetto e al contenuto della segnalazione, deve individuare le caratteristiche del canale interno di segnalazione ed elencare tassativamente le ipotesi (residuali) di utilizzo di quello esterno; inoltre, deve descrivere le forme di tutela della riservatezza e protezione dalle ritorsioni, nonché la responsabilità del whistleblower. Infine, nella procedura sono disciplinati i flussi informativi interni e le modalità di conservazione documentale nel rispetto della normativa in materia di protezione dei dati personali.
Modifica del sistema disciplinare
Nel sistema disciplinare, che costituisce parte integrante del Modello 231, devono essere introdotte sanzioni nei confronti di coloro che accertano essere responsabili delle violazioni previste dalla nuova disciplina.
Comunicazione ai dipendenti
Le informazioni sull’utilizzo del canale interno e di quello esterno devono essere rese accessibili anche alle altre persone legittimate a presentare segnalazioni, ad esempio mediante affissione in bacheca, pubblicazione in una sezione apposita del sito web della società/ente, ecc.
Trattamento dei dati personali
Dovranno essere posti in essere tutti gli adempimenti in materia di protezione dei dati personali, tra cui:
• la predisposizione delle informative sul trattamento dei dati per il segnalante e per le persone coinvolte nella segnalazione;
• la definizione dei ruoli e dei rapporti con il soggetto deputato alla gestione delle segnalazioni (autorizzato o responsabile ex art. 28 Reg. UE 2016/679); l’aggiornamento del registro dei trattamenti;
• la valutazione di impatto DPIA volta a stabilire se le misure tecniche e organizzative adottate siano inidonee a garantire un livello di sicurezza adeguato agli specifici rischi che derivano dai trattamenti effettuati.
Rapporti con le rappresentanze sindacali
Le rappresentanze sindacali o le organizzazioni sindacali di cui all’art. 51 D.Lgs. 81/2005, che devono essere informate, in quanto normativamente previsto dal decreto, prima dell’adozione dell’intero sistema.
Per maggiori informazioni:
Dott.ssa Simona Persi
Consulenza legale – Protezione Dati Personali – D.P.O.
Via G. Pernigotti n. 13 – 15057 Tortona (AL)
Tel 0131 868844 – Cell 334 7771788
diretto:s.persi@lawcompliance.it
segreteria: amministrazione@lawcompliance.it Pec: s.persi@pec.giuffre.it
