Indice dei contenuti
Cos’è il Whistleblowing?
Gli ultimi anni hanno visto l’introduzione e la progressiva estensione di norme volte a garantire e regolamentare il c.d. Whistleblowing, da intendersi come possibilità per il dipendente di inviare segnalazioni di comportamenti illeciti verificatisi nell’ente o azienda in cui opera, nonché come insieme di garanzie e tutele rispetto ad eventuali azioni ritorsive e – non ultimo – di misure volte ad evitare l’abuso di questo potere/dovere di segnalazione.
Entriamo adesso nel vivo dell’argomento!
Cosa introduce il decreto legislativo 24 del 15 marzo 2023?
Tale percorso ha trovato il suo compimento con il D.Lgs. 24/2023, che ha per la prima volta introdotto un quadro normativo autonomo per il Whistleblowing.
Infatti, mentre precedentemente il sistema era stato introdotto nel quadro delle norme in materia di prevenzione della corruzione e successivamente esteso alle Società ed enti dotati di Modello 231; con la nuova normativa si prevede che i canali debbano essere attivati da tutte le aziende con media occupazionale non inferiore ai 50 dipendenti, a prescindere dal fatto di essere dotati di Modello 231 o di essere soggetti alle norme anticorruzione.
In sostanza, tutte le aziende che nell’anno precedente hanno avuto una media occupazionale non inferiore ai 250 dipendenti, entro il 15 luglio 2023 dovranno dotarsi delle procedure di segnalazione nonché dei canali informatici dedicati.
Le aziende che hanno avuto una media occupazionale tra 50 e 249 dipendenti, invece, hanno un po’ di tempo in più, infatti l’obbligo decorre dal 17 dicembre 2023.
Le aziende sopra descritte dovranno, sentite le rappresentanze o le organizzazioni sindacali, attivare propri canali di segnalazione, che garantiscano, anche tramite il ricorso a strumenti di crittografia, la riservatezza dell’identità della persona segnalante, della persona coinvolta e della persona comunque menzionata nella segnalazione, nonché del contenuto della segnalazione e della relativa documentazione.
La gestione del canale di segnalazione dovrà essere affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione, ovvero a un soggetto esterno, anch’esso autonomo e personale specificamente formato.
Se hai il timore che potresti incorrere in sanzioni, contattaci per fissare un appuntamento con i professionisti specializzati in Modello 231 e GDPR dello studio di consulenza Neostudio.
Whistleblowing, 231 e GDPR: cosa dicono le norme vigenti
L’esistenza di una normativa specifica dedicata al Whistleblowing non sminuisce il collegamento con 231 e GDPR, che anzi ne esce rafforzato sia dal punto di vista giuridico che nella sostanza.
Quanto al GDPR, gli articoli 12 e 13 della nuova normativa ribadiscono che i dati del segnalante e della procedura di segnalazione sono dati personali soggetti all’applicazione della normativa, con applicazione di tutti i relativi adempimenti. Inoltre, caso raro, esplicitano la necessità di sottoporre il trattamento, ed i canali informativi utilizzati, ad una specifica valutazione di impatto (DPIA).
Quanto al Modello 231, come detto, i collegamenti sono di tipo innanzitutto giuridico: il Modello 231, dove presente, deve prevedere canali di segnalazione conformi alla nuova normativa.
Ma ancora più importanti sono i collegamenti di tipo sostanziale:
- La gestione e valutazione corretta delle segnalazioni è possibile solo dove vi sia consapevolezza dei contenuti delle stesse e delle condotte a rischio eventualmente desumibili. Tale consapevolezza può derivare solo dall’esistenza di un sistema di gestione dei rischi di commissione degli specifici illeciti descritti dal Decreto, sistema di gestione che giuridicamente si identifica con il Modello 231;
- La necessità di identificare persone/uffici che gestiscano la segnalazione può essere facilmente e conformemente risolta dove sia stato nominato un Organismo di Vigilanza ex D.lgs. 231/2001.
Whistleblowing e possibili sanzioni: quali sono i rischi e come evitarli?
La normativa prevede delle specifiche sanzioni di tipo pecuniario, e tuttavia anche in questo caso sono l’ambito GDPR e 231 ad evidenziare i rischi maggiori.
La non conformità al GDPR della soluzione adottata potrebbe avere come conseguenza:
- L’applicazione delle sanzioni previste dal GDPR stesso;
- La mancata tutela del segnalante e quindi l’invalidità del canale adottato, con conseguente inidoneità del Modello 231.
La mancata adozione del Modello 231 potrebbe creare un deficit di gestione e valutazione delle segnalazioni e dei rischi sottostanti.
Pertanto, è necessario:
- Gestire correttamente gli adempimenti GDPR;
- Selezionare il fornitore e la soluzione da esso proposta per la gestione della segnalazione prevedendo quale requisito la conformità al GDPR (sia della soluzione che dell’organizzazione preposta all’erogazione del servizio);
- Adottare un Modello 231 che preveda una completa mappatura del rischio, quale binario per la corretta valutazione e gestione delle segnalazioni;
- Nominare un Organismo di Vigilanza 231 effettivamente autonomo e indipendente a supporto e comprova della corretta gestione del sistema di segnalazione.
Ancora dubbi? Contattaci compilando il form con la tua richiesta o telefonicamente allo 0550106651.