Con la direttiva (UE) n. 2019/1937, il Parlamento europeo e il Consiglio hanno voluto uniformare le normative interne dei paesi membri dell’Unione Europea in materia di protezione dei whistleblowers.
L’obiettivo del provvedimento è quello di favorire l’emersione di illeciti nel settore pubblico e in determinati settori privati (quali appalti, servizi finanziari, sicurezza dei prodotti e dei trasporti, ambiente, alimenti, salute pubblica, privacy, sicurezza della rete e dei sistemi informatici, concorrenza), intensificando la tutela dei whistleblowers.
La direttiva ha sancito un vero e proprio diritto alla segnalazione, quale “parte” del più ampio diritto alla libertà di espressione, per coloro che sono venuti a conoscenza di violazioni di pubblico interesse o dell'integrità dell'amministrazione pubblica o dell'ente privato nell’esercizio della propria attività professionale.
Le disposizioni europee sono state recepite in Italia con il D.lgs. del 10 marzo 2023, n. 24 che ha esteso l'obbligo di adottare un sistema di whistleblowing anche alle società prive di un Modello 231.
Infatti, prima dell’emanazione del decreto in questione, in Italia il dovere di elaborare un canale di segnalazione interna era previsto nel settore pubblico mentre in ambito privato solo per le società che si erano dotate del MOGC e per quelle soggette al TUB, al TUF, alla normativa antiriciclaggio e al codice delle assicurazioni private.
Con la nuova normativa, le procedure di whistleblowing devono essere predisposte dagli enti individuati dall’art. 3 del D.lgs. 24/2023, tra cui rientrano appunto le società private che non hanno adottato un MOGC e che posseggono i seguenti requisiti:
a) nell’ultimo anno hanno impiegato una media di almeno cinquanta lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato;
b) oppure si occupano di alcuni specifici settori (quali servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti, sicurezza degli alimenti, tutela dell’ambiente e sicurezza informatica), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.
Per la precisione, la nuova disciplina si applicherà a partire dal 15 luglio 2023 per i soggetti del settore privato più “grandi” che nell’ultimo anno hanno impiegato una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, pari o superiore a 250 unità. Per tutti gli altri l'obbligo di istituire un sistema di whistleblowing decorrerà dal 17 dicembre 2023
Nel rispetto del GDPR e del Codice privacy, il D.lgs. 24/2023 prevede che le società devono impiegare una serie di misure di sicurezza per le segnalazioni interne, come l’utilizzo di sistemi di crittografia per garantire la riservatezza del whistleblower.
A tal fine, all’interno di ciascuna azienda deve essere istituito un ufficio specificatamente dedicato oppure assegnare l’incarico ad una persona, anche esterna, ben individuata e formata sull’argomento.
Quest’ultimi assumeranno il ruolo di titolari del trattamento e saranno tenuti a fornire precise indicazioni al whistleblower in applicazione del principio di trasparenza e ad applicare le misure di sicurezza sopra accennate.
Sul punto, la nuova disciplina prevede inoltre che la gestione degli alert deve essere effettuata nel rispetto di termini precisi: entro sette giorni dalla ricezione della segnalazione dovrà essere comunicata al whistleblower la presa in carico della stessa con un “avviso di ricevimento”, mentre l’esito delle verifiche gli dovrà essere notificato entro tre mesi dalla data dell’avviso di ricevimento o, in mancanza di questo, entro tre mesi dalla scadenza del termine di sette giorni di cui sopra.
Durante tale fase deve essere in ogni caso garantita la riservatezza dei whistleblowers; infatti, l’art. 13, comma 2, del D.lgs. 24/2023 prescrive che “i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non devono essere raccolti o, se raccolti accidentalmente, devono essere cancellatiimmediatamente”.
Ad ulteriore tutela, il D.lgs. 24/2023 introduce il sistema delle c.d. segnalazioni esterne che consiste nella possibilità per il whistleblower di rivolgersi alle Autorità competenti nelle ipotesi in cui: i) la propria segnalazione interna non abbia avuto seguito, sia che essa sia stata avanzata in ambito pubblico che privato; ii) l’ente non dispone di una procedura di segnalazione interna, anche se obbligatoria; iii) il whistlebloer ha fondati motivi perritenere che, se effettuasse una segnalazione interna, questa non avrebbe seguito oppure potrebbe determinareun rischio di ritorsione; iv) la persona segnalante ritenga seriamente che si versi in circostanze tali da mettere in pericolo un interesse pubblico oppure che possano determinare un danno irreversibile.
Nel nostro ordinamento, l’Autorità deputata a ricevere tali segnalazioni è l’ANAC, la quale ha il potere di indagare sulla corretta gestione delle segnalazioni e applicare delle sanzioni amministrative pecuniarie fino a cinquanta mila euro nel caso in cui venga accertata l’inidoneità della procedura di whistleblowing o qualora la segnalazione sia stata ostacolata o sia stata violata la riservatezza dei whistleblowers.
Quando i canali interni o esterni non sono utilizzabili o efficaci, la normativa in commento riconosce in capo al segnalante anche il potere di divulgare pubblicamente le informazioni sulle violazioni tramite la stampa o mezzi di diffusione online.
Si precisa che il contenuto delle violazioni segnalate deve essere di pubblico interesse, non rientrando quindi nel perimetro della nuova normativa quelle che riguardano un “interesse di carattere personale” della whistleblower, anche se si riferiscono al suo rapporto individuale di lavoro oppure al suo rapporto con “le figure gerarchicamente superiori” (art. 1, comma 2, lett.a) del D.lgs. 24/2023).
In tema di data retention, il nuovo decreto stabilisce che le segnalazioni, interne ed esterne, e la relativa documentazione devono essere conservate per il tempo necessario al trattamento e “comunque non oltre cinque anni a decorrere dalla data della comunicazione dell'esito finale della procedura di segnalazione” (art. 14 del D.lgs. 24/2023).