
È stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo n. 24, del 10 marzo 2023 che recepisce la Direttiva UE 2019/1937 del Parlamento Europeo e del Consiglio riguardante la protezione delle persone (c.d. whistleblower) che segnalano violazioni di disposizioni nazionali o europee che ledono l’interesse pubblico o l’integrità dell’amministrazione, sia essa pubblica o privata, di cui siano venute a conoscenza nel contesto lavorativo.
Il whistleblowing aveva già una sua disciplina a livello nazionale, sia nel pubblico con il D.Lgs. n. 165/2001, sia nel privato, con il D.lgs. 231/2001 in materia di prevenzione dei crimini d’impresa e con la L. 179/2017 in materia antiriciclaggio.
Tuttavia, il Decreto abroga e modifica la disciplina nazionale previgente, racchiudendo in un unico testo normativo il regime di protezione dei soggetti che segnalano condotte illecite, al fine di garantire il recepimento della direttiva senza arretrare nelle tutele già riconosciute nel nostro ordinamento.
Il quadro regolatorio di riferimento è stato infine completato con le Linee Guida ANAC, adottate con delibera del 12 luglio 2023, recanti procedure per la presentazione e gestione delle segnalazioni esterne, nonché indicazioni e principi di cui enti pubblici e privati possono tener conto per i canali interni.
Il nuovo testo del Decreto ha l’obiettivo di migliorare i principi di trasparenza e responsabilità, inoltre interviene estendendo la platea dei destinatari degli obblighi, dettagliando ulteriori condotte potenzialmente illecite, nonché disciplinando in modo più compiuto i canali di segnalazione e rafforzando la tutela dei segnalanti (e non solo).
Chi sono i destinatari della disciplina?
Come già accennato, sia i soggetti del settore pubblico che i soggetti privati devono implementare dei propri canali di segnalazione che garantiscano la riservatezza dell’identità del whistleblower e, di riflesso, del contenuto della segnalazione, tramite l’applicazione di tecnologie innovative come la crittografia.
Per quanto riguarda, in particolare, il settore privato (imprese, banche ecc). l’obbligo è previsto per:
- soggetti privati che hanno adottato il Modello organizzativo 231 a prescindere dalla loro dimensione per essi l’obbligo di predisposizione del canale di segnalazione interno sarà in vigore dal 17 dicembre 2023;
- tutti i soggetti privati con più di 250 dipendenti a prescindere dall’adozione o meno del Modello Organizzativo ex d.lgs. n. 231/2001, per questi ultimi l’obbligo è in vigore dal 15 luglio 2023;
- tutti i soggetti privati che abbiano impiegato nell’ultimo anno una media di lavoratori tra i 50 e i 249 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, a prescindere dall’adozione o meno del Modello Organizzativo ex d.lgs. n. 231/2001, per essi l’obbligo sarà in vigore dal 17 dicembre 2023.
Rispetto alla precedente normativa (L. 30 novembre 2017, n.179), viene ulteriormente ampliato il raggio dei soggetti tutelati; infatti, l’ambito di applicazione soggettivo delle disposizioni del d.lgs. n. 24/2023 comprende: dipendenti, collaboratori, lavoratori subordinati e autonomi, liberi professionisti ed anche gli appartenenti ad altre categorie come volontari, tirocinanti e azionisti.
Inoltre, le misure di protezione si applicano anche ai c.d. “facilitatori”, ossia colleghi, parenti o affetti stabili del segnalante.
La disciplina si applica anche a segnalazioni che riguardino violazioni realizzate nell’ambito di un rapporto di lavoro poi terminato nonché a coloro il cui rapporto non sia ancora iniziato, qualora le informazioni sulle violazioni siano state acquisite durante la selezione o in altre fasi precontrattuali.
Ambito oggettivo
Le segnalazioni possono avere a oggetto: condotte illecite rilevanti ai sensi del Decreto 231 e violazioni dei modelli 231; violazioni della normativa europea in materia di sicurezza dei trasporti, tutela dell’ambiente, radioprotezione e sicurezza nucleare, sicurezza degli alimenti e dei mangimi e salute e benessere degli animali, salute pubblica, protezione dei consumatori, tutela della vita privata e protezione dei dati personali, sicurezza delle reti e dei sistemi informativi e, in ultimo, violazioni della normativa in materia di concorrenza e aiuti di Stato.
Sono escluse, invece, le contestazioni legate a un interesse personale del segnalante o che attengono ai rapporti individuali di lavoro; violazioni in materia di difesa e sicurezza nazionale e violazioni già disciplinate in alcuni settori speciali (servizi finanziari, prevenzione riciclaggio, terrorismo, sicurezza nei trasporti, tutela dell’ambiente). Resta poi ferma la normativa in materia di informazioni classificate, segreto medico e forense e deliberazioni degli organi giurisdizionali.
Le segnalazioni possono essere effettuate mediante l’utilizzo:
- di canali di segnalazione interni all’ente;
- del canale esterno gestito dall’ANAC;
- della divulgazione pubblica tramite la stampa, o mezzi di diffusione in grado di raggiungere un numero elevato di persone;
- della denuncia all’Autorità giudiziaria.
Al fine di adeguarsi alla presente normativa, i soggetti del settore pubblico e del settore privatodevono attivare, pertanto, dei canali di segnalazione, che garantiscano, anche tramite il ricorso a strumenti di crittografia, la riservatezzadel segnalante e del segnalato (la persona fisica o giuridica menzionata nella segnalazione e alla quale è attribuita la violazione o indicata come implicata nella stessa), del contenuto della segnalazione e della relativa documentazione.
Devono, inoltre, individuare il gestore della segnalazione, il quale può essere una personao un ufficiointernoautonomodedicato e con personale formato, o un soggetto esterno.
Ancora, devono predisporre misure adeguate in relazione al trattamento privacy (by design e by default) e prevedere una data retention per la conservazione dei dati attinenti alla segnalazione.
Per quanto attiene alle modalità, lesegnalazioni interne possono essere effettuate in formascritta (analogica o informatica), oppure orale (attraverso linee telefoniche o sistemi di messaggistica vocale) oppure ancora attraverso un incontrodiretto,fissato entro un termine ragionevole dal gestore della segnalazione.
Le disposizioni previste dalle nuove norme dovranno essere applicate in maniera puntuale, onde evitare l’applicazione del corposo sistema sanzionatorio irrogato dall’ Anac (Autorità Nazionale Anticorruzione), che prevede sanzioni da 10mila euro a 50mila euro nel caso in cui non vengono istituiti canali di segnalazione, non sono adottate procedure per consentire le segnalazioni e la gestione delle stesse e in caso di atti ritorsivi nei confronti dei segnalati (e facilitatori) ; senza dimenticare altresì le multe applicabili dal Garante della privacy in caso di violazioni del GDPR.