Pubblicazioni

Whistleblowing: una guida completa per aziende e datori di lavoro

Categorie: DLP Insights, Pubblicazioni, News, Pubblicazioni | Tag: GDPR, Whistleblowing, protezione dei dati personali

11 Ott 2024

Whistleblowing” (dall’inglese “soffiare il fischietto”) è il termine utilizzato quando un soggetto riferisce di comportamenti scorretti di cui è venuto a conoscenza sul luogo di lavoro. Il soggetto che compie un atto di whistleblowing viene definito whistleblower (dall’inglese “soffiatore di fischietto”).​

Il tema della tutela dei whistleblowers ha avuto origine negli Stati Uniti d’America ed ha assunto piena visibilità a partire dal 2002, con l’approvazione della legge Sarbanes-Oxley. Tale disposizione ha introdotto l’obbligo per le società quotate di adottare meccanismi idonei a garantire protezione contro eventuali atti di ritorsione ai dipendenti che segnalano fatti illeciti sul luogo di lavoro.

Sul piano internazionale, l’art. 33 della «Convenzione delle Nazioni Unite contro la corruzione» del 31 ottobre 2003 dispone che “Ciascuno Stato Parte considera la possibilità di incorporare nel proprio sistema giuridico le misure appropriate per proteggere da qualsiasi trattamento ingiustificato ogni persona che segnali alle autorità competenti, in buona fede e sulla base di ragionevoli sospetti, qualsiasi fatto concernente i reati stabiliti dalla presente Convenzione”.

Dopo che il fenomeno si è consolidato negli Stati Uniti, lentamente ha iniziato ad espandersi anche in Europa ed in particolare in Gran Bretagna.

Nel nostro Paese, la normativa whistleblowing è per lungo tempo rimasta settoriale.

Il primo passo in direzione dell’adozione di una normativa che disciplinasse la materia si è realizzato con la c.d. Legge Severino (L. 190/2012) che nell’ambito degli strumenti contro la lotta alla corruzione nel settore pubblico ha introdotto l’art. 54 bis, D.lgs. 165/2001, T.U.P.I. (Testo Unico sul Pubblico Impiego).

Una prima disciplina organica in materia si è avuta con la Legge n. 179 del 30 novembre 2017 che ha introdotto per la prima volta una specifica tutela per il whistleblower anche nel settore privato, modificando l’art. 6 del D.lgs. 231/2001 sulla responsabilità amministrativa da reato delle società e degli enti, inserendo all’interno del menzionato articolo i commi 2-bis, 2-ter e 2-quater.

Dal 2017, e sino all’adozione delle nuove disposizioni a livello comunitario e nazionale, i destinatari della normativa in materia di whistleblowing sono stati:

  • le organizzazioni private (​società, gruppi di società, organizzazioni non governative – onlus, ​fondazioni, associazioni, etc.) CON MODELLO ORGANIZZATIVO 231 e
  • le pubbliche amministrazioni.​

La normativa italiana in materia di Whistleblowing

Dopo una lunga attesa e diversi rinvii, il 25 marzo 2023 è stato pubblicato nella Gazzetta Ufficiale n. 63 del 15 marzo 2023 il Decreto legislativo n. 24 del 10 marzo 2023 (il “Decreto”), con il quale il legislatore italiano ha recepito la Direttiva (UE) 2019/1937 “riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” (anche nota come “Direttiva Whistleblowing”. Di seguito, per brevità, “Direttiva”). 

La Direttiva è stata emanata al fine di armonizzare le singole legislazioni nazionali attraverso l’introduzione di norme minime comuni atte a proteggere e tutelare i soggetti che, all’interno di imprese del settore sia pubblico che privato, intendano segnalare illeciti di varia natura, di cui siano venuti a conoscenza nell’ambito della propria attività lavorativa.

Le nuove disposizioni si applicano ai soggetti del settore privato che nell’ultimo anno: 

  1. hanno impiegato la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;  
  2. hanno adottato dei Modelli di organizzazione e gestione previsti dal D.lgs. 231/2001 (“MOG”) – anche se hanno impiegato meno di 50 lavoratori – oppure  
  3. operano nei settori regolamentati a livello europeo (es. settore dei mercati finanziari o del credito).  

Ambito di applicazione oggettivo

Il Decreto disciplina la protezione delle persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza nell’ambito del loro contesto lavorativo ed in relazione ai settori indicati nel Decreto e nella Direttiva.

Non costituiscono invece oggetto della nuova normativa:

  • le contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale della persona segnalante o della persona che ha sporto una denuncia all’autorità giudiziaria o contabile che attengono esclusivamente ai propri rapporti individuali di lavoro o di impiego pubblico, ovvero inerenti ai propri rapporti di lavoro o di impiego pubblico con le figure gerarchicamente sovraordinate;
  • le segnalazioni di violazioni laddove già disciplinate in via obbligatoria dagli atti dell’Unione europea o nazionali;
  • le segnalazioni di violazioni in materia di sicurezza nazionale, nonché di appalti relativi ad aspetti di difesa o di sicurezza nazionale, a meno che tali aspetti rientrino nel diritto derivato pertinente dell’Unione europea.

Resta in ogni caso ferma l’applicazione delle disposizioni nazionali o dell’Unione europea in materia di:

  • informazioni classificate;
  • segreto professionale forense e medico;
  • segretezza delle deliberazioni degli organi giurisdizionali.

Ambito di applicazione soggettivo

Le aziende del settore privato destinatarie delle nuove disposizioni, oltre ai dipendenti in forza ed ai collaboratori, devono garantire l’applicazione di quanto previsto dal Decreto anche agli apprendisti, ai lavoratori autonomi, ai liberi professionisti e ai consulenti, ai volontari ed ai tirocinanti (anche non retribuiti), agli azionisti, a coloro che esercitano funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza (anche qualora tali funzioni siano esercitate in via di mero fatto) e a tutti i soggetti che lavorano sotto la supervisione e direzione di appaltatori, sub-appaltatori e fornitori. 

La tutela deve essere garantita anche quando il rapporto di lavoro non è stato, ancora, costituito – se le informazioni sono state acquisite durante il processo di selezione o comunque in fase precontrattuale – durante il periodo di prova o dopo lo scioglimento del rapporto, ove le informazioni sulle possibili violazioni siano state acquisite nel corso del rapporto. 

Infine, le misure di protezione per i segnalatori sono destinate anche ai c.d. “facilitatori” (ossia coloro che prestano assistenza al lavoratore nel processo di segnalazione), alle persone che operano nel medesimo contesto lavorativo delle persone segnalanti e che sono legati ad essi da uno stabile legame affettivo o di parentela entro il quarto grado, ai colleghi di lavoro del segnalante che lavorano nello stesso contesto lavorativo e che hanno un rapporto abituale e corrente ovvero agli enti di proprietà e agli enti che operano nel medesimo contesto di tali soggetti.

Il canale su segnalazione interna

Dopo aver sentito le organizzazioni sindacali, i soggetti del settore privato devono predisporre canali interni di segnalazione in grado di garantire il massimo livello di riservatezza:

(i) dell’identità della persona segnalante,

(ii) della persona coinvolta e menzionata nella segnalazione nonché

(iii) del contenuto della segnalazione e della relativa documentazione.

Le segnalazioni interne possono essere effettuate in forma scritta, in forma orale (attraverso linee telefoniche o messaggi vocali) ovvero, su richiesta, attraverso un incontro diretto.

I soggetti adibiti alla gestione del canale di segnalazione interna devono:

  1. inviare al segnalante un avviso di ricevimento della segnalazione entro 7 giorni dal ricevimento della stessa;
  2. svolgere un’indagine approfondita sulla segnalazione;
  3. dare un riscontro al segnalante entro 3 mesi dall’avviso di ricevimento.

Resta in ogni caso inteso che al segnalante devono essere messe a disposizione informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni, anche attraverso la creazione di una sezione dedicata sul proprio sito web.

Il canale di segnalazione esterna e le divulgazioni pubbliche

Il compito di predisporre e gestire il canale di segnalazione esterno è affidato all’Autorità Nazionale Anticorruzione (“ANAC”) che, con delibera n. 311 del 12 luglio 2023, ha anche adottato delle specifiche linee guida sul tema.

Il ricorso ad un canale di segnalazione esterna è previsto se (i) nel contesto lavorativo del segnalante non è previsto l’obbligo di attivazione di un canale interno, oppure vi è l’obbligo ma il canale non è attivo o, se attivo, non è conforme; (ii) il segnalante ha già presentato una segnalazione attraverso un canale interno ma la segnalazione non ha avuto seguito; (iii) il segnalante ha fondato motivo di ritenere che la segnalazione attraverso il canale interno non sarà efficace o potrà determinare il rischio di ritorsione ovvero (iv) in caso di pericolo imminente o palese per l’interesse pubblico.

In via residuale, si riconosce la possibilità di effettuare divulgazioni pubbliche tramite stampa o mezzi elettronici o mezzi di diffusione in grado di raggiungere un numero elevato di persone.

La tutela dei dati personali dei soggetti coinvolti nelle segnalazioni

Nell’ambito della gestione di una segnalazione, ciascun trattamento dei dati personali deve essere effettuato in conformità con la normativa data protection oggi prevista dal Regolamento (UE) 2016/679 (meglio noto secondo l’acronimo inglese “GDPR”) e dal D.lgs. 196/2003 così come modificato dal D.lgs. 101/2018 (il “Codice Privacy”).

I soggetti pubblici e privati che gestiscono i canali di segnalazione sono qualificati dalla normativa come “titolari del trattamento” e, tra le altre, devono:

  1. allineare, fin dalla progettazione, ogni operazione ai principi di protezione dei dati personali;
  2. eseguire una Valutazione di Impatto sulla Protezione dei Dati Personali (c.d. DPIA);
  3. istruire ed autorizzare al trattamento i dipendenti chiamati a gestire il canale di segnalazione;
  4. designare come “responsabili del trattamento” eventuali fornitori esterni che trattano dati personali per loro conto.

Le misure di protezione

La nuova normativa prevede una serie di misure di protezione a favore del whistleblower che comprendono l’obbligo di tutela della riservatezza del segnalante (riservatezza che deve però essere garantita anche alla persona coinvolta/segnalata), un divieto di ritorsione nonché (iii) misure di sostegno in favore del whistleblower.

Il Decreto, nel vietare espressamente qualsiasi forma di ritorsione nei confronti dei soggetti segnalanti, fornisce una elencazione esemplificativa ma non esaustiva di fattispecie ritorsive, tra cui:  

  • il licenziamento;
  • la sospensione, anche di natura disciplinare o misure analoghe;
  • le mancate promozioni o le retrocessioni di grado;
  • il mutamento delle mansioni;
  • il trasferimento;
  • la modifica dell’orario di lavoro;
  • l’ostracismo e le molestie;
  • la discriminazione ed il trattamento sfavorevole;
  • il mancato rinnovo o a risoluzione anticipata di un contratto a tempo determinato.

Spetta a chi ha attuato condotte o atti vietati dimostrare che gli stessi sono estranei alla segnalazione effettuata e che il danno subito è derivato dalla segnalazione, dalla divulgazione pubblica o dalla denuncia. Inversione dell’onere della prova che non si applica ai soggetti di cui all’articolo 3 comma 5 del Decreto (ossia “facilitatori”, persone che operano nel medesimo contesto lavorativo del segnalante e che sono legati ad essi da uno stabile legame affettivo o di parentela, colleghi di lavoro del segnalante che lavorano nello stesso contesto lavorativo e che hanno un rapporto abituale e corrente ovvero enti di proprietà ed enti che operano nel medesimo contesto di tali soggetti).  

Le sanzioni previste in caso di violazione delle norme in materia di Whistleblowing

In caso di violazione delle nuove norme previste in materia di whistleblowing, l’ANAC può comminare sanzioni amministrative da euro 10.000 a euro 50.000.

Sono infatti previste sanzioni se:  

  • sono state commesse ritorsioni, è stato accertato che la segnalazione è stata ostacolata (o si è tentato di ostacolarla) ovvero è stato violato l’obbligo di riservatezza; 
  • non sono stati istituiti canali di segnalazione interna e procedure per l’effettuazione e la gestione delle segnalazioni ovvero le procedure adottate non risultano conformi. 

Sono, altresì, previste sanzioni da euro 500 a euro 2.500 nel caso in cui venga accertata la responsabilità penale del segnalante per i reati di diffamazione o di calunnia. 

I soggetti che hanno adottato un MOG, invece, dovranno prevedere sanzioni nei confronti di coloro che sono ritenuti responsabili degli illeciti sanzionati nell’ambito del sistema disciplinare del Modello.

Giurisprudenza e approfondimenti

Whistleblowing, nelle pmi c’è bisogno di un esperto (ItaliaOggi 7, 19 febbraio 2024 – Vittorio De Luca)

“Whistleblowing”: tra novità normative e i nuovi obblighi per i datori di lavoro. Da dove iniziare?

Whistleblowing: obblighi in capo alle imprese

Whistleblowing: le aziende italiane ancora inadempienti a pochi giorni dalla scadenza del 17 dicembre (Norme & Tributi Plus Diritto – Il Sole 24 Ore, 13 dicembre 2023 – Vittorio De Luca)

Whistleblowing ad ampio raggio (Italia Oggi Sette Affari Legali – 5 aprile 2023, Vittorio De Luca)

SCARICA ORA

Inserisci il tuo indirizzo e-mail e ottieni questo contenuto in formato pdf.

Abbiamo inviato il PDF alla tua casella email

Vuoi approfondire altri argomenti?