Nella Gazzetta Ufficiale n. 63 del 15 marzo 2023, è stato pubblicato il Decreto Legislativo n. 24 del 10 marzo 2023 (il “Decreto”) di attuazione della Direttiva (UE) 2019/1937 “riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali” (c.d. Direttiva Whistleblowing).
Le disposizioni di cui al Decreto si applicano, tra le altre, ai soggetti del settore privato che nell’ultimo anno:
- hanno impiegato la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
- pur avendo impiegato meno di 50 lavoratori subordinati, adottano modelli di organizzazione e gestione previsti dal D.lgs. 231/2001 (“MOG”).
I soggetti del settore privato, sentite le rappresentanze o le organizzazioni sindacali, devono istituire ed attivare dei canali di segnalazione interna che garantiscano la riservatezza dell’identità (i) della persona segnalante, (ii) della persona coinvolta ovvero della persona comunque menzionata nella segnalazione nonché (iii) del contenuto della segnalazione e della relativa documentazione.
La gestione dei canali di segnalazione interna può essere affidata (i) internamente, ad una persona o ad un ufficio interno autonomo a ciò dedicato e costituito da personale specificatamente formato per la gestione del canale di segnalazione ovvero (ii) esternamente ad un soggetto terzo, anch’esso autonomo e con personale specificatamente formato. Sono, inoltre, previste specifiche modalità di gestione dei canali di segnalazione interna che dovranno essere puntualmente implementate ed applicate da parte dei datori di lavoro e le informazioni relative al canale, alle procedure e ai presupposti per effettuare le segnalazioni dovranno essere esposte e rese facilmente visibili a tutti i destinatari.
Ogni trattamento di dati personali deve essere effettuato in conformità con la normativa vigente in materia di protezione dei dati personali, oggi rappresentata dal Regolamento (UE) 2016/679 (il “GDPR”) e dal D.lgs. 196/2003 così come modificato dal D.lgs. 101/2018 (il “Codice Privacy”). I datori di lavoro destinatari della nuova normativa devono quindi adottare tutti gli adempimenti necessari richiesti dalla normativa in materia a protezione e tutela dei dati personali trattati.
Per la violazione delle disposizioni di cui al Decreto, è prevista la comminazione di sanzioni amministrative da euro 10.000 a euro 50.000:
- quando sono commesse ritorsioni nei confronti dei segnalanti, è accertato che la segnalazione è stata ostacolata, si è tentato di ostacolarla ovvero è stato violato l’obbligo di riservatezza;
- se non sono stati istituiti canali di segnalazione, non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero l’adozione delle procedure non è conforme alle disposizioni di cui al Decreto.
Sono inoltre previste sanzioni da euro 500 a euro 2.500 nelle ipotesi in cui sia accertata la responsabilità penale del segnalante per i reati di diffamazione o di calunnia.
Le disposizioni di cui al Decreto hanno effetto dal 15 luglio 2023 (17 dicembre 2023 per le aziende con oltre 249 dipendenti).
Altri insights correlati: