Seleziona una pagina

La nuova disciplina del Whistleblowing in Italia

da | Dic 13, 2023 | Società e Impresa

La Direttiva UE n. 1937/2019 («Direttiva UE 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni della legge dell’Unione», detta anche Direttiva Whistleblowing o “WBD”) appronta un sistema di tutele e garanzie per coloro che segnalano violazioni della legge europea tramite gli strumenti interni a un’impresa (art. 7) o tramite il ricorso esterno all’Autorità competente (A.N.A.C., in Italia)(art. 10), anche tramite divulgazione pubblica (art. 15). La Direttiva si occupa anche della responsabilità delle organizzazioni per le eventuali ritorsioni perpetrate nei confronti del segnalatore.

La WBD richiede che le organizzazioni:

  • forniscano meccanismi interni ed esterni per le segnalazioni (c.d. Whistleblowing o anche semplicemente “WB”);
  • informino i dipendenti circa le possibilità e le modalità di segnalazione;
  • proteggano i segnalatori;
  • prevengano azioni ritorsive nei confronti dei segnalatori.

In Italia la disciplina unionale contenuta nella WBD è stata recepita attraverso il d.lgs. n. 24 del 10 marzo 2023 (c.d. Decreto WB o anche solo d.WB).

Prima dell’emanazione di detto decreto, il WB era disciplinato differentemente nel settore pubblico e in quello privato (art. 54-bis, d.lgs. n. 165/2001; art. 6, c. 2-bis, 2-ter, 2-quater, d.lgs. n. 231/2001). L’emanazione del decreto WB ha unificato la disciplina a partire dal 25 luglio 2023. Le aziende che impiegano tra 50 e 249 lavoratori subordinati beneficiano però di un ulteriore periodo per conformarsi, entro il 17 dicembre 2023.

L’ambito di applicazione del decreto sul Whistleblowing riguarda tutti gli enti pubblici e le società di diritto privato (i) che presentino un numero di dipendenti pari o superiore a 50 (calcolato sulla media dei dipendenti a tempo determinato o indeterminato impiegati dall’azienda nell’anno precedente); (ii) che, a prescindere dal numero di dipendenti, operino in settori del commercio particolarmente delicati (servizi finanziari, prevenzione del riciclaggio e del finanziamento al terrorismo); (iii) che abbiano adottato un Modello di Organizzazione e Gestione ex d.lgs. n. 231/2001.

I. Ambito di applicazione soggettiva

Il decreto WB garantisce tutela e protezione

  • ai lavoratori dipendenti;
  • ai lavoratori autonomi;
  • ai consulenti;
  • ai tirocinanti e volontari;
  • agli azionisti;
  • ai soggetti che esercitano funzioni amministrative, di gestione, controllo, supervisione o rappresentanza.

La tutela è assicurata anche a coloro che indirettamente potrebbero subire ritorsioni a motivo del coinvolgimento nel processo di segnalazione o del rapporto intrattenuto con il segnalatore (affettivo, di parentela, etc.). Tra questi, vi sono (art. 3, c. 5, WBD):

  • il c.d. facilitatore (soggetto che assiste il segnalatore nel procedimento di segnalazione, operante nel medesimo contesto lavorativo e il cui apporto deve rimanere confidenziale);
  • soggetti appartenenti al contesto lavorativo del segnalatore con i quali quest’ultimo abbia una relazione stabile o rapporti di parentela sino al quarto grado;
  • colleghi del segnalatore;
  • enti posseduti dal segnalatore (totalitariamente o in maggioranza);
  • enti presso i quali il segnalatore presta attività lavorativa;
  • enti del medesimo contesto lavorativo.

II. Ambito di applicazione oggettivo

Sono tutelate dalla disciplina del Whistleblowing tutte le informazioni (compresi i sospetti) riguardanti violazioni della normativa nazionale ed europea che possano incidere sull’interesse pubblico, sull’integrità della Pubblica Amministrazione o di società private. Le violazioni sono tipizzate dal decreto e riguardano:

  • illeciti civili;
  • illeciti amministrativi;
  • condotte rilevanti ai sensi del d.lgs. n. 231/2001;
  • illeciti penali;
  • illeciti contabili;
  • irregolarità in genere che concretamente risultino sintomatiche delle predette violazioni;
  • violazioni della normativa europea (Allegato 1 al decreto).

Non sono ricomprese sotto lo scudo della tutela del decreto le informazioni sulle violazioni chiaramente infondate, informazioni già di pubblico dominio, informazioni acquisite solo sulla base di mere voci di corridoio.

Le informazioni sulle violazioni devono essere apprese nell’ambito del contesto lavorativo e non rileva, ai fini della protezione dagli atti ritorsivi, il motivo che ha indotto il segnalatore a effettuare la segnalazione.

Le segnalazioni da cui non sia possibile ricavare con esattezza l’identità del segnalatore sono trattate alla stregua di segnalazioni anonime, le quali a loro volta sono trattate allo stesso modo delle segnalazioni ordinarie.

Qualora il segnalatore sia identificato successivamente, allo stesso si applicheranno le misure di protezione dalle ritorsioni.

***

III. Canali di segnalazione: il canale interno di report

Le società, previa consultazione con le organizzazioni sindacali e tramite un apposito atto formale[1], devono istituire un canale interno all’organizzazione per la trasmissione delle segnalazioni.

Nel caso in cui la società di riferimento abbia adottato un Modello Organizzativo ex d.lgs. n. 231/2001, il canale interno per le segnalazioni WB deve essere inserito nel relativo Sistema di Organizzazione e Gestione o all’interno dell’atto organizzativo cui il MOG rinvia.

I canali di segnalazione interni debbono garantire – anche tramite l’utilizzo di strumenti IT di codifica – la riservatezza dei dati e delle informazioni inerenti a:

  • segnalante;
  • facilitatore;
  • persone coinvolte o menzionate nella segnalazione;
  • contenuto e documentazione pertinenti alla segnalazione.

Al fine di agevolare il segnalante, deve essere garantita la scelta tra differenti metodi per il report: (i) forma scritta (anche per il tramite di piattaforme online[2]); (ii) forma orale, tramite linea telefonica dedicata o sistema di messaggistica vocale o ancora tramite incontro in presenza (ove richiesto).

La Gestione della procedura di segnalazione è affidata a

  • un soggetto interno all’organico o all’amministrazione societaria;
  • un Ufficio con personale dedicato (anche non in via esclusiva) alla gestione delle segnalazioni;
  • un soggetto esterno all’organizzazione. Se il soggetto esterno è un avvocato, le comunicazioni saranno protette anche dal segreto professionale.

Il soggetto incaricato della Gestione deve essere in ogni caso dotato di autonomia (nella duplice declinazione di imparzialità e indipendenza) e specificamente formato sulla disciplina del WB.

L’incaricato della Gestione:

  1. notizia il segnalatore con un avviso da recapitarsi entro 7 giorni dalla ricezione della segnalazione;
  2. mantiene le comunicazioni con il segnalante;
  3. assicura il corretto follow-up della segnalazione recepita;
  4. entro tre mesi dalla ricezione della segnalazione, fornisce un riscontro al segnalante.

Avviate le indagini, se sussistono elementi di manifesta infondatezza della segnalazione, questa verrà archiviata con adeguata motivazione. All’opposto, qualora si riscontri il fumus circa la fondatezza della segnalazione, è raccomandabile la comunicazione immediata con gli organi interni dell’organizzazione o con l’Autorità esterna (ad es. Autorità Giudiziaria), affinché la segnalazione sia gestita in maniera opportuna anche ai diversi e superiori livelli competenti.

In ogni caso, non rientra tra le funzioni del soggetto incaricato della Gestione della segnalazione l’accertamento delle responsabilità individuali dei soggetti coinvolti nel report – qualunque sia la natura di detta responsabilità – né verificare il merito e la legittimità degli atti e delle misure adottate dall’organizzazione o dall’amministrazione societaria.

***

IV. Canali di segnalazione: il canale esterno di report (A.N.A.C.)

L’accesso al canale esterno di segnalazione gestito dall’Autorità Nazionale Anticorruzione, in Italia, è consentito in specifiche ipotesi:

  • qualora il canale di segnalazione interno – nonostante l’obbligatorietà dell’istituzione – non sia stato attivato o non sia compliant con la disciplina del Decreto WB;
  • qualora il segnalatore abbia già effettuato una segnalazione tramite il canale interno, ma senza che alla stessa sia stato dato seguito;
  • qualora il segnalatore abbia ragione di ritenere, sul presupposto di fondati sospetti, che se procedesse a inoltrare una segnalazione tramite il canale interno, la stessa non riceverebbe alcun seguito o egli potrebbe essere esposto ad atti di ritorsione;
  • qualora il segnalatore abbia fondate ragioni di ritenere – sulla base di quanto al punto 3 – che le violazioni oggetto di segnalazione potrebbero costituire un imminente o palese pericolo per l’interesse pubblico.

***

V. Misure di protezione e supporto del segnalante

Il Decreto WB offre un sistema protettivo che include:

  1. la protezione della riservatezza;
  2. la protezione da possibili atti ritorsivi;
  3. limitazioni della responsabilità.

Il Decreto vieta la rinuncia ai diritti e alle misure da esso assicurati. A ogni modo, il segnalatore e gli altri soggetti destinatari della protezione possono abdicare alla posizione protetta nelle forme e nei modi previsti dall’art. 2113, c.c., tramite accordo ratificato dall’Autorità Giudiziaria o siglato seguendo un’apposita procedura formalizzata.

**

1. La protezione della riservatezza:

a) Del segnalatore

Qualsiasi tipo di diffusione dei dati identificativi del segnalatore (all’esterno o all’interno, a persone diverse da quelle autorizzate alla Gestione della segnalazione) può avvenire esclusivamente con il consenso espresso del segnalatore.

Il divieto riguarda non solo l’identità del segnalatore ma anche tutti i dati, le informazioni e gli elementi della segnalazione (ivi compresa la documentazione allegata), tramite i quali si possa pervenire direttamente o indirettamente all’identità del segnalatore.

Sarebbe opportuno che l’organizzazione registrasse e catalogasse le segnalazioni pubbliche anonime, laddove possibile (quando avvengano, ad esempio, tramite organi della stampa o su piattaforme web). Questo consentirebbe in futuro un riesame della procedura nel caso in cui il segnalatore dovesse successivamente rivelare la propria identità e fosse, quindi, destinatario delle misure protettive.

b)Degli altri soggetti coinvolti nella segnalazione

Il Decreto WB garantisce esplicitamente la protezione della riservatezza per il soggetto (o i soggetti) cui la segnalazione (interna o pubblica) si riferisce (c.d. “persona coinvolta”).

L’Art. 12, c. 9, d. WB prevede che la persona coinvolta, su richiesta, possa essere sentita, anche per il tramite di acquisizione di documenti o osservazioni scritte, affinché sia tutelato il suo diritto di difesa.

La protezione è garantita dal Decreto anche al facilitatore e a tutti gli altri soggetti coinvolti in quanto menzionati nella segnalazione interna o pubblica.

In detto contesto, l’organizzazione deve attivare canali di segnalazione che garantiscano la riservatezza di tutti i soggetti di cui sopra, anche attraverso strumenti di crittografia.

c) Il trattamento dei dati personali

L’acquisizione e gestione delle segnalazioni, dei reclami e delle pubbliche denunce – incluse le comunicazioni con le Autorità competenti – deve avvenire in osservanza dei principi e delle norme interne e unionali sulla protezione dei dati personali.

L’Autorità competente (ossia il Garante per la protezione dei dati personali) può irrogare sanzioni e disporre misure correttive, ferma la responsabilità civile, penale o amministrativa derivante da ogni singola violazione.

2. La protezione da possibili azioni ritorsive

Per ritorsione si intende «qualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione, della denuncia all’autorità giudiziaria o contabile o della divulgazione pubblica e che provoca o può provocare alla persona segnalante o alla persona che ha sporto la denuncia, in via diretta o indiretta, un danno ingiusto» (art. 2, c. 1, lettera m), d.WB).

Sono condizioni necessarie per l’applicazione della protezione conseguente ala ritorsione:

  • che il segnalatore abbia proceduto a effettuare la segnalazione o la denuncia pubblica sulla base del ragionevole convincimento che le informazioni siano veritiere e rientranti nel campo di applicazione del Decreto WB (non rilevano le segnalazioni aventi a oggetto meri sospetti, voci di corridoio o notizie già di pubblico dominio);
  • che la segnalazione o la pubblica denuncia siano state effettuate in ossequio alla disciplina del Decreto;
  • che sussista il nesso causale tra la segnalazione o la denuncia pubblica e le misure ritorsive direttamente o indirettamente subite;

La protezione non si applica in caso di

  • responsabilità penale (accertata almeno con sentenza di primo grado) per calunnia o diffamazione inerente ai medesimi fatti oggetto della segnalazione, o
  • responsabilità civile (accertata almeno con sentenza di primo grado) per aver segnalato fatti non veritieri.

Per le organizzazioni che ne siano dotate, è necessario che le medesime inseriscano queste ipotesi di responsabilità sanzionabile all’interno del Codice etico facente parte del MOG ex d.lgs. n. 231/2001.

Gli asseriti atti ritorsivi – anche solo tentati o minacciati – devono essere comunicati esclusivamente all’Autorità Nazionale Anticorruzione per il vaglio circa il nesso causale. Qualora quest’ultimo sussista, l’Autorità dichiara la nullità dell’atto ritorsivo e irroga una sanzione amministrativa compresa tra i 10.000,00 e i 50.000,00 euro nei confronti del soggetto che ha posto in essere il comportamento di ritorsione. In caso di licenziamento ritorsivo, l’Autorità ne dichiara la nullità e dispone il reinserimento sul posto di lavoro.

3.Limitazione di responsabilità

In caso di rivelazione di talune categorie di informazioni, la limitazione di responsabilità opera alla presenza di due condizioni cumulative, ina assenza delle quali si configura la responsabilità penale, civile o amministrativa.

Condizioni cumulative per l’esclusione della responsabilità:

  • fondati motivi di ritenere – al momento della rivelazione delle informazioni – che la rivelazione medesima sia necessaria per far emergere la violazione;
  • che la segnalazione o la pubblica denuncia rispettino le condizioni stabilite dal Decreto WB affinché sia applicata la protezione dalla ritorsione.

***

VI. Sanzioni

A norma di quanto previsto dall’art. 21, d.WB, l’A.N.A.C. irroga – sia per il settore pubblico che per quello privato – le seguenti sanzioni amministrative pecuniarie nei confronti del responsabile:

  • da 10.000,00 a 50.000,00 euro quando è accertato che la persona identificata ha posto in essere atti ritorsivi;
  • da 10.000,00 a 50.000,00 euro quando è accertato che la persona identificata ha ostacolato o tentato di ostacolare la segnalazione;
  • da 10.000,00 a 50.000,00 euro quando è accertato che la persona identificata ha violato gli obblighi di riservatezza in riferimento all’art. 12, d.WB (ferme le sanzioni applicabili dal Garante Privacy per quanto di competenza);
  • da 10.000,00 a 50.000,00 euro quando è accertato che non sono stati attivati i canali di segnalazione;
  • da 10.000,00 a 50.000,00 euro quando è accertato che non sono state adottate procedure per la gestione delle segnalazioni o che le procedure adottate non sono compliant rispetto alle disposizioni del Decreto WB;
  • da 10.000,00 a 50.000,00 euro quando è accertato che il follow-up della segnalazione effettuata non è stato effettuato;
  • da 500,00 a 2.500,00 euro quando è accertata – anche solo mediante sentenza di primo grado – la responsabilità civile del segnalante per diffamazione o calunnia, ovvero per fattispecie di falsità o colpa grave (a meno che il segnalante sia stato condannato, anche solo con sentenza di primo grado, per reati di diffamazione o calunnia per i medesimi reati commessi con la denuncia all’Autorità).

Per saperne di più, non esitare a contattarci al seguente indirizzo email: [email protected].

Domenico Trapani

Marco Amorese

 ___________________________________________________________________________________________________________________________________

 

[1] L’atto introduttivo dovrebbe definire almeno il ruolo e i compiti dei soggetti coinvolti nella gestione delle segnalazioni, nonché le metodologie e le condizioni di trattamento dei dati.

[2] Le e-mail e i messaggi di Posta Elettronica Certificata sono considerati inadeguati a garantire la riservatezza.