Whistleblowing

BREVI CENNI SULLA NORMATIVA 

Il Decreto Legislativo 10 marzo 2023, n. 24 ha riformato la normativa in tema di protezione dei soggetti che segnalano violazioni (whistleblower) rendendo tra l’altro obbligatoria l’istituzione di canali di segnalazione interna – sia scritta che orale – che consentano di garantire la riservatezza dei soggetti coinvolti nelle segnalazioni, anche attraverso tecniche di cifratura delle comunicazioni, per tutte le aziende che occupino più di 50 dipendenti o che abbiano adottato un modello organizzativo di gestione ai sensi del Decreto Legislativo 231/01.

È importante sottolineare che quella in oggetto è, prima di tutto, una normativa di DATA PROTECTION, poiché la gestione delle segnalazioni comporta il trattamento di dati personali che, anche senza appartenere alla categoria dei dati sensibili (oggi «dati particolari» ai sensi dell’art. 9 del Regolamento UE 679/2016), possono essere estremamente delicati ai fini della tutela dei diritti, delle libertà e degli interessi dei soggetti coinvolti e la loro compromissione potrebbe determinare gravi danni di tipo materiale o immateriali in capo agli stessi.

ROADMAP SINTETICA DELLE ATTIVITÀ DI ADEGUAMENTO

Identificazione dei canali di segnalazione e degli eventuali fornitori esterni

  • In questa fase sarà necessario individuare le modalità di gestione della segnalazione più adatte alle specifiche esigenze della Società, avendo cura che sia garantita la possibilità, per il segnalante, di adoperare sia la forma scritta che quella orale.
  • In ogni caso, gli strumenti dovranno utilizzare tecniche di cifratura a protezione dei dati personali di tutti i soggetti coinvolti e di tutte le comunicazioni scambiate all’interno del canale.
  • Sebbene la Società possa – laddove ne abbia le capacità – provvedere autonomamente alla predisposizione dei propri canali (una mail, una pec o una semplice numerazione telefonica dedicata non soddisferebbero i requisiti richiesti), appare conveniente selezionare sul mercato uno dei tanti servizi offerti da operatori italiani e stranieri, avendo cura di verificare che gli strumenti da essi messi a disposizione rispettino in pieno la normativa in tema di segnalazioni e soprattutto in tema di trattamento dati personali.
  • Inoltre, posto che il fornitore prescelto opererà in veste di responsabile del trattamento ai sensi dell’art. 28 del Regolamento UE 2016/679 (GDPR), la Società, Titolare del trattamento, dovrà assicurarsi che la propria controparte contrattuale garantisca elevati standard di sicurezza nel trattamento delle informazioni gestite e sottoscrivere con essa appositi accordi aventi ad oggetto il trattamento stesso.

Predisposizione – impostazione dei sistemi di segnalazione prescelti

  • Sia che decida di sviluppare in proprio i canali di segnalazione interna, sia che intenda acquistare i relativi servizi all’esterno, la Società dovrà provvedere alla loro impostazione.
  • In questa fase dovranno trovare applicazione i principi in tema di privacy che (privacy by design, privacy by default, minimizzazione, limitazione delle finalità) impongono di assicurare il rispetto della normativa e di ridurre al minimo i trattamenti di dati personali eseguiti rispetto al fine perseguito, prima dell’inizio dei trattamenti stessi.
  • Inoltre, in questa fase dovrà essere eseguita una accurata analisi dei rischi e – come previsto dal Decreto Legislativo 24/2023 – una valutazione di impatto privacy ai sensi dell’art. 35 del GDPR.

Governance

  • In questa fase dovrà essere individuato e nominato il Gestore del canale di segnalazione interno.
  • Si potrà trattare di un soggetto interno o esterno all’organizzazione aziendale, dovendo comunque essere garantito che tale soggetto (che potrebbe anche essere collegiale) sia dotato di adeguata autonomia e libertà di azione, di profonda conoscenza dei principi in materia di trattamento dei dati personali, e che sia istruito (o formato, se si tratta di soggetto interno) in merito alle modalità di gestione delle segnalazioni ricevute.
  • Al gestore del canale potrà essere affiancato un team di gestione delle segnalazioni, anch’esso adeguatamente istruito.
  • Rientra in questa fase anche l’individuazione di ogni altro soggetto autorizzato a trattare i dati personali contenuti nelle segnalazioni.

Politiche e loro diffusione

  • La società dovrà redigere una policy dedicata e l’eventuale documentazione di supporto al fine di regolamentare la procedura di segnalazione e quella delle conseguenti indagini.
  • Tra i contenuti della policy non potrà mancare una chiara illustrazione delle modalità di accesso ai canali di segnalazione, delle tutele in favore dei soggetti a vario titolo coinvolti nelle segnalazioni, delle modalità di indagine e dei momenti di interazione con il segnalante, dei diritti di seguito spettanti a quest’ultimo (essere informato sullo stato e sull’esito delle indagini), delle regole minime di sicurezza da seguire per fare in modo che la segnalazione rimanga riservata, dei casi e delle condizioni in cui sarà possibile che l’identità del segnalante sia rivelata, etc.
  • Indispensabile è anche che la policy chiarisca quali sono le condotte che possono essere oggetto di segnalazione e quali i requisiti che essa deve avere affinché sorgano i diritti e i doveri di protezione, rispettivamente in capo al segnalante e all’organizzazione aziendale.

Adeguamento ed integrazione con modello 231/01 e con gli altri sistemi presenti in azienda

  • È espressamente previsto dalla normativa che le società dotate di un modello organizzativo 231/01 provvedano al recepimento della stessa attraverso l’adeguamento e l’integrazione del modello stesso, attraverso anche i passaggi formali per ciò previsti.
  • Potrebbe essere necessario adeguare e integrare eventuali preesistenti parti dei Modelli dedicati alle segnalazioni delle violazioni, i flussi informativi, il sistema sanzionatorio interno, il regolamento interno ODV.
  • Le procedure whistleblowing potranno/dovranno essere integrate anche con gli altri sistemi organizzativi (anticorruzione, responsabilità sociale, parità di genere, etc – o nel sistema integrato, laddove esistente) che prevedono canali di segnalazione di condotte in violazione delle regole.

whistleblowing-6

Formazione e sensibilizzazione

  • In questa fase dovrà essere condotta un’attività di formazione seguendo diverse direttrici.
  • Dovrà, innanzitutto, essere istruito il personale incaricato al trattamento dei dati personali relativi alle segnalazioni di whistleblowing; la loro formazione dovrà essere approfondita, sia sulla policy che sul funzionamento del canale interno di segnalazione, nonché sulle regole di protezione dei dati personali applicabili. Tale formazione dovrà essere verificata e ripetuta nel tempo.
  • Dovrà essere portato a conoscenza di tutto il personale quale sia la procedura da seguire nel caso in cui una segnalazione fosse per errore o altro ricevuta da soggetto diverso da uno degli incaricati e/o al di fuori dei canali interni predisposti.
  • Dovrà essere condotta una campagna di sensibilizzazione di tutto il personale, nonché degli stakeholder esterni, attraverso diversi strumenti (ad esempio attraverso il sito internet), sul valore e la rilevanza delle segnalazioni di condotte illecite. Dovrà, inoltre, essere reso chiaro quali siano le condotte da segnalare attraverso i canali del whistleblowing e quelle che, invece, potranno continuare ad essere gestite in modo informale.

CONDUZIONE DELL’ATTIVITÀ DI CONSULENZA E ASSISTENZA

Come intuibile dalla precedente  esposizione delle macro  fasi di adeguamento fin qui descritte, al fine di realizzare un sistema di gestione delle segnalazioni che sia a norma non solo con il Decreto da ultimo istituito, ma anche e soprattutto con la normativa privacy e con il decreto 231/01 e che sia anche integrabile all’interno degli ulteriori sistemi organizzativi adottati dalla Società su base volontaria, è necessaria una competenza specialistica e trasversale in diversi ambiti del diritto (penale, del lavoro, amministrativo) e delle scienze aziendali.

Con Kuhn s.r.l., come partner in tale percorso ,  che da sempre fa della sinergia tra le svariate e multidisciplinari  professionalità dei suoi consulenti, il punto qualificante della propria offerta, potrà garantire  il risultato auspicato anche alla luce delle integrazioni e dialoghi fra i vari schemi  di compliance e sistemi.

Questo sito non utilizza alcuna tecnica di profilazione degli utenti, né cookies pubblicitari, ma solo cookies tecnici necessari al corretto funzionamento del sito e strumenti statistici che trattano i dati in forma aggregata ed anonima, per cui non è necessario prestare il consenso. Per maggiori informazioni puoi consultare la nostra Cookie Policy