Finalmente anche la nostra nazione ha ufficialmente adottato la Direttiva Europea 2019/1937 concernente la “protezione dei segnalatori di irregolarità sulle leggi nazionali o dell’Unione Europea, che danneggiano l’interesse pubblico o l’integrità dell’amministrazione pubblica o di un’organizzazione privata”.
Come noto con il termine s’intende la rivelazione spontanea da parte di un individuo, detto “segnalante” (in inglese appunto il “whistleblower”) di un illecito o di un’irregolarità commessa all’interno dell’ente, del quale lo stesso sia stato testimone nell’esercizio delle proprie funzioni. Come noto con il termine di “whistleblowing” s’intende l’atto spontaneo di un individuo, noto come “segnalatore” (o “denunciante” in altre parole), che rivela un comportamento illegale o irregolare avvenuto all’interno di un’organizzazione, di cui egli stesso è stato testimone durante lo svolgimento delle sue funzioni.
Il segnalatore può spesso essere un dipendente, ma potrebbe anche essere una terza parte, come ad esempio un fornitore o un cliente.
La pratica del “denunciare” è certamente un problema di natura culturale, etica e politica, prima ancora che giuridico; per lungo tempo, infatti, è stata vista con sospetto, se non addirittura disapprovata, associando il segnalatore, che rende note informazioni riguardanti il suo ambiente di lavoro, a una figura che tradisce i fondamentali doveri di fedeltà, lealtà e riservatezza nei confronti dell’organizzazione a cui appartiene (“spia”, “traditore”).
Con il Decreto Legislativo del 10 marzo 2023 numero 24, l’Italia ha adottato una Direttiva dell’Unione Europea, la 2019/1937, per proteggere i “whistleblowers“, ovvero coloro che segnalano comportamenti o azioni che danneggiano l’interesse pubblico o l’integrità delle istituzioni pubbliche o aziende private.
La nuova normativa, stabilita dal Decreto Legislativo numero 24 /2023, mira a rafforzare la protezione dei “whistleblowers” che fanno segnalazioni. Questa normativa si applica sia alle aziende che non hanno un modello di gestione dei rischi conforme al Decreto Legislativo numero 231 del 2001, ma che soddisfano determinati criteri come avere almeno cinquanta dipendenti con contratti di lavoro a tempo indeterminato o determinato nell’ultimo anno, sia a quelle che operano in settori specifici come servizi, prodotti e mercati finanziari, prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente.
La normativa stabilisce anche misure di sicurezza per le comunicazioni interne per garantire la riservatezza del segnalante attraverso l’uso di sistemi di crittografia. Inoltre, vengono definite regole per la protezione dei dati personali delle segnalazioni, estendendo le tutele previste dal GDPR e dal Codice Privacy a tutto il processo di segnalazione.
I titolari del trattamento delle segnalazioni devono fornire informazioni chiare ai segnalanti e adottare misure di sicurezza specifiche per tutelare la riservatezza delle informazioni. In caso di segnalazione interna senza esito positivo, i segnalanti possono rivolgersi all’Autorità competente, l’ANAC, per un’eventuale indagine sulla corretta gestione della segnalazione. È previsto anche un piano sanzionatorio in caso di mancanza di adeguati canali di segnalazione o violazione della riservatezza dei segnalanti.
La normativa richiede ai destinatari di valutare l’impatto dei rischi legati ai fornitori coinvolti nel processo di segnalazione, tenendo conto delle garanzie offerte dai responsabili del trattamento dei dati. Inoltre, è importante aggiornare il registro delle attività di trattamento dei dati secondo quanto stabilito dal GDPR.
Le disposizioni di questa normativa saranno obbligatorie per tutti i destinatari a partire dal 15 luglio, mentre i soggetti del settore privato con meno di 249 dipendenti avranno un po’ più di tempo e dovranno adempiere agli obblighi entro il 17 dicembre 2023.