Nei giorni scorsi è stato pubblicato in Gazzetta Ufficiale il D.Lgs. 10 marzo 2023 n. 24 che ha recepito la Direttiva 2019/1937 sul WHISTLEBLOWING e che ha raccolto in un unico testo normativo la specifica disciplina che prima era ripartita tra l’art. 54 bis del D.Lgs. 165/2001, per il settore pubblico, ed i commi 2 bis, 2 ter e 2 quater dell’art. 6 del D.Lgs. 231/2001, per il settore privato.
Vediamo, in particolare, cosa cambia per gli Enti che adottano un modello di organizzazione e gestione ai sensi del D.Lgs. 231/2001, dal 25 luglio 2023, data di entrata in vigore del nuovo provvedimento normativo.
Indice
1. L’ambito di applicazione oggettivo e soggettivo
Il D.Lgs. 10 marzo 2023 n. 24 attua la Direttiva (UE) 2019/1937 e raccoglie in un unico testo normativo la disciplina relativa alla protezione dei c.d. segnalanti, i.e. delle persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato.
Si tratta di una disciplina molto complessa, che va applicata in via residuale, rispetto a specifiche normative di settore elencate nella parte II dell’allegato allo stesso D.Lgs.24/2023.
In generale, la nuova normativa prevede 3 canali di segnalazione (interno, esterno e di divulgazione pubblica o di denuncia all’A.G.) da utilizzare in via progressiva e sussidiaria, sia nel settore pubblico che in quello privato.
In questo articolo, poniamo il focus sulla predisposizione e gestione del canale di segnalazione interna da parte degli Enti che adottano un “Modello Organizzativo 231”. A tale scopo, vengono di seguito riportate 2 tabelle sinottiche, per dare evidenza di come sia stato modificato l’ambito di applicazione oggettivo e soggettivo della normativa di settore.
OGGETTO NECESSARIO DEL MOG | CHI | PERCHE’ | COSA | QUANDO |
Uno o più canali che consentano di segnalare condotte illecite. | Soggetti apicali e soggetti sottoposti all’altrui direzione. | Per tutelare l’integrità dell’Ente. | Segnalazioni circostanziate di condotte illecite, e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell’Ente. | Siano venuti a conoscenza delle condotte illecite in ragione delle funzioni svolte. |
OGGETTO NECESSARIO DEL MOG | CHI | PERCHE’ | COSA | QUANDO |
Il canale di segnalazione interna da gestire secondo la specifica procedura fissata dall’art.5 del D.Lgs. 24/2023 | – I lavoratori subordinati; – i lavoratori autonomi; – i titolari di un rapporto di collaborazione che svolgono la propria attività lavorativa presso l’Ente; – i lavoratori o i collaboratori, che svolgono la propria attività lavorativa presso soggetti che forniscono beni o servizi o che realizzano opere in favore di terzi; – i liberi professionisti e i consulenti che prestano la propria attività presso l’Ente; – i volontari e i tirocinanti, retribuiti e non retribuiti, che prestano la propria attività presso l’Ente; gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza, anche qualora tali funzioni siano esercitate in via di mero fatto, presso l’Ente. | Per tutelare l’integrità dell’Ente. | Segnalazioni di condotte illecite rilevanti ai sensi del D.Lgs. 231/2001, o violazioni dei modelli organizzativi, compresi i fondati sospetti, riguardanti violazioni commesse o che, sulla base di elementi concreti, potrebbero essere commesse nell’Ente, nonché gli elementi riguardanti condotte volte ad occultare tali violazioni. Se nell’ultimo anno, l’Ente ha impiegato la media di almeno cinquanta lavoratori subordinati, dovrà essere prevista anche la possibilità di segnalare violazioni delle disposizioni dell’Unione europea. | Siano venuti a conoscenza delle condotte illecite nel contesto lavorativo dell’Ente |
2. La procedura per gestire il canale di segnalazione interna
L’Ente che ha adottato il “MOG 231” può scegliere di affidare la gestione del canale di segnalazione interna:
a. a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione (e.g. all’OdV),
b. ovvero a un soggetto esterno, anch’esso autonomo e con personale specificamente formato.
Le segnalazioni possono essere effettuate in forma scritta, anche con modalità informatiche, oppure in forma orale. Le segnalazioni interne in forma orale sono effettuate attraverso linee telefoniche o sistemi di messaggistica vocale ovvero, su richiesta della persona segnalante, mediante un incontro diretto fissato entro un termine ragionevole.
la segnalazione in forma orale, previo consenso della persona segnalante, è documentata a cura del personale addetto mediante registrazione su un dispositivo idoneo alla conservazione e all’ascolto oppure mediante trascrizione integrale. In caso di trascrizione, la persona segnalante può verificare, rettificare o confermare il contenuto della trascrizione mediante la propria sottoscrizione.
La persona o l’ufficio interno ovvero il soggetto esterno, a cui è affidata la gestione del canale di segnalazione interna devono svolgere le seguenti attività:
- rilasciare alla persona segnalante un avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione;
- mantenere le interlocuzioni con la persona segnalante richiedendo a quest’ultima, se necessario, integrazioni;
- dare diligente seguito alle segnalazioni ricevute;
- fornire riscontro alla segnalazione entro tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;
- mettere a disposizione, sui siti web e nei luoghi di lavoro, informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni esterne.
Potrebbero interessarti anche
3. Gli adempimenti privacy
Ogni trattamento dei dati personali relativo al ricevimento e alla gestione delle segnalazioni deve essere disegnato ed eseguito dall’Ente che ha adottato il “MOG 231” applicando il GDPR o il D.Lgs.51/2018 in qualità di “titolare del trattamento”.
Come tale, l’Ente dovrà sempre eseguire una valutazione di impatto sulla protezione dei dati (c.d. DPIA) e, contestualmente:
a. istruire ed autorizzare espressamente allo specifico trattamento – ai sensi degli articoli 29 e 32, paragrafo 4 del GDPR e dell’articolo 2 quaterdecies del codice privacy – i dipendenti competenti a ricevere o a dare seguito alle segnalazioni;
b. disciplinare il rapporto con eventuali fornitori esterni che trattano dati personali per loro conto designandoli “responsabili del trattamento” ai sensi dell’articolo 28 GDPR o dell’articolo 18 del D.Lgs.51/2018.
In tale quadro i singoli membri dell’OdV risulteranno sempre e comunque soggetti “autorizzati al trattamento”, esecutori delle istruzioni dell’Ente “titolare del trattamento”, così espressamente qualificato dalla nuova normativa[1] la quale, in tal modo, chiarisce che l’OdV, eventualmente chiamato a ricevere e gestire segnalazioni di whistleblowers, non potrà mai assumere il ruolo di “titolare del trattamento” come aveva ipotizzato il Garante della Privacy nel noto parere del 12 maggio 2020.
Gli interessati potranno esercitare i diritti privacy solo attraverso la mediazione del Garante, nei limiti di quanto previsto dall’articolo 2 -undecies del Codice Privacy.
Le segnalazioni, e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione.
4. La protezione del “Whistleblower”
Le informazioni sulle violazioni fornite dal Whistleblower possono essere utilizzate dall’Ente che ha adottato il MOG 231 solo per dare seguito alle segnalazioni stesse e non possono essere in alcun altro modo utilizzate o divulgate.
Sussiste l’obbligo di riservatezza in ordine all’identità del segnalante, che non può essere rivelata o divulgata, senza il suo consenso espresso, a persone diverse rispetto a quelle competenti a ricevere o a dare seguito alla segnalazione.
La normativa prevede anche un generale divieto di ritorsione nei confronti del whistleblower, riportando una tassonomia (esemplificativa ma non esaustiva) delle stesse fattispecie ritorsive comprensive anche dei danni reputazionali e prevedendo anche l’inversione dell’onere probatorio in ordine alla natura ritorsiva della condotta e al danno subito[2].
5. Sanzioni
L’ANAC, Autorità competente a ricevere e gestire le segnalazioni esterne sia per il settore pubblico che per quello privato, è chiamata anche ad applicare al responsabile le seguenti sanzioni amministrative pecuniarie:
a. da 10.000 a 50.000 euro quando accerta che:
- sono state commesse ritorsioni;
- oppure che la segnalazione è stata ostacolata o che si è tentato di ostacolarla;
- o, ancora, che è stato violato l’obbligo di riservatezza circa l’identità del segnalante;
b. da 10.000 a 50.000 euro quando accerta che:
- non sono stati istituiti canali di segnalazione;
- non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni;
- l’adozione di tali procedure non è conforme a quelle fissate dal D.Lgs. 23/2024;
- non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute.
Scrivi un commento
Accedi per poter inserire un commento