Il nuovo D.Lgs. 24/2023 Whistleblowing

| Legal

Compliance 231

La pubblicazione in Gazzetta Ufficiale (in data 15.03.2023) dell’attesissima normativa di recepimento della direttiva UE 2019/1937, volta a garantire uno standard minimo europeo di protezione dei c.d. “whistleblower”, offre nuovi spunti per l’aggiornamento dei Modelli Organizzativi ex D.Lgs. 231/2001, ma anche dei registri delle attività di trattamento di cui all’art. 30 Regolamento UE 2016/679 (GDPR).

Il D.Lgs. 24/2023 ha previsto una serie di novità, le quali, senza stravolgere la precedente disciplina, hanno contribuito ad ampliare il campo delle tutele dei whistleblower.

 

Applicazione della norma

Se, con la disciplina precedente, gli obblighi in materia di tutela della riservatezza del segnalante trovavano applicazione solamente nei confronti della Pubblica Amministrazione nonché, per il settore privato, con riguardo a società dotate di Modello di Gestione e Controllo ex D.Lgs. 231/2001, con la nuova normativa gli stessi obblighi hanno un’applicazione molto più estesa nel settore privato.

 

Tre criteri per classificare i destinatari della norma

  1. Numero di dipendenti

la nuova disciplina è obbligatoria per le società che nell’ultimo anno hanno impiegato in media almeno 50 lavoratori subordinati

  1. Attività svolta

indipendentemente dal numero di dipendenti impiegati, i nuovi obblighi rilevano comunque per gli enti che operano nei settori dei servizi, prodotti e mercati finanziari, prevenzione del riciclaggio e del finanziamento del terrorismo, tutela dell’ambiente e sicurezza dei trasporti

  1. Modello 231

a prescindere dal numero di dipendenti e dell’attività svolta, rimane l’obbligo di tutela dei whistleblower per le organizzazioni che hanno adottato un Modello 231

 

Illeciti

Le violazioni oggetto di segnalazione sono (art. 2, comma 1-a, D.Lgs. 24/2023):

  • gli illeciti amministrativi, contabili, civili o penali
  • le condotte illecite rilevanti ai sensi del D.Lgs 231/2001 o del Modello 231 adottato
  • gli illeciti, eventualmente rilevanti anche con riferimento alla normativa europea, in ambito (a titolo esemplificativo): appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti
  • gli atti od omissioni che ledono gli interessi finanziari dell’Unione Europea
  • le violazioni delle disposizioni in materia di tutela della concorrenza.

 

Soggetti tutelati

Segnalante

La nuova normativa tutela in qualità di “whistleblower” non solo i dipendenti di strutture pubbliche o private, ma anche i lavoratori autonomi, consulenti, azionisti, persone con funzioni di amministrazione, direzione, controllo, vigilanza e rappresentanza, volontari e tirocinanti. Tale protezione è garantita in ogni fase del rapporto lavorativo (processo di selezione o altre fasi precontrattuali, incluso l’eventuale periodo di prova) o di collaborazione (anche successivamente allo scioglimento del rapporto contrattuale).

Facilitatore

Il c.d. “facilitatore” è colui che opera all’interno del medesimo contesto lavorativo e assiste il segnalante nel processo di segnalazione (art. 2 comma 1-h). Non solo l’identità, ma anche l’attività di assistenza prestata dal facilitatore devono essere mantenute riservate.

Colleghi, parenti, enti di proprietà

La disciplina in esame tutela anche le persone legate al segnalante da un rapporto di parentela entro il quarto grado ovvero da uno stabile legame affettivo e che operano nel medesimo contesto lavorativo, così come i colleghi di lavoro con i quali il segnalante ha un rapporto abituale e corrente, nonché gli enti di proprietà del segnalante.

 

Modalità di segnalazione

I canali di segnalazione utilizzabili sono:

  • Interni: piattaforme predisposte ad hoc, e-mail, comunicazione cartacea, segnalazione telefonica, messaggio vocale, incontri personali
  • Esterni: canale predisposto ad hoc dall’ANAC, modalità utilizzabile in via meramente residuale (art. 6)

 

Aspetti da tenere in considerazione

Con il D.Lgs. 24/2023, il legislatore ha inteso disciplinare in modo dettagliato anche le procedure di gestione operativa delle segnalazioni, prevedendo le tempistiche di trasmissione della segnalazione, laddove sia stata presentata a un soggetto diverso da quello competente (7 giorni dal suo ricevimento) e tempistiche di riscontro alla segnalazione (entro 3 mesi dal suo ricevimento).

Oltre all’aspetto temporale, il legislatore ha specificatamente previsto anche la necessità di affidare la gestione delle segnalazioni ad una persona singola o ad un ufficio, interno o esterno al contesto lavorativo interessato, purché autonomo e con personale adeguatamente formato (art. 4 comma 2).

Una norma specifica è dedicata all’obbligo di riservatezza. L’art. 12 descrive nel dettaglio quali dati del segnalante e della segnalazione possono essere utilizzati, in quale contesto e con quali modalità. Parallelamente, gli artt. 16 ss. illustrano le misure di protezione a tutela del segnalante e soggetti equiparati.

Da non dimenticare l’art. 13, il quale richiama il rispetto puntuale della normativa nazionale ed europea in materia di protezione dei dati personali.

 

Sanzioni

Ulteriore novità introdotta dal D.Lgs 24/2023 è la previsione dettagliata di sanzioni amministrative pecuniarie irrogabili dall’ANAC:

  • Da €000 a €50.000 – nel caso in cui siano state accertate ritorsioni, la segnalazione sia stata ostacolata (a tale fine è sufficiente anche il solo tentativo), sia stato violato l’obbligo di riservatezza ovvero quando i canali di segnalazione e relative procedure di gestione non siano stati istituiti
  • Da €500 a €500 – nel caso di condanna in primo grado del segnalante per i reati di diffamazione e calunnia.

Quanto previsto dalla normativa in esame obbliga, dunque, gli enti ad adeguare le procedure di segnalazione, che sono parte integrante dei Modelli ex D.Lgs. 231/2001 (tra l’altro, il D.Lgs. 24/2023 ha abrogato l’art.6 commi 2-ter e 2-quater D.Lgs. 231/2001), oltre che a integrare i registri dei trattamenti ex art. 30 GDPR.