WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Approfondimenti

Whistleblowing e il canale interno di segnalazione

Perché, quando e (soprattutto) come farlo?

7 Dicembre 2023

Josephine Romano, Partner, Head Corporate Compliance, Deloitte Legal

Cecilia Pontiggia, Managing Associate, Corporate Compliance, Deloitte Legal

Pietro Boccaccini, Managing Associate, IP, IT & Data Protection, Deloitte Legal

Giorgia Lovecchio Musti, Associate, Employment and Benefits, Deloitte Legal

Di cosa si parla in questo articolo

Il presente contributo analizza il tema del whistleblowing con particolare riguardo alla strutturazione del canale interno di segnalazione, soffermandosi su normativa, Linee guida ANAC e di Confindustria, best practices di mercato e problematiche operative.


1. Un rapido sguardo al quadro normativo

Con il D.Lgs. 10 marzo del 2023, n.24 (il “Decreto” o il “D.Lgs. 24/2023”) è stata data attuazione alla Direttiva (UE) 2019/1937, del Parlamento europeo e del Consiglio, del 23 ottobre 2019: obiettivo della Direttiva Europea è introdurre regole comuni in tutti gli Stati membri per garantire un elevato livello di protezione alle persone che segnalano “violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato[1] (cd. disciplina whistleblowing).

In particolare, possono essere oggetto di segnalazione[2]:

  • illeciti amministrativi, contabili, civili o penali;
  • condotte illecite rilevanti ai sensi del D.Lgs. 231/2001;
  • violazioni del diritto dell’Unione Europea[3].

Il Decreto introduce un sistema diversificato di presentazione delle segnalazioni. Al whistleblower è infatti riconosciuta la possibilità di segnalare attraverso:

  • un canale interno all’ente (cfr. par. “Il canale interno di segnalazione”);
  • un canale esterno all’ente – istituito e gestito dall’ANAC – attivabile solo al ricorrere di determinate condizioni espressamente previste dal legislatore e, in particolare, se il canale interno non è “funzionante”[4];
  • la divulgazione pubblica, ovvero rendendo di pubblico dominio le informazioni sulle violazioni tramite la stampa o mezzi elettronici o comunque attraverso mezzi di diffusione in grado di raggiungere un numero elevato di persone (anche in questo caso laddove i canali interno ed esterno non si siano dimostrati uno strumento “efficace”)[5].

In ogni caso, resta ferma la possibilità di effettuare denunce all’autorità giudiziaria e contabile, nei casi di loro competenza.

Gli enti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, superiore a 249, avevano tempo fino allo scorso 15 luglio 2023 per adeguarsi alla normativa. È fissato invece al prossimo 17 dicembre 2023 il termine di adeguamento per gli enti privati che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati fino a 249.

2. Il canale interno di segnalazione

Nel rispetto delle intenzioni del Decreto whistleblowing, il canale interno di segnalazione (i) assicura la riservatezza dell’identità del segnalante, del segnalato, degli altri soggetti coinvolti o menzionati nella segnalazione e del contenuto della segnalazione e della relativa documentazione (cfr. par. 5 “Tutela della riservatezza e protezione dei dati personali”) e al contempo (ii) vietaqualsiasi comportamento, atto od omissione, anche solo tentato o minacciato, posto in essere in ragione della segnalazione (…) che provoca o può provocare alla persona segnalante (…), in via diretta o indiretta un danno ingiusto[6] (cfr. par. 6 “Spunti giuslavoristici”). Sul punto, occorre precisare che il divieto di ritorsione è assicurato anche nei confronti di tutti coloro che hanno un legame qualificato con il segnalante, ovvero facilitatori (persone che assistono il whistleblower nel processo di segnalazione), persone del medesimo contesto lavorativo, colleghi di lavoro ed enti di proprietà del segnalante o in cui lavora oppure che operano nel medesimo contesto lavorativo[7].

Entrando più nel dettaglio nella costruzione del canale, questo deve essere definito in modo da dare al whistleblower la possibilità di scegliere se segnalare in forma scritta, tramite strumento informatico (piattaforma online) o posta cartacea, oppure in forma orale, mediante linee telefoniche dedicate, sistemi di messaggistica vocale e, se richiesto dal segnalante, attraverso un incontro diretto con il gestore del canale[8].

Nella declinazione pratica del canale, troviamo senz’altro nella prassi un minimo comune denominatore nell’implementazione della piattaforma informatica (che spesso fornisce anche una linea telefonica dedicata e/o sistemi di messaggistica vocale), che ha trovato il favore sia di ANAC[9] sia di Confindustria: “l’unico strumento informatico adeguato è da individuarsi nella piattaforma on-line[10].

Da ricordare, poi, che gli enti che hanno adottato un Modello di Organizzazione, Gestione e Controllo ex D.Lgs. 231/2001 sono chiamati a prevedere all’interno del Modello stesso canali di segnalazione conformi al Decreto, il divieto di ritorsione e le sanzioni applicabili in caso di violazione del sistema di whistleblowing come definito e messo a regime.

3. Il gestore del canale interno di segnalazione

Le larghe maglie della normativa lasciano agli enti privati ampia discrezionalità nell’individuazione del gestore del canale, in base alle dimensioni, alla natura dell’attività esercitata e alla realtà organizzativa concreta[11].

Occorre tuttavia considerare che tale ampia discrezionalità porta con sé il rischio di individuare quale gestore un soggetto non adeguato, con conseguente pregiudizio dell’efficacia del canale interno. Sul punto, il Consiglio Nazionale dei Dottori Commercialisti ed Esperti Contabili (CNDCEC), in “Nuova disciplina del Whistleblowing e impatto sul D.Lgs. 231/2001”, suggerisce di escludere dalla gestione della segnalazione i componenti del Consiglio di Amministrazione, il Direttore generale, i dirigenti e tutto il personale apicale, nonché un soggetto con mansioni organizzative, gestionali o di responsabilità all’interno dell’ente, che “potrebbe avere interesse a non agire con adeguata determinatezza rispetto alla violazione o al reato segnalato per salvaguardare l’immagine dell’ente stesso o del proprio operato[12].

Tornando al dettato normativo, il Decreto recita che “La gestione del canale di segnalazione è affidata a una persona o a un ufficio interno autonomo dedicato e con personale specificamente formato per la gestione del canale di segnalazione, ovvero è affidata a un soggetto esterno, anch’esso autonomo e con personale specificamente formato[13]. Sono pertanto soltanto due i requisiti che la norma richiede per l’investitura a gestore:

  • l’autonomia, da intendersi come imparzialità, assenza di condizionamenti e di pregiudizi nei confronti delle parti coinvolte nelle segnalazioni, indipendenza, libertà da influenze o interferenze da parte dell’organo gestorio;
  • una formazione specifica, affinché il gestore possa assicurare l’adozione di misure tecniche e organizzative tali da garantire il rispetto dell’obbligo di riservatezza e di protezione dei dati[14]. Si precisa che il gestore dovrà a sua volta mettere a disposizione di tutti i potenziali segnalanti “informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni esterne[15], mediante pubblicazione sul sito internet, esposizione nella bacheca aziendale, sessioni di formazione specifica, e/o ogni altro mezzo ritenuto opportuno per garantire la più capillare e consapevole diffusione del sistema a tutti i soggetti interessati. Nello specifico, risulta particolarmente sensibile il tema della informazione/formazione dei soggetti apicali – o con funzione di coordinamento e/o gestione delle risorse – della società, perché siano a conoscenza del perimetro di operatività della disciplina e sviluppino sul punto una sensibilità e competenze puntuali, al fine di supportare una corretta gestione del canale di segnalazione e minimizzare il rischio sulla società di ricadute pregiudizievoli o reputazionali.

Cosa si intende per gestione?

L’art. 5 del Decreto prevede che il gestore:

  • rilasci al whistleblower un avviso di ricevimento della segnalazione entro 7 giorni dalla data di ricezione;
  • mantenga le interlocuzioni con il segnalante e possa richiedere a quest’ultimo, se necessario, integrazioni;
  • fornisca riscontro alla segnalazione entro 3 mesi dalla data di avviso di ricevimento o, in mancanza, entro 3 mesi e 7 giorni dalla presentazione della segnalazione;
  • dia diligente seguito alle segnalazioni ricevute, intendendosi per “seguito” “l’azione intrapresa dal soggetto cui è affidata la gestione del canale di segnalazione per valutare la sussistenza dei fatti segnalati, l’esito delle indagini e le eventuali misure adottate[16].

Sull’estensione del concetto di “seguito”, l’ANAC riconosce in capo al gestore l’onere di accertare la fondatezza della segnalazione, non spettando allo stesso “accertare le responsabilità individuali qualunque natura esse abbiano, né svolgere controlli di legittimità o di merito su atti e provvedimenti adottati dall’ente/amministrazione oggetto di segnalazione, a pena di sconfinare nelle competenze dei soggetti a c.iò preposti all’interno di ogni ente o amministrazione ovvero della magistratura[17].

D’altra parte, la Direttiva (UE) 2019/1937 parrebbe invece attribuire al gestore, oltre alla valutazione circa la sussistenza dei fatti segnalati, anche la possibilità di “porre rimedio alla violazione segnalata, anche attraverso azioni come un’inchiesta interna, indagini, l’azione penale, un’azione per il recupero dei fondi o l’archiviazione della procedura[18].

Certo è che la decisione finale sulle eventuali misure correttive da adottare potrà essere in capo soltanto alle funzioni aziendali competenti e che, in ogni caso, ruolo e compiti del gestore dovranno essere chiaramente formalizzati nell’ambito di una procedura di whistleblowing adeguatamente “pubblicizzata” fuori e dentro il contesto aziendale.

Quale gestore?

È impossibile definire una soluzione valida per tutte le realtà. Ciascuna impresa è infatti chiamata a valutare la propria concreta organizzazione aziendale, le funzioni esistenti (o mancanti), le competenze presenti (o mancanti) in azienda, il carico di lavoro delle diverse strutture, l’appartenenza o meno a un gruppo (come controllata o capogruppo) e, infine, l’esistenza di altri sistemi di compliance, primo fra tutti il Modello 231.

Facciamo alcuni esempi.

Per le piccole e medie imprese figura idonea a ricoprire il ruolo di gestore potrebbe essere l’Internal Auditor[19], il responsabile della funzione anticorruzione o di compliance[20] oppure il responsabile della funzione legale e/o risorse umane, laddove privo di mansioni gestionali-operative[21].

Nell’ambito di strutture più articolate, l’opzione potrebbe essere quella di affidare la gestione a Comitati[22] a composizione interna, esterna oppure mista. Nei Comitati a composizione mista potrebbero sedere referenti della funzione Internal Audit, Legal o Compliance, mentre il componente esterno “ben potrebbe già ricoprire altri incarichi per l’ente compatibili con i requisiti previsti per il Gestore, tra cui quello di membro dell’OdV[23].

Nel caso di gruppi societari, i Comitati potrebbero poi definire flussi informativi con eventuali Comitati istituiti a livello di gruppo, nell’ambito di un sistema whistleblowing che potrebbe prevedere un doppio canale di segnalazione, a livello centrale e a livello locale (cfr. par. “Canale interno di segnalazione nei gruppi societari”).

In merito al ruolo dell’OdV nell’ambito dei sistemi di segnalazione (quale parte di un più ampio Comitato oppure come gestore autonomo del canale), è senz’altro necessario ripartire in maniera adeguata e chiara le competenze tra l’OdV e gli altri attori coinvolti, in modo che l’Organismo mantenga l’autonomia e l’indipendenza richieste dal D. Lgs. 231/2001[24].

Sul punto, gli orientamenti sono diversi.

AODV²³¹ pare sconsigliare la perfetta coincidenza tra gestore e OdV, in quanto la partecipazione ad attività gestorie potrebbero minarne l’indipendenza e l’autonomia[25]; Confindustria ritiene invece l’OdV un soggetto adeguato a ricoprire il ruolo di gestore in quanto dotato per legge dei requisiti di autonomia, indipendenza e professionalità tecnica necessari per svolgere le attività di verifica e istruttoria, lasciando poi alle funzioni aziendali competenti l’applicazione di eventuali misure sanzionatorie[26].

In ogni caso, il coinvolgimento dell’OdV nella gestione del canale sembrerebbe costituire un’attività esorbitante rispetto alla funzione tipica dell’Organismo e dovrebbe pertanto costituire oggetto di un’integrazione dell’incarico e, di conseguenza, di una remunerazione specifica[27].

Nel caso in cui l’ente decida di non affidare all’OdV la gestione del canale, parrebbe comunque opportuno che lo stesso venga informato dal gestore non solo delle segnalazioni rilevanti ai sensi del D.lgs. 231/2001, ma anche del generale funzionamento del sistema di whistleblowing su cui l’Organismo è comunque chiamato a vigilare[28].

Nella prassi, nelle realtà più strutturate l’orientamento sembrerebbe quello di istituire un Comitato (di varia composizione) che reindirizza all’OdV le segnalazioni rilevanti ai sensi del D.Lgs. 231/2001 o al più, come sopra anticipato, di nominare uno dei componenti dell’OdV quale membro del Comitato, con il ruolo – più o meno formalizzato – di raccordo tra Comitato e Organismo. In entrambi i casi è opportuno istituzionalizzare un flusso informativo tra OdV e Comitato, in capo al quale rimane comunque il ruolo di gestore della segnalazione.

Nella realtà più piccole, all’opposto, la scelta di affidare la gestione del canale all’OdV (o ad altro soggetto esterno) potrebbe risultare quasi obbligata, in assenza di figure interne sufficientemente autonome per svolgere questo tipo di attività.

In sintesi, il panorama applicativo è variegato e risulta fondamentale una valutazione preliminare per definire la governance del sistema di segnalazione più adatta alla concreta realtà aziendale, nella quale l’OdV, se presente, dovrà avere un ruolo ben definito che non metta in discussione il suo essenziale requisito di autonomia.

L’esito di questa valutazione dovrà in ogni caso essere poi tradotto in una procedura che, ben lontana dal poter essere uno standard, dovrà necessariamente riflettere il concreto sistema di segnalazione costruito dall’ente, frutto delle scelte prese e delle soluzioni implementate.

4. Canale interno di segnalazione nei gruppi societari

Il Decreto ammette che, tra gli altri, i soggetti del settore privato che hanno impiegato nell’ultimo anno una media di lavoratori subordinati non superiore a 249 possano condividere il canale di segnalazione interno e la relativa gestione[29], indipendentemente dall’appartenenza a un gruppo societario.

La norma riguarda enti di piccole o medie dimensioni, appartenenti al medesimo gruppo o privi di legame tra loro, in ottica di semplificazione degli adempimenti e contenimento dei costi.

All’interno di un gruppo di imprese (ciascuna con meno di 249 dipendenti) parrebbe pertanto consentito condividere il canale di segnalazione interno, individuando, ad esempio, nella casa madre il soggetto che gestisce le segnalazioni anche per conto delle controllate[30]. Allo stesso modo, enti indipendenti, privi di legame, potrebbero individuare tra loro o all’esterno un soggetto comune con ruolo di gestore.

In ogni caso, ANAC precisa che “è necessario garantire che ciascun ente acceda esclusivamente alle segnalazioni di propria spettanza tenuto anche conto della attribuzione della relativa responsabilità. Pertanto, dovranno essere adottate misure tecniche e organizzative per garantire che ciascun ente abbia accesso solo alle segnalazioni di propria competenza[31].

Per quel che attiene la gestione del canale interno di segnalazione nell’ambito dei gruppi societari formati da enti con più di 249 dipendenti, molto si è discusso e si continua a discutere in considerazione della spesso oggettiva difficoltà di istituire canali locali “sganciati” da canali di gruppo (frequentemente multinazionale) preesistenti e presidiati da casa madre.

ANAC, nella Relazione Illustrativa alle proprie Linee Guida, afferma che “sembra più conforme alla direttiva e alle indicazioni della Commissione l’opzione proposta in merito al doppio canale: uno a livello di controllata e uno a livello di capogruppo, lasciando al WB la scelta[32]. Sul punto, la Commissione Europea si era infatti espressa il 2 e il 29 giugno 2021 in riscontro a questioni sollevate da alcune multinazionali danesi, affermando che la facoltà di condividere il canale di segnalazione è concessa alle sole piccole e medie imprese in quanto, nelle stesse, viene assicurato l’agevole accesso all’unico canale di segnalazione istituito e garantita una completa informazione sul medesimo; le grandi imprese e i gruppi multinazionali, non soddisfacendo le ragioni di efficienza e prossimità dei canali di segnalazione, potrebbero invece istituire un canale di segnalazioni centralizzato, purché coesista con quelli locali[33].

È Confindustria che, con la recente Guida operativa, pare aprire la strada a nuove possibilità, richiamando quanto fatto dal legislatore francese e danese che, discostandosi dalle citate opinion della Commissione Europea, ha ammesso la possibilità di centralizzare la gestione del canale di ­segnalazione – indipendentemente dal numero di dipendenti – e di individuare, da parte di un ente del gruppo, la casa madre come gestore esterno in forza di specifico contratto di service. Confindustria propone pertanto due soluzioni alternative[34]:

  • la gestione del canale interno decentralizzata, ossia ogni singolo ente del gruppo gestisce internamente le segnalazioni di propria competenza pervenute attraverso il canale di gruppo (i.e. piattaforma informatica sulla quale il whistleblower potrà selezionare la società di appartenenza);
  • la gestione del canale interno centralizzata, ossia la possibilità di affidare alla casa madre la gestione del canale (e la fornitura della piattaforma) in qualità di gestore esterno, sulla base di appositi contratti di service infragruppo. Per garantire la “prossimità del canale”, il gestore (i.e. la capogruppo) potrà coinvolgere i competenti referenti locali (i.e. della controllata).

In ogni caso, anche questi aspetti dovranno trovare una loro collocazione all’interno della procedura di whistleblowing definita, adottata e resa operativa dall’impresa.

5.Tutela della riservatezza e protezione dei dati personali

La tutela della riservatezza del segnalante è una delle principali caratteristiche del whistleblowing, in quanto è fondamentale garantire che la persona che segnala un illecito o, comunque, una situazione sensibile e potenzialmente critica, non subisca ritorsioni o discriminazioni.

Il Decreto ha rafforzato la tutela della riservatezza del segnalante in diversi modi. Innanzitutto, la legge ha stabilito che l’identità del segnalante non possa essere rivelata, senza il suo consenso, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni.

Inoltre, la riservatezza è garantita anche nel contesto di un eventuale procedimento disciplinare a carico di un soggetto segnalato. In questo caso, l’identità del segnalante non può essere rivelata, se la contestazione dell’addebito disciplinare è fondata su accertamenti distinti e ulteriori rispetto alla segnalazione. Nel caso sia indispensabile rivelare l’identità del segnalante per la difesa dell’incolpato, è possibile farlo soltanto con il consenso espresso del segnalante. Nell’ambito di un eventuale procedimento penale, invece, l’identità della persona segnalante è coperta dal segreto.

Con riferimento alla tutela della privacy e alla protezione dei dati personali, il Decreto ha previsto una serie di adempimenti che devono essere rispettati da tutti i soggetti che attivano un sistema di whistleblowing. Di seguito si elencano quelli di maggiore importanza e impatto pratico per enti ed imprese:

  • svolgimento di una valutazione d’impatto (Data Protection Impact Assessment);
  • adozione di misure di sicurezza adeguate a tutela dei diritti e delle libertà degli interessati, anche sulla base di quanto emerge dal necessario assessment volto a identificare i rischi e le azioni da implementare per annullarli o mitigarli;
  • individuazione delle persone incaricate di ricevere le segnalazioni e attribuzione di specifiche nomine e istruzioni al trattamento;
  • rispetto del principio di minimizzazione (i dati raccolti accidentalmente, sono cancellati immediatamente);
  • consegna di un’informativa ai segnalanti e ai soggetti coinvolti;
  • nomine a responsabile del trattamento da attribuire alle persone fisiche o giuridiche che trattano dati personali per conto dei soggetti che attivano il canale di segnalazione, come il gestore della piattaforma (che normalmente tenderà ad imporre il proprio standard contrattuale, quando si tratta di un operatore strutturato);
  • limitazione del periodo di conservazione dei dati (in ogni caso, non oltre 5 anni dalla data della comunicazione dell’esito finale della procedura di segnalazione) e integrazione della data retention policy aziendale;
  • adeguamento delle procedure relative alla gestione dei diritti privacy degli interessati, per tenere conto delle possibili limitazioni a cui questi possono essere soggetti;
  • nel caso di condivisione di risorse per il ricevimento e la gestione delle segnalazioni, ad esempio nel contesto di gruppi societari, le diverse entità potrebbero essere identificate come contitolari del trattamento, dovendo in tal caso stipulare un apposito accordo interno per regolare le rispettive responsabilità;
  • aggiornamento del registro, che deve fornire sempre una mappatura aggiornata dei trattamenti.

6. Spunti giuslavoristici 

Il tema del whistleblowing e dell’implementazione della relativa disciplina è anche strettamente correlato a profili di natura giuslavoristica e, in tale contesto, le funzioni HR delle società rientranti nell’ambito di applicazione delle norme assumono un ruolo centrale, che si aggiunge a quello rivestito dalle figure aziendali (es. Head of Compliance o Head of Legal) che sono incaricate della complessiva implementazione del sistema whistleblowing.

Ciò, in primo luogo, è evidente già solo se si considera che possono formare oggetto di segnalazione leviolazioni di disposizioni nazionali o dell’Unione Europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui i soggetti segnalanti siano venuti a conoscenza “in un contesto lavorativo pubblico o privato[35]. Vi è quindi una stretta connessione con il rapporto di lavoro e con l’ambito di svolgimento dello stesso.

Non solo. L’impianto della disciplina del whistleblowing è invero particolarmente attento alle tutele giuslavoristiche che sono apprestate al segnalante, senza le quali probabilmente nessun lavoratore dipendente si spingerebbe ad effettuare alcuna segnalazione, per timore di ritorsioni.

Con riferimento, quindi, alla strutturazione del canale interno di segnalazione, un primo tema che viene in rilievo riguarda il coinvolgimento dei sindacati nel processo di implementazione. Il Decreto whistleblowing (così come la Direttiva cui lo stesso dà attuazione) prescrive infatti che siano “sentite le rappresentanze o le organizzazioni sindacali di cui all’articolo 51 del decreto legislativo n. 81 del 2015[36] e, pertanto, come si evince dallo specifico rimando normativo, le rappresentanze sindacali aziendali (o la rappresentanza sindacale unitaria qualora nominata) ovvero le organizzazioni sindacali comparativamente più rappresentative sul piano nazionale.

Nulla quaestio in caso di elezione delle rappresentanze aziendali (o di RSU): l’informativa dovrà essere evidentemente alle stesse indirizzata. In loro assenza, l’individuazione dei soggetti destinatari potrebbe non essere così agevole, dovendo valutare se coinvolgere direttamente le organizzazioni sindacali comparativamente più rappresentative sul piano nazionale o se sia sufficiente il coinvolgimento delle loro articolazioni territoriali[37].

Inoltre, tenuto conto delle indicazioni della legge (che stabilisce unicamente di “sentire” le OO.SS), si pone il problema di valutare che tipo di informativa debba essere loro fornita. Se si considera, come anche Confindustria ricorda nelle propria Guida operativa (sebbene giungendo a conclusioni parzialmente differenti)[38], che l’ANAC individua la finalità della suddetta disposizione nella necessità di “acquisire eventuali osservazioni[39], riteniamo che l’informativa debba essere completa ed esaustiva, tale da mettere in condizioni le OO.SS di poter formulare compiute osservazioni e, se del caso, di poter interloquire con le società e con gli enti, al fine di implementare uno strumento di segnalazione che sia condiviso negli elementi strutturali e nelle finalità attuative.

Le implicazioni di natura giuslavoristica, tuttavia, non si esauriscono solo nella fase di strutturazione del canale di segnalazione, ma emergono anche nel corso della gestione dello stesso.

Basti pensare che l’autore della condotta oggetto di segnalazione (il segnalato), in caso di accertata veridicità della violazione segnalata, potrebbe essere sottoposto a procedimento disciplinare finalizzato all’irrogazione di una sanzione, che dovrà essere valutato e disposto con il supporto della funzione HR aziendale.

Inoltre, se è pur vero che è vietata[40] qualsivoglia forma di ritorsione adottata nei confronti del segnalante in conseguenza della segnalazione[41], tuttavia l’essere considerato un whistleblower non implica necessariamente l’esenzione del lavoratore da qualsivoglia misura e provvedimento disciplinare nel corso del successivo svolgimento del rapporto di lavoro, purché attengano a ipotesi diverse, anche temporalmente differenti, rispetto a quelle che sono state oggetto della segnalazione.

Perché operi la tutela prevista dalla disciplina[42] è infatti necessario che le condotte sottese sia alla segnalazione, sia i provvedimenti disciplinari successivamente comminati, siano sostanzialmente e materialmente le medesime e che, in ogni caso, segnalazione e provvedimento siano temporalmente collegati. In difetto, parrebbe invece potersi legittimamente assoggettare il segnalante ad un procedimento disciplinare, al pari degli altri dipendenti[43]. E anche in questo caso, viene in evidenza il ruolo assunto dalla funzione aziendale HR a supporto della valutazione del caso concreto.

Dagli spunti di riflessione appena accennati emerge come il processo di gestione delle segnalazioni all’interno delle società non consista solo nell’utilizzo di efficaci sistemi tecnici o nell’istituzione di canali di segnalazione meramente attuativi delle disposizioni legislative, ma debba anche essere frutto di una visione unitaria della disciplina e delle sue possibili implicazioni all’interno della società. Si osserva infatti come si possano sviluppare problematiche ben più ampie di quelle legate alla singola segnalazione che, come tali, richiedono il coinvolgimento di soggetti, stakeholder e funzioni differenti.

7. Conclusioni

In conclusione, appare evidente la varietà di temi che sta ponendo alle aziende l’implementazione della disciplina del whistleblowing, essendo appunto in essa coinvolti vari aspetti: dai profili di compliance a quelli connessi alla data protection e al diritto del lavoro.

Detti aspetti debbono essere tenuti in considerazione nella definizione di un canale che sia conforme alla normativa e soprattutto capace di risolvere le numerose questioni applicative che le società stanno affrontando in questa fase di prima applicazione, per tenere fede alle stringenti scadenze contemplate dalla normativa.

Un approccio integrato è pertanto qui più che mai quello che si dimostrerà “vincente”.

[1] Art. 1, comma 1, del Decreto.

[2] Art.2, comma 1, lett. a) del Decreto.

[3] Da intendersi come:

a) illeciti che rientrano nell’ambito di applicazione degli atti dell’Unione europea relativi ai seguenti settori:

  • appalti pubblici;
  • servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo;
  • sicurezza e conformità dei prodotti;
  • sicurezza dei trasporti;
  • tutela dell’ambiente;
  • radioprotezione e sicurezza nucleare;
  • sicurezza degli alimenti e dei mangimi e salute e benessere degli animali;
  • salute pubblica;
  • protezione dei consumatori;
  • tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi.

b) atti od omissioni che ledono gli interessi finanziari dell’Unione europea, nonché quelli riguardanti il mercato interno, comprese le violazioni delle norme dell’Unione europea in materia di concorrenza e di aiuti di Stato, nonché le violazioni riguardanti il mercato interno connesse ad atti che violano le norme in materia di imposta sulle società o i meccanismi il cui fine è ottenere un vantaggio fiscale che vanifica l’oggetto o la finalità della normativa applicabile in materia di imposta sulle società (art. 2, comma 1, n. 5);

c) atti o comportamenti che vanificano l’oggetto o la finalità delle disposizioni di cui agli atti dell’Unione Europea nei settori sopra indicati.

[4] Art. 6 del Decreto: “La persona segnalante può effettuare una segnalazione esterna se, al momento della sua presentazione, ricorre una delle seguenti condizioni:

  1. non è prevista, nell’ambito del suo contesto lavorativo, l’attivazione obbligatoria del canale di segnalazione interna ovvero questo, anche se obbligatorio, non è attivo o, anche se attivato, non è conforme a quanto previsto dall’articolo 4;
  2. la persona segnalante ha già effettuato una segnalazione interna ai sensi dell’articolo 4 e la stessa non ha avuto seguito;
  3. la persona segnalante ha fondati motivi di ritenere che, se effettuasse una segnalazione interna, alla stessa non sarebbe dato efficace seguito ovvero che la stessa segnalazione possa determinare il rischio di ritorsione;
  4. la persona segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse”.

[5] Art. 15, comma 1, del Decreto: “La persona segnalante che effettua una divulgazione pubblica beneficia della protezione prevista dal presente decreto se, al momento della divulgazione pubblica, ricorre una delle seguenti condizioni:

  1. la persona segnalante ha previamente effettuato una segnalazione interna ed esterna ovvero ha effettuato direttamente una segnalazione esterna, alle condizioni e con le modalità previste dagli articoli 4 e 7 e non è stato dato riscontro nei termini previsti dagli articoli 5 e 8 in merito alle misure previste o adottate per dare seguito alle segnalazioni;
  2. la persona segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse;
  3. la persona segnalante ha fondato motivo di ritenere che la segnalazione esterna possa comportare il rischio di ritorsioni o possa non avere efficace seguito in ragione delle specifiche circostanze del caso concreto, come quelle in cui possano essere occultate o distrutte prove oppure in cui vi sia fondato timore che chi ha ricevuto la segnalazione possa essere colluso con l’autore della violazione o coinvolto nella violazione stessa”.

[6] Art. 2, comma 1, lett. m) del Decreto.

[7] Linee Guida ANAC pag. 20.

[8] Art. 4, comma 3, del Decreto.

[9] ANAC ha precisato che la posta elettronica e la PEC sono strumenti non adeguati a garantire la riservatezza (cfr. Linee Guida ANAC pag. 38).

[10] Guida operativa Confindustria per gli enti privati pag. 11.

[11] Linee Guida ANAC pag. 39.

[12] CNDCEC, “Nuova disciplina del Whistleblowing e impatto sul D.Lgs. 231/2001”, pag. 20.

[13] L’art. 4, comma 2, del Decreto.

[14] Guida operativa Confindustria per gli enti privati pag. 16.

[15] Art. 5, comma 1, lett. e).

[16] Art. 2, comma 1, lett. n) del Decreto.

[17] Linee Guida AAC pag. 41.

[18] Art. 5, n.12, della Direttiva (UE) 2019/1937.

[19] Linee Guida ANAC pag. 39.

[20] Guida operativa di Confindustria per gli enti privati pag. 14.

[21] Guida operativa Confindustria per gli enti privati pag. 14.

[22] Linee Guida ANAC, pag. 39.

[23] Position Paper AODV²³¹, “Il ruolo dell’OdV nell’ambito del Whistleblowing”, pag. 7.

[24] Sul punto, il CNDCEC, in “Nuova disciplina del Whistleblowing e impatto sul D.Lgs. 231/2001”, afferma che “L’attribuzione all’OdV del ruolo di gestore della segnalazione deve essere attentamente valutata, avuto riguardo in primis alle funzioni di vigilanza che la legge assegna al medesimo e ai requisiti di indipendenza e autonomia necessari per lo svolgimento di tali funzioni. Tali requisiti potrebbero, infatti, risultare compromessi per effetto delle ulteriori mansioni di “gestione” del canale whistleblowing” (pag. 21).

[25] Position Paper AODV²³¹, “Il ruolo dell’OdV nell’ambito del Whistleblowing”, pag. 6.

[26] Guida operativa Confindustria pag. 15, “la disciplina whistleblowing è parte integrante del Modello Organizzativo 231, sulla cui osservanza l’OdV è chiamato a vigilare”.

[27] CNDCEC, “Nuova disciplina del Whistleblowing e impatto sul D.Lgs. 231/2001”, pag. 21; Position Paper AODV²³¹, “Il ruolo dell’OdV nell’ambito del Whistleblowing”, pag. 7 e 8.

[28] Sul punto, Position Paper AODV²³¹, “Il ruolo dell’OdV nell’ambito del Whistleblowing”, pag. 8; Guida operativa Confindustria per gli enti privati pag. 15.

[29] Art. 4, comma 4, del Decreto.

[30] Guida operativa Confindustria per gli enti privati pag. 21.

[31] Linee Guida ANAC pag. 42.

[32] Relazione Illustrativa alle Linee Guida ANAC pag. 22.

[33] Nota della Commissione UE, 29 giugno 2021: “This said, the Directive does not prohibit maintaining or creating also centralised whistleblowing functions within a group”.

[34] Guida operativa Confindustria per gli enti privati pag. 22.

[35] Art.1, comma 1, del Decreto.

[36] Art. 4, comma 1, del Decreto.

[37] Sul punto, la Guida operativa Confindustria per gli enti privati fa riferimento alle sole organizzazioni territoriali (pag. 13).

[38] Sul punto, la Guida operativa Confindustria per gli enti privati, quanto al contenuto dell’informativa, indica di fornire “una descrizione del canale, almeno negli elementi essenziali che lo caratterizzano (ad esempio, in merito alle modalità di segnalazione, alla gestione della segnalazione, alle informazioni che saranno condivise con i lavoratori, anche con la pubblicazione nel proprio sito internet, piuttosto che nell’ambito aziendale interno)” (pag. 13).

[39] Linee Guida ANAC pag. 38.

[40] Art. 17 del Decreto.

[41] Vige, in proposito, in continuità con la precedente normativa, il meccanismo di inversione dell’onere della prova: nell’ambito di un giudizio sulla presunta ritorsività della sanzione, si presume che essa sia stata attuata a causa della intervenuta segnalazione e spetta pertanto al datore di lavoro provare invece che la stessa attiene a circostanze del tutto estranee.

[42] I relativi provvedimenti, proprio perché ritorsivi, sono ritenuti nulli e improduttivi di qualsivoglia effetto ex art.19, comma 3, del Decreto.

[43] Nello stesso senso, del resto, si esprime la suprema Corte di Cassazione (con l’ordinanza n. 9148 del 31.03.2023 sebbene in una fattispecie regolata dalla precedente disciplina), chiarendo che “La normativa di tutela del dipendente che segnali illeciti altrui (c.d. whistleblowing) salvaguardia il medesimo dalle sanzioni che potrebbero conseguire a suo carico secondo le norme disciplinari o da reazioni ritorsive dirette ed indirette conseguenti alla sua denuncia, ma non istituisce un esimente per gli autonomi illeciti che egli, da solo o in concorso con altri responsabili, abbia commesso, potendosi al più valutare il ravvedimento operoso o la collaborazione al fine di consentire gli opportuni accertamenti nel contesto dell’apprezzamento, sotto il profilo soggettivo, della proporzionalità della sanzione da irrogarsi nei confronti del medesimo”.

Leggi gli ultimi contenuti dello stesso autore
Approfondimenti
Governance e controlli

Modello 231 e whistleblowing: i vantaggi di una compliance integrata

11 Novembre 2024

Josephine Romano, Partner, Head of Compliance, Deloitte Legal

Cecilia Pontiggia, Managing Associate, Deloitte Legal

Ilaria Ercole, Avvocata, Deloitte Legal

Il contributo tratta dei benefici di un sistema di compliance integrata che comprenda il modello organizzativo ex D.Lgs. 231/2001 ed il sistema whistleblowing.
Approfondimenti
Governance e controlli

Whistleblowing e il canale interno di segnalazione

Perché, quando e (soprattutto) come farlo?
7 Dicembre 2023

Josephine Romano, Partner, Head Corporate Compliance, Deloitte Legal

Cecilia Pontiggia, Managing Associate, Corporate Compliance, Deloitte Legal

Pietro Boccaccini, Managing Associate, IP, IT & Data Protection, Deloitte Legal

Giorgia Lovecchio Musti, Associate, Employment and Benefits, Deloitte Legal

Il contributo analizza il tema del whistleblowing con particolare riguardo alla strutturazione del canale interno di segnalazione, soffermandosi su normativa, Linee guida ANAC e di Confindustria, best practices di mercato e problematiche operative.
Di cosa si parla in questo articolo
Vuoi leggere la versione PDF?
Vuoi leggere altri contenuti degli autori?

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12

La Newsletter professionale DB
Giornaliera e personalizzabile
Iscriviti alla nostra Newsletter