giovedì, Novembre 21, 2024

Il whistleblowing in Italia: la disciplina applicabile e il futuro della regolamentazione

Introduzione

L’ordinamento italiano ha adottato una legislazione in materia di whistleblowing applicabile al settore privato nel 2017, con la Legge 30 novembre 2017, n. 179, contenente “disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”, entrata in vigore il 29 Dicembre 2017.

A ciò va aggiunto che il Decreto Legislativo 10 agosto 2018, n. 101, il quale ha implementato il GDPR nel Decreto Legislativo 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali”, ha introdotto una specifica disposizione a tutela della riservatezza dell’identità dell’informatore.

La legge sul whistleblowing prevede una specifica protezione degli “informatori”, estendendo le già esistenti regole del settore pubblico al settore privato.

Vuoi sapere come le aziende devono adeguarsi alla nuova direttiva Europea? Guarda questo webinar.

Nello specifico, la legge 179/2017 risulta inoltre rilevante per quelle aziende che, in accordo con il Decreto Legislativo 8 giugno 2001, n. 231, contenente la “disciplina della responsabilita’ amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”, sono tenute a predisporre il cd. “Modello 231”.

Scopri come semplificare la costruzione del Modello 231 qui.

La disciplina nazionale ed i rapporti con il Modello 231

Chi è l’informatore?

La legge sul whistleblowing lo definisce come ogni dipendente pubblico o privato che viene a conoscenza, in ragione del proprio rapporto di lavoro, di una pratica dannosa o un illecito. La definizione è inclusiva dei dipendenti e dei partner contrattuali di aziende che offrono beni o servizi ad organismi di diritto pubblico.

In breve, la legge prescrive alle aziende di predisporre dei canali di segnalazione per gli illeciti, proteggendo al tempo stesso l’identità della persona che segnala. In particolare, deve essere presente almeno un canale di segnalazione alternativo nel sistema informativo che permetta di proteggere l’identità del segnalatore.

La legge sul whistleblowing disciplina segnalazioni sia interne che esterne. In particolare, la legge si riferisce anche a condotte illecite nel settore privato che vanno a comprendere la violazione della normativa sul cd. Modello 231 previsto dalla Legge 231.

La legge sul whistleblowig prevede anche diversi obblighi in materia di trasparenza. Nello specifico, le aziende dovranno fornire ai dipendenti, attraverso la predisposizione di una specifica policy per il whistleblowing, informazioni chiare ed esaustive in relazione a:

  • funzionamento del sistema di segnalazione
  • come fare le segnalazioni
  • come gli individui posso divenire oggetto di una segnalazione
  • periodi di conservazione dei dati
  • tipologie di informazioni che posso essere diffuse attraverso una segnalazione
  • garanzie sull’assenza di ripercussioni per le segnalazioni
  • conseguenze dell’abuso del sistema di segnalazione
  • obblighi di riservatezza
  • misure a protezione dell’identità del segnalatore

Con l’implementazione del GDPR nel Codice Privacy Nazionale, il legislatore ha previsto anche una ipotesi di limitazione dei diritti dei soggetti interessati in ambito di whistleblowing. In particolare, l’Art. 2 undecies (1)(f) del Codice Privacy​ ha previsto che l’esercizio dei diritti degli interessati (disciplinati agli artt. 15-22 del GDPR) può subire una limitazione quando dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto, tra le altre cose, alla riservatezza dell’identità del soggetto che segnala un illecito di cui sia venuto a conoscenza in ragione del proprio ufficio​.

Cosa ci riserva il futuro: la nuova Direttiva UE e le differenze con la attuale disciplina

La nuova direttiva UE

Come sappiamo, l’Unione europea ha di recente introdotto una nuova direttiva in materia di whistleblowing, la “Direttiva (UE) 2019/1937 del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione”. La direttiva è stata pubblicata sulla gazzetta ufficiale dell’unione europea il 26 novembre 2019, ed è poi entrata in vigore il 16 dicembre dello stesso anno. Gli stati membri, tra cui l’Italia, hanno 2 anni a partire da quest’ultima data per recepire la direttiva nella legislazione nazionale.

Vuoi sapere come le aziende devono adeguarsi alla nuova direttiva Europea? Guarda questo webinar.

Quando il parlamento EU ha approvato la direttiva all’inizio del 2019, ha fatto espresso riferimento al ruolo chiave che i whistleblower/informatori hanno giocato in recenti scandali di portata mondiale (Panama Papers, cambridge analytica).
Ciò dimostra come l’UE considera l’importanza di questi soggetti nel portare alla luce violazioni e attività illecite che possono recare un danno all’interesse pubblico ed al welfare/benessere dei cittadini e della società.

​La nuova direttiva definisce all’art 5 la “persona segnalante” come la persona fisica che segnala o divulga informazioni sulle violazioni acquisite nell’ambito delle sue attività professionali.​​

La nuova direttiva opera una distinzione basata sulla dimensione delle aziende. L’obbligo di istituire canali di segnalazione interni (art. 8 della direttiva) si applica infatti a organizzazioni con almeno 50 dipendenti (ad eccezione di determinate aziende attive nel settore finanziario, a rischio riciclaggio e finanziamento del terrorismo).
I singoli stati membri possono comunque decidere di estendere applicazione della direttiva a imprese con meno di 50 lavoratori, dopo una valutazione dei rischi.​

​La direttiva richiede poi la creazione di canali di segnalazione sicuri sia interni che esterni, prevedendo inoltre un alto livello di protezione del segnalante contro rischi di ritorsione.

Il cuore della nuova direttiva, e quindi l’intento del legislatore UE, è quello di proteggere le persone segnalanti.​

Alcuni punti chiave:​

  • Sono protetti non solamente i dipendenti che segnalano, ma anche quelli che fanno application per un posto di lavoro, ex dipendenti, giornalisti, ed ogni soggetto che aiuta/coadiuva il segnalante nelle sue azioni.​
  • La protezione che la direttiva accorda a questi soggetti limitata alle segnalazini di violazioni relative a leggi europee (leggi fiscali, riciclaggio, GDPR, ePrivacy).
  • La direttiva allarga il proprio scopo di protezione in relazione alle conseguenze da cui proteggei segnalanti. Protegge il whistleblower da licenziamento, penalizzazioni in materia di carriera lavorativa (trasferimento), altre ritorsioni.​
  • La direttiva facilita la collaborazione tra autorità ed organizzazioni.

Differenze/similitudini tra nuova direttiva ed attuale disciplina italiana

Le condotte/violazioni che posso essere segnalate secondo la nuova direttiva sono ben piu’ estese di quelle previste dalla attuale legge italiana, ed inoltre si riferiscono a leggi e policy di livello UE.​

La nuova direttiva ha inoltre una applicazione più ampia per quanto riguardo la platea di soggetti che possono fare una segnalazione. La legge italiana infatti include solamente i dipendenti nel settore pubblico e privato, nonchè i dipendenti di aziende private che offrono servizi o comunque si relazionano con il settore pubblico. La direttiva UE estende lo scopo a lavoratori autonomi, nonchè I soggetti citati sopra.

La legge italiana è inoltre limitata, nel settore privato, a quelle aziende che hanno adottato il Modello 231, come visto sopra.

Scopri come semplificare la costruzione del Modello 231 qui.

Tra le similitudini, dobbiamo notare che sia la nuova direttiva UE che la legge italiana tutelano segnalazioni interne ed esterne.

Si dovrà comunque attendere l’implementazione della nuova direttiva UE da parte del legislatore italiano per il tramite di una legge nazionale.

Il whistleblowing sotto gli occhi del garante

Le pratiche ed i sistemi di whistleblowing all’interno di organizzazioni sono da tempo al centro di audit e controlli del Garante Privacy. L’attivita ispettiva del Garante per il periodo Luglio – Dicembre 2020 si concentrerà infatti su accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di, tra le altre cose, trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing).​

Materiali aggiuntivi ed articoli di approfondimento:

Segui gli ultimi sviluppi in materia di whistleblowing in Italia qui.

Accedi ad ulteriori articoli di approfondimento in materia di whistleblowing qui e qui.

Articoli correlati

Noleggia una Tesla per il tuo evento ICT!

Categorie