Il D. Lgs. n. 24/2023, pubblicato il 16 marzo scorso, che ha dato attuazione alla direttiva Europea in tema whistleblowing, ha introdotto importanti tutele per il soggetto che denuncia illeciti consumati all’interno dell’organizzazione di appartenenza, imponendo una serie di obblighi a carico degli enti.

La normativa è già divenuta applicabile per gli enti del settore pubblico, per i soggetti del settore privato che hanno impiegato nell’ultimo anno una media di lavoratori subordinati di 250 unità e per i soggetti che operano in settori particolari (servizi, prodotti e mercati finanziari, prevenzione del riciclaggio e del finanziamento del terrorismo, tutela dell’ambiente e della sicurezza dei trasporti).

Dal prossimo 17 dicembre, la normativa si applicherà anche ai soggetti del settore privato che:

  • hanno impiegato, nell’ultimo anno, una media di almeno 50 lavoratori subordinati;
  • hanno adottato Modelli Organizzativi ex D. Lgs. 231/2001 se nell’ultimo anno hanno raggiunto la media di almeno 50 lavoratori subordinati;
  • hanno adottato Modelli Organizzativi ex D. Lgs. 231/2001 anche se non hanno raggiunto la media di 50 lavoratori subordinati, ma in questo caso potranno essere oggetto di segnalazione solo le violazioni ex D. Lgs. 231/2001.

La normativa fornisce regole procedurali molto puntuali e precise che lasciano poco spazio di azione agli enti, anche tenuto conto delle altrettanto stringenti indicazioni contenute nelle Linee Guida adottate da ANAC nel mese di luglio del 2023.

È evidente, dunque, che l’impatto del D. Lgs. 24/2023 sugli enti del settore privato anche di piccole e medie dimensioni sarà molto significativo.

Cosa fare dunque?

Innanzitutto, occorre istituire il canale interno di segnalazione e ciò significa, da un lato, determinare le modalità con cui il segnalante potrà inviare le segnalazioni e, dall’altra, individuare il soggetto (interno o esterno) deputato alla gestione delle stesse.

In questi primi mesi di applicazione, abbiamo visto che la maggior parte degli enti hanno optato per l’utilizzo di piattaforme informatiche; ciò probabilmente anche in considerazione del parere di ANAC che ha ritenuto la posta elettronica uno strumento non adeguato a garantire la riservatezza.

Numerose quindi le piattaforme disponibili sul mercato che garantiscono la riservatezza dell’identità del segnalante, del segnalato, del contenuto della segnalazione e della relativa documentazione mediante l’utilizzo di protocolli sicuri e strumenti di crittografia. Molte piattaforme, inoltre, consentono di inviare anche segnalazioni in forma orale, tramite la registrazione di un messaggio vocale, ed alcune anche di gestire le eventuali richieste di incontro diretto con il soggetto deputato alla gestione delle segnalazioni. In questo modo, viene garantita la facoltà del segnalante, normativamente prevista, di scegliere tra più modalità di inoltro della segnalazione.

Per quanto concerne la scelta del soggetto incaricato della gestione delle segnalazioni, potrà optarsi per un soggetto/ufficio interno all’ente con personale dedicato, anche se non in via esclusiva, oppure avvalersi di un soggetto esterno. La decisione è rimessa all’autonomia organizzativa di ciascun ente. Al riguardo ANAC precisa che deve trattarsi di un soggetto che possieda requisiti di autonomia, imparzialità ed indipendenza e formato sulla disciplina del whistleblowing (cita, dunque, a titolo di esempio gli organi di internal audit, l’Organismo di Vigilanza ex D. Lgs. 231/2001, i comitati etici).  È evidente, dunque, come per gli enti di piccole o medie dimensioni la scelta comporti valutazioni approfondite, potendo risultare non agevole.

Posto poi che è previsto l’obbligo di “mettere a disposizione” informazioni chiare sul canale di segnalazione interno (ma anche su quello c.d. esterno attivato da ANAC) e sulle modalità e presupposti per effettuare le segnalazioni, occorrerà redigere una procedura specifica che dovrà essere resa disponibile ai potenziali segnalanti, anche mediante pubblicazione sul sito internet aziendale.

Dovranno inoltre effettuarsi tutti gli adempimenti in materia di protezione dei dati personali tra cui la predisposizione delle informative sul trattamento dei dati per il segnalante e per le persone coinvolte nella segnalazione, la definizione dei ruoli e dei rapporti con il soggetto deputato alla gestione delle segnalazioni (autorizzato o responsabile ex art. 28 del Regolamento UE 2016/679), l’aggiornamento del registro dei trattamenti. Imprescindibile inoltre, proprio perché espressamente previsto dal D. Lgs. 24/2023, la valutazione di impatto volta a stabilire se le misure tecniche e organizzative adottate siano inidonee a garantire un livello di sicurezza adeguato agli specifici rischi che derivano dai trattamenti effettuati.

Non si trascuri, inoltre, il necessario “passaggio” con le rappresentanze sindacali o le organizzazioni sindacali di cui all’art. 51 del D. Lgs. 81/2005, che devono essere informate prima dell’adozione dell’intero sistema. Il D. Lgs. 24/2023 prevede, infatti, che debbano essere sentite. 

Da ultimo, a conferma del sempre maggiore interesse per la materia, si segnala che ANAC ha pubblicato il nominativo degli enti del “Terzo Settore” con cui è stata stipulata una convenzione per garantire misure di sostegno ai segnalanti (vale a dire informazioni, assistenza e consulenze a titolo gratuito sulle modalità di segnalazione e sulla protezione dalle ritorsioni, sui diritti della persona coinvolta e sull’accesso al patrocinio a spese dello Stato). Attualmente sono 6 gli enti iscritti nell’elenco istituito da ANAC.

Ovviamente quanto esposto non ha pretesa di completezza, ma rappresenta solo una sintesi delle valutazioni da effettuare e degli adempimenti da attuare. Si comprende, dunque, come sia necessario attivarsi fattivamente, in vista del termine del 17 dicembre.