A partire dal 17 dicembre 2023, si amplia la platea dei soggetti obbligati ad adeguarsi alla disciplina whistleblowing.
Il whistleblowing è uno strumento giuridico volto a rafforzare la tutela delle persone che segnalano la violazione di normative, nazionali o europee, e la conseguente lesione dell’interesse pubblico o dell’ente.
I destinatari della disciplina
I destinatari della disciplina (decreto legislativo n. 24/2023, che ha recepito nell’ordinamento italiano la direttiva UE 2019/1937) sono:
- soggetti privati con una media di almeno 50 lavoratori subordinati nell’ultimo anno
- soggetti privati che operano nei settori dei servizi, prodotti e mercati finanziari, prevenzione del riciclaggio e del finanziamento del terrorismo, nonché della sicurezza dei trasporti (senza numero minimo di lavoratori subordinati)
- soggetti privati che si siano dotati di un modello organizzativo e gestione 231 (senza numero minimo di lavoratori subordinati)
- soggetti pubblici (amministrazioni pubbliche, le autorità amministrative indipendenti, gli enti pubblici economici, i concessionari di pubblico servizio, le imprese a controllo pubblico e le imprese in house, anche se quotate).
Per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati fino a 249, con contratti di lavoro a tempo indeterminato o determinato, l’obbligo di istituire un canale interno di segnalazione decorre dal 17 dicembre 2023.
Condotte segnalabili
Non ogni condotta può essere oggetto di segnalazione, ma quei comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, non invece le contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale.
Come adeguarsi all’obbligo normativo
Per adeguarsi alla normativa, i soggetti pubblici e privati devono impostare una procedura dedicata alla gestione delle segnalazioni, attivando degli specifici canali di segnalazione gestiti da personale dedicato e appositamente formato o in alternativa anche da soggetto esterno autonomo.
Sarà importante adeguare all’introduzione della nuova procedura quanto già in essere all’interno dell’organizzazione, ad esempio in materia di 231, regolamenti, policy e codice etico.
Infine, ma non per importanza, sarà fondamentale l’attività lato “privacy”, per garantire la riservatezza dei dati e delle informazioni trattati in occasione delle segnalazioni. A tal fine, è necessario fornire adeguate informative sul trattamento dei dati personali al segnalante e alla o alle persone coinvolte, individuare correttamente i soggetti chiamati a gestire le segnalazioni ai sensi del GDPR e analizzare, valutare e minimizzare in maniera attenta i rischi che possono derivare con la redazione di una DPIA sui canali di segnalazione scelti.