INDICE
Il D.Lgs. 10 marzo 2023, n. 24 “Protezione delle persone che segnalano violazioni” introduce la nuova disciplina del whistleblowing in Italia.
Con il termine di whistleblowing si intende la segnalazione da parte di un soggetto (whistleblower) di un illecito commesso da parte di una Società, del quale si è venuti a conoscenza nell’esercizio delle proprie funzioni.
A partire dal 15 luglio 2023 enti ed Imprese con 250 o più dipendenti dovranno ottemperare agli obblighi previsti dal decreto. Dal 17 dicembre 2023, l’obbligo ricade anche per le aziende con più di 50 dipendenti.
Qual è lo scopo del decreto sul whistleblowing?
Il D.Lgs. 24/2023 recepisce la direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”.
La nuova disciplina mira a proteggere le persone che segnalano violazioni capaci di ledere l’interesse o l’integrità aziendale.
Oltre al soggetto segnalante, c’è l’obiettivo di proteggere anche i cosiddetti facilitatori ossia i soggetti preposti ad assistere il segnalante nel processo di segnalazione come, ad esempio, i colleghi di lavoro.
Chi è coinvolto?
Il D.Lgs. 24/2023 ha ampliato l’ambito di applicazione dell’istituto del whistleblowing, estendendone il campo di azione a tutte le società che:
- hanno impiegato nell’ultimo anno una media di almeno 50 lavoratori subordinati;
- operano in settori regolamentati a livello europeo (ad esempio i mercati finanziari) a prescindere dal numero di dipendenti;
- rientrano nel campo di applicazione del D.Lgs. 231/2001 e adottano un modello organizzativo, sempre a prescindere dal numero dei dipendenti.
Cosa devono fare le aziende per tutelare il whistleblowing?
Il Garante della Privacy ha prescritto che le aziende dovranno mettere in atto una serie di adempimenti diretti a rendere effettiva la tutela.
In particolare, dovranno attivare canali di segnalazione interna che garantiscano, anche tramite strumenti di crittografia, la riservatezza dell’identità del segnalante, del segnalato, del contenuto, dei documenti e delle persone comunque menzionate nella segnalazione.
Dovrà essere fornita idonea informativa sul trattamento dei dati ai sensi dell’art. 13 del GDPR e il Titolare del trattamento dovrà stabilire i tempi di conservazione della segnalazione, nominare e istruire i soggetti incaricati alla gestione delle stesse ed effettuare una valutazione d’impatto privacy (DPIAData Protection Impact Assessment La DPIA è un processo che deve essere condotto dal titolare e/o dal responsabile, consultando il DPO, per eseguire una valutazione delle attività di trattamento a rischio elevato a valle della quale, eventualmente, si rende necessario richiedere un parere del Garante per la Protezione dei Dati Personali.) ai sensi dell’art. 35 del GDPR.
La gestione del canale di segnalazione potrà essere affidata anche ad un soggetto esterno specificando che è previsto l’obbligo di rilasciare al segnalante un avviso di ricevimento della segnalazione entro sette giorni ed un riscontro alla segnalazione entro 30 giorni.
Tutti i potenziali segnalanti dovranno essere resi edotti delle procedure previste per effettuare le segnalazioni mediante informazioni chiare e precise che l’azienda dovrà rendere facilmente individuabili all’interno dei luoghi di lavoro o in una sezione dedicata del sito internet, se esistente.
Quali sono le possibili sanzioni?
L’Anac (l’Autorità Nazionale Anticorruzione) potrà applicare le seguenti sanzioni amministrative pecuniarie:
- da 10.000 a 50.000 euro nei casi in cui vengano commesse ritorsioni o quando viene accertato che una segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza,
- da 10.000 a 50.000 euro nel caso in cui Anac accerti che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni,
- da 500 a 2.500 euro nel caso in cui venga accertata la responsabilità penale della persona segnalante per i reati di diffamazione o di calunnia.
Restano, poi, valide, in caso di violazioni della normativa privacy, le sanzioni previste dal GDPR.
Blumatica, grazie all’esperienza ventennale in materia, ha sviluppato un’applicazione completamente web che consente di gestire la Data Protection per qualunque tipologia di organizzazione.
Blumatica GDPR è il software certificato* che permette di:
- individuare i dati della tua organizzazione ed i soggetti da nominare
- ottenere il registro dei trattamenti conforme alla tua attività
- effettuare l’analisi dei rischi e l’eventuale valutazione di impatto sulla protezione dati (DPIAData Protection Impact Assessment La DPIA è un processo che deve essere condotto dal titolare e/o dal responsabile, consultando il DPO, per eseguire una valutazione delle attività di trattamento a rischio elevato a valle della quale, eventualmente, si rende necessario richiedere un parere del Garante per la Protezione dei Dati Personali.)
- generare in automatico le informative ed i consensi in base ai trattamenti che effettui
* Il software è risultato conforme ai requisiti del Regolamento UE 2016/679 mediante processo di certificazione da parte di Ente terzo.
Responsabile Ricerca e Sviluppo Area Sicurezza
VERA
21 Novembre 2023 at 13:36
Buongiorno, volevo chiedere informazioni in merito alla possibilità di accedere a un servizio whistleblowing
Ufficio Blumatica
21 Novembre 2023 at 15:32
Salve, verrà contattata da un nostro commerciale che le darà tutte le informazioni a riguardo.
Grazie per la richiesta. Cordiali saluti.