I termini whistleblowing e whistleblower derivano dall’inglese whistle – letteralmente fischietto – e definiscono il sistema di gestione delle segnalazioni e colui il quale segnala.

Il Whistleblowing è un sistema di gestione delle segnalazioni che garantisce la protezione della persona fisica che segnala violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico, l’integrità dell’amministrazione pubblica o dell’ente privato di cui la persona sia venuta a conoscenza in un contesto lavorativo pubblico o privato.

La normativa vigente è rappresentata dal Decreto del 10 marzo 2023 n.24, pubblicato in Gazzetta Ufficiale n.63 del 15-03-2023, in vigore dal 30 marzo 2023.

Il Decreto italiano ha recepito la Direttiva europea 2019/1937, riguardante protezione delle persone che segnalano le violazioni del diritto dell’Unione.

Le disposizioni del decreto hanno effetto a decorrere dal 15 luglio 2023.

Alle segnalazioni o alle denunce all’autorità giudiziaria o contabile effettuate precedentemente alla data di entrata in vigore del presente decreto, nonché a quelle effettuate fino al 14 luglio 2023, continuano ad applicarsi le previgenti disposizioni normative.

Per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato, fino a duecentoquarantanove, l’obbligo di istituzione del canale di segnalazione interna ai sensi del presente decreto ha effetto a decorrere dal 17 dicembre 2023 e, fino ad allora, continua ad applicarsi la previgente normativa.

• Per il settore pubblico, ad esempio, le amministrazioni pubbliche, le autorità amministrative indipendenti di garanzia, vigilanza o regolazione, gli enti pubblici economici, gli organismi di diritto pubblico, i concessionari di pubblico servizio, le società a controllo pubblico e le società in house;
• Per il settore privato, i soggetti che:

1) hanno impiegato, nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;

2) rientrano nell’ambito di applicazione degli atti dell’Unione di cui alle parti I.B e II dell’allegato, anche se nell’ultimo anno non hanno raggiunto la media di lavoratori subordinati di cui al numero 1);

3) sono diversi dai soggetti di cui al numero 2), rientrano nell’ambito di applicazione del decreto legislativo 8 giugno 2001, n. 231, e adottano modelli di organizzazione e gestione ivi previsti, anche se nell’ultimo anno non hanno raggiunto la media di lavoratori subordinati di cui al numero 1).

La Direttiva europea e il Decreto italiano garantiscono la privacy e la riservatezza del segnalante al fine di proteggerlo da atti di ritorsione, come:

• il licenziamento, la sospensione o misure equivalenti;
• la retrocessione di grado o la mancata promozione;
• il mutamento di funzioni, il cambiamento del luogo di lavoro, la riduzione dello stipendio, la modifica dell’orario di lavoro
• l’adozione di misure disciplinari o di altra sanzione, anche pecuniaria;
• la coercizione, l’intimidazione, le molestie o l’ostracismo;
• il mancato rinnovo, la risoluzione anticipata di un contratto di lavoro a termine o la mancata conversione di un contratto di lavoro a termine in un contratto di lavoro a tempo indeterminato, laddove il lavoratore avesse una legittima aspettativa a detta conversione;
• i danni, anche alla reputazione della persona, in particolare sui social media, comprese la perdita di opportunità economiche e la perdita di redditi;
• la richiesta di sottoposizione ad accertamenti psichiatrici o medici.

Ovviamente, è richiesto che il trattamento dei dati personali avvenga nel rispetto del GDPR.

Nel Decreto vengono elencate le persone (fisiche) segnalanti a cui è possibile applicare le misure di protezione previste, e l’elenco è lunghissimo.
A titolo di esempio, si citano:

• i dipendenti delle amministrazioni pubbliche, i dipendenti degli enti pubblici economici, degli enti di diritto privato sottoposti a controllo pubblico, delle società in house, degli organismi di diritto pubblico o dei concessionari di pubblico servizio;
• i lavoratori subordinati di soggetti del settore privato;
• i lavoratori autonomi, i liberi professionisti e i consulenti che prestano la propria attività presso soggetti del settore pubblico o del settore privato;
• i volontari e i tirocinanti, retribuiti e non retribuiti, che prestano la propria attività presso soggetti del settore pubblico o del settore privato;
• gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza;
• i facilitatori;
• le persone del medesimo contesto lavorativo della persona segnalante e che sono legate ad essi da uno stabile legame affettivo o di parentela entro il quarto grado;
• i colleghi di lavoro della persona segnalante che lavorano nel medesimo contesto lavorativo della stessa e che hanno con detta persona un rapporto abituale e corrente;

Anche quando:

• il rapporto giuridico non è ancora iniziato, se le informazioni sulle violazioni sono state acquisite durante il processo di selezione o in altre fasi precontrattuali;
• durante il periodo di prova;
• successivamente allo scioglimento del rapporto giuridico se le informazioni sulle violazioni sono state acquisite nel corso del rapporto stesso.

Il Decreto elenca tra le «violazioni» oggetto di tutela:

• le «condotte illecite rilevanti ai sensi del decreto legislativo 8 giugno 2001, n. 231, o violazioni dei modelli di organizzazione e gestione ivi previsti, che non rientrano nei numeri 3), 4), 5) e 6)»;
• gli illeciti riferiti ai seguenti molteplici settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi.

Altre disposizioni normative prevedono l’utilizzo di un canale di segnalazione Whistleblowing:

• La UNI/PdR 125 per la Parità di Genere
• Il Codice Appalti
• Alcuni standard internazionali in materia di sostenibilità

Il Decreto definisce i passi necessari per una corretta gestione del canale di segnalazione, stabilendo che la persona o l’ufficio interno dedicati debbano svolgere le seguenti attività:

a) rilasciare alla persona segnalante avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione;

b) mantenere le interlocuzioni con la persona segnalante e richiedere a quest’ultima, se necessario, integrazioni;

c) dare diligente seguito alle segnalazioni ricevute;

d) fornire riscontro alla segnalazione entro tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;

e) mettere a disposizione informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne. Le suddette informazioni sono esposte e rese facilmente visibili nei luoghi di lavoro, nonché accessibili alle persone che pur non frequentando i luoghi di lavoro intrattengono un rapporto giuridico con l’organizzazione. Se dotati di un proprio sito internet pubblicare le informazioni di cui alla presente lettera anche in una sezione dedicata del suddetto sito.

Abbiamo preparato una check list, per richiederla, puoi contattarci all’indirizzo mail info@ethicpoint.eu

Le aziende che rientrano nell’ambito di applicazione del decreto devono attivare propri canali di segnalazione affidati a una persona o a un ufficio interno, ovvero a soggetto esterno, autonomi e con personale specificamente formato. L’implementazione è quindi obbligatoria.

• da 10.000 a 50.000 euro quando accerta che sono state commesse ritorsioni o quando accerta che la segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza.
• da 10.000 a 50.000 euro quando accerta che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero che l’adozione di tali procedure non è conforme, nonché quando accerta che non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute;
• da 500 a 2.500 euro, se la persona segnalante è stata condannata, anche in primo grado, per i reati di diffamazione o di calunnia o comunque per i medesimi reati commessi con la denuncia all’autorità giudiziaria o contabile; se i soggetti del settore privato prevedono nel sistema disciplinare 231 adottato, sanzioni nei confronti di coloro che accertano essere responsabili degli illeciti di cui al comma 1.

Come ideatore del progetto Ethic Point, Audit People propone e fornisce un servizio Whistleblowing indipendente e certificato, gestito da un team qualificato in grado di supportare le diverse esigenze aziendali attraverso progetti personalizzati.