Si avvicina il 17 dicembre, data in cui la normativa whistleblowing si applicherà anche alle imprese con più di 49 dipendenti. L’obbligo viene esteso anche alle imprese che abbiano adottato il sistema di gestione 231/2001 a prescindere dal numero di dipendenti.
Per gli adempimenti o per maggiori informazioni il nostro ufficio legale è a disposizione delle imprese: scrivi una email a privacy@assimprese.bo.it
La normativa Whistleblowing
Le disposizioni in materia di whistleblowing (la denuncia di attività illecite o fraudolente) sono entrate in vigore dal 15 luglio 2023 per le aziende del settore privato che impiegano una media di almeno 250 lavoratori subordinati con contratti a tempo indeterminato o determinato nell’ultimo anno.
Dal prossimo 17 dicembre 2023 queste norme si applicheranno dunque anche alle imprese con più di 49 dipendenti.
Chi viene tutelato dalla normativa
La norma tutela tutti i lavoratori subordinati, i lavoratori autonomi, i liberi professionisti, i volontari, i tirocinanti, gli azionisti, i candidati, gli ex dipendenti e coloro che ricoprono ruoli di amministrazione, direzione, controllo o vigilanza. Inoltre si estende anche ai facilitatori, che possono essere colleghi, parenti o affetti stabili nell’ambito del medesimo ambito lavorativo, di chi effettua la segnalazione.
Come fare una segnalazione di atti illeciti
I canali di segnalazione interna
Il decreto prevede che le organizzazioni private predispongano appositi canali di segnalazione interna che siano in grado di garantire la riservatezza della identità del segnalante e del contenuto della segnalazione. Ciò può avvenire anche attraverso l’uso di strumenti di crittografia end-to-end.
Le segnalazioni possono essere fatte per iscritto o verbalmente. In quest’ultimo caso, ad esempio, attraverso un colloquio diretto, tramite linee telefoniche o sistemi di messaggistica vocale. Il soggetto o l’ufficio incaricato di ricevere le segnalazioni deve confermare il ricevimento della segnalazione entro 7 giorni e fornire una risposta entro 3 mesi.
I canali di segnalazione esterna
Il decreto prevede anche un canale di segnalazione esterna gestito dall’A (Anacutorità Nazionale Anticorruzione). Qui il segnalatore può rivolgersi qualora il canale di segnalazione interno all’organizzazione non sia presente, o non sia attivo, o non rispetti le prescrizioni previste.
La gestione del canale di segnalazione interna
La gestione del canale di segnalazione, e di tutte le attività correlate, deve essere affidata a soggetti adeguatamente formati che possono essere interni o esterni all’organizzazione. A questi deve essere conferito un incarico formale attraverso una lettera di incarico che deve essere sottoscritta per accettazione dall’interessato.
Se l’azienda decide di affidare la gestione del canale a un responsabile esterno, questo deve essere nominato come responsabile del trattamento, in piena conformità con le disposizioni del GDPR. Il contratto tra l’azienda e il gestore/fornitore deve chiaramente dettagliare i compiti e le responsabilità dello stesso a garanzia della sicurezza dei dati e la conformità normativa. Sarà fondamentale stabilire procedure di sicurezza e audit per monitorare le attività del fornitore.
Quali sono le sanzioni e le tutele previste dalla norma whistleblowing
L’Anac ha il potere di applicare sanzioni amministrative in caso di violazioni, tra cui l’omissione dei canali di segnalazione o l’ostacolo alle segnalazioni.
Il decreto sancisce il divieto di ritorsioni o discriminazioni nei confronti dei segnalatori. La normativa protegge ulteriormente i segnalatori rendendo nullo il licenziamento in caso di segnalazione di violazioni.
Il trattamento dei dati personali
Il decreto richiede che i trattamenti dei dati personali relativi alle segnalazioni siano conformi al Regolamento (UE) 2016/679 in materia di protezione dei dati (GDPR). Questo assicura che le informazioni dei segnalatori siano trattate in modo sicuro e rispettoso della privacy.
È inoltre obbligatorio aggiornare il registro dei trattamenti per includere questa specifica attività, in piena conformità con le direttive del GDPR.
Infine è essenziale fornire tutte le informazioni sulla privacy aggiornate in merito al whistleblowing a tutti i soggetti interessati.
La valutazione d’impatto
Un altro aspetto importante è la redazione di una valutazione d’impatto sulla protezione dei dati (DPIA), un documento che il titolare del trattamento deve redigere se il trattamento dei dati può comportare un rischio elevato per i diritti e le libertà delle persone. Questo è particolarmente rilevante nel caso delle attività di whistleblowing, poiché il DPIA permette di valutare accuratamente le misure da adottare per garantire la compliance con il GDPR.
