La Direttiva UE sul Whistleblowing - Cosa cambia in Italia nel 2023

La Direttiva Europea sul Whistleblowing (2019/1937), in vigore a partire dal 17 dicembre 2021, prevede l’adozione di nuovi standard di protezione a favore dei “whistleblower” (in italiano “segnalanti”).

A partire da questa data, le aziende e organizzazioni con più di 250 dipendenti sono obbligate a dotarsi di un sistema di segnalazione interno. Non solo: entrano in vigore nuove modalità di tutela dei dati sensibili raccolti così come serrate scadenze per la comunicazione con i segnalanti. Leggi il nostro articolo qui sotto e scarica gratuitamente il whitepaper per scoprire di più!

Nella guida troverai:

Una panoramica completa di tutti i requisiti e obblighi introdotti dalla Direttiva Europea sul Whistleblowing;
Una checklist per valutare se il vostro canale di segnalazione è compliant e/o per scegliere uno strumento alternativo;
Una proposta di soluzione immediata grazie all'utilizzo del nostro canale di segnalazione online: EQS Integrity Line.

Panoramica della Direttiva UE sul Whistleblowing

I whistleblower sono fondamentali per mantenere una società aperta e trasparente, in quanto denunciano atti illeciti e irregolarità. Per garantire che i segnalanti vengano protetti adeguatamente da eventuali ritorsioni, il 16 dicembre 2019 è stata pubblicata la Direttiva UE 2019/1937 sul Whistleblowing.

Gli obiettivi della Direttiva Europea sul Whistleblowing sono:

Rilevare e prevenire comportamenti scorretti e violazioni di leggi e regolamenti;
Migliorare l'applicazione della legge implementando canali di segnalazione efficaci, affidabili e sicuri per proteggere i segnalanti da eventuali ritorsioni;
Proteggere i whistleblower aiutandoli a denunciare atti illeciti o irregolarità in modo sicuro, garantendo la possibilità di segnalare in modo anonimo.

Il recepimento della Direttiva 2019/1937 in Italia

Il termine per il recepimento delle Direttiva UE sul Whistleblowing è scaduto lo scorso 17 dicembre 2021; come si può osservare dall’immagine qui sotto, diversi sono gli Stati membri che non hanno ancora provveduto al recepimento della normativa nei rispettivi ordinamenti.

Prima dell’arrivo della nuova legge italiana sul whistleblowing, quest’ultimo era regolato dalla Legge 179 del 2017, che aveva introdotto l’obbligo di dotarsi di canali di segnalazioni anche per le aziende del settore privato dotate di modello organizzativo 231, integrando in questo modo la preesistente disciplina prevista per il settore pubblico (art. 54-bis, D. Lgs. n. 165/2001).

Diversi sono stati gli esponenti che hanno denunciato nei mesi precedenti il recepimento l’inerzia dello Stato italiano circa la trasposizione della Direttiva UE sul Whistleblowing nel nostro ordinamento nazionale, visto il termine scaduto a fine 2021. Tra questi la Ministra della Giustizia, Marta Cartabia, che nel febbraio 2022 aveva definito urgente il recepimento della normativa, l’ONG The Good Lobby Italia insieme a Giuseppe Busia, Presidente dell’Autorità nazionale anticorruzione (ANAC), che avevano lanciato un nuovo appello alla Camera durante il World Whistleblower Day (23 giugno).

Il 2 agosto 2022, la Camera dei Deputati ha approvato il Disegno di legge, recante “Delega al Governo per il recepimento delle direttiva europee e l’attuazione di altri atti normativi dell’Unione Europea – Legge di delegazione europea 2021”. Tra le direttive europee si trova la numero 1937 del 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (chiamata in breve “Direttiva Whistleblowing”).
Il 10 settembre 2022 è entrata ufficialmente in vigore la legge recante delega al governo che prevedeva un nuovo termine per il recepimento della normativa, fissato a 90 giorni (10 dicembre).
Venerdì 9 dicembre, a 24 ore dalla scadenza della legge delega, il Consiglio dei Ministri ha approvato lo schema di decreto legislativo per procedere all’attuazione del recepimento della Direttiva UE 1937/2019 in materia di whistleblowing. Il passaggio successivo ha visto le Commissioni Parlamentari raccogliere i pareri di diversi esponenti, come il Garante Privacy, Confindustria, la società civile.

Il 9 marzo 2023 il Consiglio dei Ministri ha approvato il decreto legislativo recante attuazione della Direttiva UE 1937/2019 in materia di whistleblowing e la nuova legge italiana sul Whistleblowing (d.lgs n.24) è entrato ufficialmente in vigore.

Le aziende italiane pubbliche e private con più di 250 dipendenti sono chiamate a implementare un sistema di segnalazione di illeciti interno entro il 15 luglio, mentre quelle con più di 50 dipendenti hanno tempo fino al 17 dicembre per adeguarsi ai nuovi requisiti.

La protezione dei segnalanti è al centro della Direttiva sul Whistleblowing

Il tema principale della Direttiva è la protezione dei segnalanti. Ecco i punti essenziali:

La protezione non viene garantita solo ai dipendenti che effettuano la segnalazione, ma anche ai clienti, fornitori, tirocinanti, candidati, ex dipendenti, giornalisti...;
Le persone coinvolte sono protette dal licenziamento, dal demansionamento e da altre forme di discriminazione;
La protezione si applica solo alle segnalazioni di illeciti relativi al diritto dell'UE, come frode fiscale, riciclaggio di denaro o reati in materia di appalti pubblici, sicurezza dei prodotti e stradale, protezione dell'ambiente, salute pubblica e tutela dei consumatori e dei dati;
Il segnalante può scegliere se riportare un sospetto all'interno dell'azienda o direttamente all'autorità di vigilanza competente. Se non accade nulla in risposta a tale segnalazione, o se il segnalante ha motivo di ritenere che sia nell'interesse pubblico, può rivolgersi direttamente ai media. I segnalanti sono protetti in entrambi i casi.

Con queste misure protettive l’UE garantisce ai segnalanti che non devono temere ritorsioni e allo stesso tempo incoraggia le persone a segnalare le violazioni all’interno dell’azienda.

Chi è interessato dalla Direttiva?

Le aziende con più di 50 dipendenti, le istituzioni del settore pubblico, le autorità e i Comuni con più di 10.000 abitanti sono obbligati a predisporre adeguati canali di segnalazione interni. Le aziende con più di 249 dipendenti sono tenute ad allinearsi entro il 17 dicembre 2019. Quelle tra i 50 e 250 dipendenti, hanno tempo fino al 17 dicembre 2023 per adeguarsi ai nuovi requisiti.

I segnalanti devono avere la possibilità di inviare segnalazioni sia per iscritto (attraverso una piattaforma online, un indirizzo e-mail o per posta) sia a voce (tramite una hotline telefonica o un sistema di segreteria telefonica). Sono tutelati non solo i dipendenti che segnalano illeciti, ma anche i candidati a una posizione lavorativa all’interno dell’azienda, gli ex dipendenti, i sostenitori del whistleblower o i giornalisti.

La protezione dei whistleblower si riferisce alla segnalazione di illeciti relativi al diritto dell’UE, come frode fiscale, riciclaggio di denaro o reati relativi agli appalti pubblici, alla sicurezza dei prodotti e dei trasporti, alla protezione dell’ambiente, alla salute pubblica e alla protezione dei consumatori e dei dati.

Tuttavia, l’Unione Europea incoraggia i legislatori nazionali a estendere tale ambito anche nelle rispettive legislazioni nazionali.

Gli obblighi della Direttiva UE per le aziende:

Protezione dei dati

Tutti i dati personali, sia del segnalante che degli eventuali imputati, devono essere trattati nel rispetto del GDPR.

Responsabilità

Le aziende devono determinare la persona “più adatta” a ricevere e a gestire le segnalazioni. Secondo l’UE, questa potrebbe essere il/la Compliance officer, HR Manager, Legal counsel, Chief Financial Officer (CFO), Executive board member o il management.

Le aziende possono anche esternalizzare la gestione delle segnalazioni, ad esempio affidandola a un difensore civico esterno.

Tempistiche

Le aziende devono confermare la ricezione della segnalazione al segnalante entro sette giorni. Il whistleblower deve essere informato di qualsiasi azione intrapresa entro tre mesi, dello stato dell’indagine interna e del suo esito.

Obbligo di informazione

Le aziende sono tenute a fornire all’autorità competente informazioni sul processo di segnalazione interno nonché sui canali di whistleblowing. Queste informazioni devono essere facilmente comprensibili e accessibili, non solo ai dipendenti, ma a tutti gli stakeholder.

Archiviazione dei dati

Tutte le segnalazioni ricevute devono essere conservate in luogo sicuro in modo che possano essere utilizzate come prove, se necessario.

Eccezioni

Le aziende con un numero di dipendenti compreso tra 50 e 250 possono utilizzare un canale di segnalazione condiviso per ottenere e identificare le prove, a condizione che siano rispettati tutti gli obblighi delineati.

Sanzioni

La Direttiva UE sul Whistleblowing include anche dettagli sulle sanzioni. Le aziende che ostacolano o tentano di ostacolare la segnalazione di irregolarità subiranno sanzioni. Lo stesso vale se le aziende non mantengono riservata l’identità del segnalante. Saranno punite anche le ritorsioni nei confronti dei whistleblower. È compito dei legislatori nazionali determinare la gravità di tali sanzioni.

La Direttiva beneficia non solo i segnalanti, ma porta vantaggi significativi anche alle aziende: garantendo la possibilità di riportare internamente illeciti e sospetti, le aziende possono identificare e gestire il rischio tempestivamente, limitando i danni finanziari e reputazionali.

Tutte le informazioni sulla Direttiva 2019/1937, inclusa una checklist, sono disponibili nel nostro whitepaper!

Si devono tenere in considerazione i seguenti aspetti:

Garantire la riservatezza dell'identità e la sicurezza delle informazioni

Indipendentemente dal canale di segnalazione utilizzato, l'identità del segnalante deve essere protetta. Tutti i dati devono essere trattati in conformità con il GDPR.

Canale di segnalazione interno o esterno?

Se i canali di segnalazione interni non dovessero essere implementati, i segnalanti potranno rivolgersi solo alle autorità pubbliche o ai media. Questo si traduce in gravi rischi a livello finanziario e reputazionale per le aziende.

Cosa succede dopo che è stata effettuata una segnalazione?

Poiché tutte le segnalazioni devono essere documentate e devono essere adottate misure di follow-up, ogni segnalazione deve essere facilmente accessibile ai Compliance Officer per gestire le fasi successive.

Durata dell'implementazione

La durata dell'implementazione del sistema di segnalazione dipende dalle dimensioni e dalla complessità della struttura organizzativa. In generale, il processo richiede da alcune settimane fino a un paio di mesi.

Next steps & Consigli

La Direttiva UE sul Whistleblowing è stata pubblicata il 16 dicembre 2019. Gli Stati membri dell’UE devono recepire i requisiti nella propria legislazione nazionale entro due anni. Le aziende con più di 250 dipendenti devono adempiere ai propri obblighi entro il 17 Dicembre 2021, mentre le aziende con 50-250 dipendenti entro il 17 Dicembre 2023.

Il Whistleblowing Report 2021 mostra i benefici concreti che derivano da una corretta implementazione di canali di segnalazione interni nelle aziende europee. Molte aziende hanno infatti già attivato in modo proattivo canali di whistleblowing e ricevuto segnalazioni che hanno permesso loro di gestire meglio i rischi al loro interno.

Implementare i sistemi di whistleblowing interni e impostare i processi

La libertà di scelta per i segnalanti in termini di canale di whistleblowing è un aspetto che le aziende devono tenere in considerazione. Se il whistleblower non riesce a trovare canali di segnalazione interni adeguati, può contattare l’autorità competente oppure i media: il peggior scenario per le aziende. È quindi essenziale che all’interno dell’azienda siano disponibili e comunicati adeguatamente canali di segnalazione interni che siano sicuri e affidabili.

Per garantire che i dipendenti si sentano a proprio agio nel denunciare internamente, i canali di segnalazione dovrebbero essere disponibili 24 ore su 24, 7 giorni su 7, offrire la possibilità di anonimato, essere disponibili nelle lingue utilizzate nelle diverse sedi dell’azienda, avere testi esplicativi comprensibili ed essere presentati in modo chiaro grazie a un’efficace strategia di comunicazione interna.

FAQs:

Quale canale di segnalazione è più adatto per le aziende?

Poiché tutte le segnalazioni devono essere documentate e devono essere intraprese azioni di follow-up, ciascuna segnalazione deve essere facilmente accessibile ai Compliance Officer per gestire le fasi successive. Di conseguenza, un sistema di segnalazione dovrebbe essere intuitivo e semplice da utilizzare.

Ancora più importante, al segnalante deve essere garantita la riservatezza della sua identità.

Per questo motivo, i sistemi di whistleblowing digitali che si sono dimostrati sicuri e affidabili sono particolarmente consigliati per le piccole e grandi aziende e per le istituzioni pubbliche. Un sistema certificato per la protezione dei dati e di sicurezza informatica garantisce che i dati non siano accessibili nemmeno al provider. Per motivi di legge sulla protezione dei dati, occorre prestare attenzione anche all’ubicazione dei server del provider.

Le aziende internazionali dovrebbero anche garantire che le segnalazioni possano essere presentate indipendentemente dal luogo e dall’ora, al fine dare la possibilità ai dipendenti internazionali di avere pieno accesso al sistema.

Quanto dura l'implementazione del sistema di whistleblowing?

Si consiglia alle organizzazioni private e pubbliche di dotarsi di un sistema di whistleblowing il prima possibile, poiché l’implementazione può richiedere da poche settimane fino a un paio di mesi, a seconda delle dimensioni e della complessità della struttura organizzativa.

Cosa succede dopo aver ricevuto una segnalazione?

Il segnalante deve essere informato entro un periodo di tempo determinato sulle azioni di follow-up pianificate o intraprese e sui relativi motivi.

Le azioni risolutive potrebbero essere:

§ Il riferimento ad altri canali o procedure di segnalazione che riguardano esclusivamente i diritti individuali del segnalante;

§ Il completamento della procedura per mancanza di prove o altri motivi;

§ L’avvio di indagini interne, eventualmente con indicazione dei risultati e delle eventuali misure per rimediare al problema;

§ Il rinvio a un’autorità competente per ulteriori indagini nella misura in cui queste informazioni non influiscano sulla ricerca interna o sull’indagine e non ledano i diritti della persona interessata dalla segnalazione.

Il segnalante dovrebbe essere regolarmente informato circa lo stato di avanzamento e dei risultati dell’indagine.

Chi si occupa del processo di whistleblowing deve seguire un training apposito per poter gestire le segnalazioni?

Sì, secondo la Direttiva UE sul Whistleblowing, il personale che gestisce le segnalazioni dovrebbe ricevere un training adeguato e avere familiarità con le normative applicabili sulla protezione dei dati. Queste competenze sono necessarie per elaborare le segnalazioni in modo efficiente, per comunicare con il segnalante, anche se sceglie di rimanere anonimo, e per gestire le opportune azioni di follow-up.

Le clausole di fedeltà e riservatezza sono valide?

Secondo la Direttiva, non dovrebbe essere possibile fare affidamento a obblighi legali o contrattuali (come clausole nei contratti o accordi di riservatezza o di non divulgazione) per:

§ escludere la possibilità di segnalazione;
§ rifiutare la protezione dei segnalanti;
§ prevedere sanzioni per la segnalazione o la divulgazione di informazioni sulle violazioni

quando la divulgazione delle informazioni coperte da queste clausole e accordi è necessaria per scoprire la violazione.

In questo caso, i whistleblower non devono essere responsabili ai sensi del diritto civile, penale o amministrativo o in relazione al loro venire meno agli obblighi di riservatezza di cui sopra.

È importante come sono state ottenute le informazioni?

Secondo la Direttiva i segnalanti “laddove abbiano acquisito od ottenuto accesso in modo lecito alle informazioni segnalate o ai documenti contenenti tali informazioni, […] dovrebbero godere di immunità dalla responsabilità. Ciò dovrebbe applicarsi sia nei casi in cui le persone segnalanti rivelano il contenuto di documenti cui hanno lecitamente accesso, sia nei casi in cui fanno copie di tali documenti o li rimuovono dai locali dell’organizzazione presso cui lavorano, in violazione di clausole contrattuali o di altro tipo che stipulano che i documenti in questione sono di proprietà dell’organizzazione. Le persone segnalanti dovrebbero godere di immunità dalla responsabilità anche nei casi in cui l’acquisizione delle informazioni o dei documenti in questione o l’accesso
agli stessi solleva una questione di responsabilità civile, amministrativa o lavorativa.“

O ancora: “Se le persone segnalanti hanno acquisito od ottenuto l’accesso alle informazioni o ai documenti in questione commettendo un reato, come un accesso abusivo o un atto di pirateria informatica, la loro responsabilità penale dovrebbe restare disciplinata dal diritto nazionale applicabile, fatta salva la protezione accordata ai sensi dell’articolo 21, paragrafo 7, della presente direttiva. Analogamente, qualsiasi altra eventuale responsabilità delle persone segnalanti derivante da atti od omissioni che non sono collegati alla segnalazione o non sono necessari per rivelare una violazione ai sensi della presente direttiva dovrebbe restare disciplinata dal diritto dell’Unione o nazionale applicabile”.

In quali ambiti del diritto dell'Unione Europea possono essere inoltrate delle segnalazioni?

Le notifiche contro le violazioni del diritto dell’UE riguardano aree come gli appalti pubblici, i servizi finanziari, il riciclaggio di denaro, la sicurezza dei prodotti e dei trasporti, la sicurezza nucleare, la salute pubblica, la protezione ambientale e la protezione dei consumatori e dei dati.

Scarica ora il whitepaper

Registrati al nostro servizio gratuito di “Compliance News” per rimanere sempre aggiornato/a circa eventi, novità e trend legati alla compliance, alla business ethics e al whistleblowing. Ad avvenuta registrazione riceverai il link per scaricare il white paper. Puoi disiscriverti dalla mailing list in qualsiasi momento.