La Direttiva UE sul Whistleblowing - Cosa cambierà in Italia dal 2022

La Direttiva Europea sul Whistleblowing (2019/1937), in vigore il a partire dal 17 dicembre 2021, prevede l’adozione di nuovi standard di protezione a favore dei “whistleblower” (in italiano “segnalanti”).

A partire da questa data, le aziende e organizzazioni con più di 250 dipendenti sono obbligate a dotarsi di un sistema di segnalazione interno. Non solo: entrano in vigore nuove modalità di tutela dei dati sensibili raccolti così come serrate scadenze per la comunicazione con i segnalanti. Leggi il nostro articolo qui sotto e scarica gratuitamente il whitepaper per scoprire di più!

Nella guida troverai:

Panoramica della Direttiva UE sul Whistleblowing

I whistleblower sono fondamentali per mantenere una società aperta e trasparente, in quanto denunciano atti illeciti e irregolarità. Per garantire che i segnalanti vengano protetti adeguatamente da eventuali ritorsioni, il 16 dicembre 2019 è stata pubblicata la Direttiva UE 2019/1937 sul Whistleblowing.

Gli obiettivi della Direttiva Europea sul Whistleblowing sono:

Il recepimento della Direttiva 2019/1937 in Italia e negli altri Stati membri

Il termine per il recepimento delle Direttiva UE sul Whistleblowing è scaduto lo scorso 17 dicembre 2021; eppure attualmente solo 12 Stati membri hanno provveduto al suo recepimento nei rispettivi ordinamenti, come potete vedere qui. Sebbene anche l’Italia non abbia ancora adeguato la propria disciplina, il nostro Paese non risulta del tutto scoperto di una normativa in merito. Il whistleblowing, infatti, è attualmente regolato dalla Legge 179 del 2017, che aveva introdotto l’obbligo di dotarsi di canali di segnalazioni anche per le aziende del settore privato dotate di modello organizzativo 231, integrando in questo modo la preesistente disciplina prevista per il settore pubblico (art. 54-bis, D. Lgs. n. 165/2001). 

Molti sono gli esponenti che denunciano l’inerzia dello Stato italiano circa il recepimento della Direttiva UE sul Whistleblowing, visto il termine scaduto più di 6 mesi fa e una bozza di legge già pronta. Tra questi la Ministra della Giustizia, Marta Cartabia, che nel febbraio 2022 aveva definito urgente il recepimento della normativa, l’ONG The Good Lobby Italia insieme a Giuseppe Busia, Presidente dell’Autorità nazionale anticorruzione (ANAC), che hanno lanciato un nuovo appello alla Camera durante il World Whistleblower Day (23 giugno). 

Nella giornata di martedì 2 agosto 2022,  la Camera dei Deputati ha approvato il Disegno di legge, recante “Delega al Governo per il recepimento delle direttiva europee e l’attuazione di altri atti normativi dell’Unione Europea – Legge di delegazione europea 2021”.

Tra le direttive europee si trova la numero 1937 del 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (chiamata in breve “Direttiva Whistleblowing”).

Considerato il già scaduto termine per il recepimento della stessa (fissato per lo scorso 17 dicembre 2021), restano 3 mesi di tempo (fino al 1° novembre 2022) per adeguare la disciplina nazionale.

Map that shows the implementation status of the EU Whistleblowing Directive in Europe
Ultimo aggiornamento: 5 agosto 2022

La protezione dei segnalanti è al centro della Direttiva

Il tema principale della Direttiva è la protezione dei segnalanti. Ecco i punti essenziali:

Con queste misure protettive l’UE garantisce ai segnalanti che non devono temere ritorsioni e allo stesso tempo incoraggia le persone a segnalare le violazioni all’interno dell’aziende.

Chi è interessato dalla Direttiva?

icon-company

Le aziende con più di 50 dipendenti, le istituzioni del settore pubblico, le autorità e i Comuni con più di 10.000 abitanti sono obbligati a predisporre adeguati canali di segnalazione interni. Le aziende con più di 249 dipendenti sono tenute ad allinearsi entro il 17 dicembre 2019. Quelle tra i 50 e 250 dipendenti, hanno tempo fino al 17 dicembre 2023 per adeguarsi ai nuovi requisiti.

I segnalanti devono avere la possibilità di inviare segnalazioni sia per iscritto (attraverso una piattaforma online, un indirizzo e-mail o per posta) sia a voce (tramite una hotline telefonica o un sistema di segreteria telefonica). Sono tutelati non solo i dipendenti che segnalano illeciti, ma anche i candidati a una posizione lavorativa all’interno dell’azienda, gli ex dipendenti, i sostenitori del whistleblower o i giornalisti.

Whistleblowing Report 2021 Ausgestalten Icon | integrityline.com
icon-topic

La protezione dei whistleblower si riferisce alla segnalazione di illeciti relativi al diritto dell’UE, come frode fiscale, riciclaggio di denaro o reati relativi agli appalti pubblici, alla sicurezza dei prodotti e dei trasporti, alla protezione dell’ambiente, alla salute pubblica e alla protezione dei consumatori e dei dati.

Tuttavia, l’Unione Europea incoraggia i legislatori nazionali a estendere tale ambito anche nelle rispettive legislazioni nazionali.

Gli obblighi della Direttiva UE per le aziende:

Tutti i dati personali, sia del segnalante che degli eventuali imputati, devono essere trattati nel rispetto del GDPR.

Le aziende devono determinare la persona “più adatta” a ricevere e a gestire le segnalazioni. Secondo l’UE, questa potrebbe essere il/la Compliance officer, HR Manager, Legal counsel, Chief Financial Officer (CFO), Executive board member o il management.

Le aziende possono anche esternalizzare la gestione delle segnalazioni, ad esempio affidandola a un difensore civico esterno.

Le aziende devono confermare la ricezione della segnalazione al segnalante entro sette giorni. Il whistleblower deve essere informato di qualsiasi azione intrapresa entro tre mesi, dello stato dell’indagine interna e del suo esito.

Le aziende sono tenute a fornire all’autorità competente informazioni sul processo di segnalazione interno nonché sui canali di whistleblowing. Queste informazioni devono essere facilmente comprensibili e accessibili, non solo ai dipendenti, ma a tutti gli stakeholder.

Tutte le segnalazioni ricevute devono essere conservate in luogo sicuro in modo che possano essere utilizzate come prove, se necessario.

Le aziende con un numero di dipendenti compreso tra 50 e 250 possono utilizzare un canale di segnalazione condiviso per ottenere e identificare le prove, a condizione che siano rispettati tutti gli obblighi delineati.

La Direttiva UE sul Whistleblowing include anche dettagli sulle sanzioni. Le aziende che ostacolano o tentano di ostacolare la segnalazione di irregolarità subiranno sanzioni. Lo stesso vale se le aziende non mantengono riservata l’identità del segnalante. Saranno punite anche le ritorsioni nei confronti dei whistleblower. È compito dei legislatori nazionali determinare la gravità di tali sanzioni.

La Direttiva beneficia non solo i segnalanti, ma porta vantaggi significativi anche alle aziende: garantire la possibilità di riportare internamente illeciti e sospetti, le aziende possono identificare e gestire il rischio tempestivamente, limitando i danni finanziari e reputazionali.

Tutte le informazioni sulla Direttiva 2019/1937, inclusa una checklist, sono disponibili nel nostro whitepaper!

Si devono tenere in considerazione i seguenti aspetti:

Garantire l'anonimato e la sicurezza delle informazioni

Indipendentemente dal canale di segnalazione utilizzato, l'identità del segnalante deve essere protetta. Tutti i dati devono essere trattati in conformità con il GDPR.

Canale di segnalazione interno o esterno?

Se i canali di segnalazione interni non dovessero essere implementati, i segnalanti potranno rivolgersi solo alle autorità pubbliche o ai media. Questo si traduce in gravi rischi a livello finanziario e reputazionale per le aziende.

Cosa succede dopo che è stata effettuata una segnalazione?

Poiché tutte le segnalazioni devono essere documentate e devono essere adottate misure di follow-up, ogni segnalazione deve essere facilmente accessibile ai Compliance Officer per gestire le fasi successive.

Durata dell'implementazione

La durata dell'implementazione del sistema di segnalazione dipende dalle dimensioni e dalla complessità della struttura organizzativa. In generale, il processo richiede da alcune settimane fino a un paio di mesi.

Next steps & Consigli

La Direttiva UE sul Whistleblowing è stata pubblicata il 16 dicembre 2019. Gli Stati membri dell’UE devono recepire i requisiti nella propria legislazione nazionale entro due anni. Le aziende con più di 250 dipendenti devono adempiere ai propri obblighi entro il 17 Dicembre 2021, mentre le aziende con 50-250 dipendenti entro il 17 Dicembre 2023.

Il Whistleblowing Report 2021 mostra i benefici concreti che derivano da una corretta implementazione di canali di segnalazione interni nelle aziende europee. Molte aziende hanno infatti già attivato in modo proattivo canali di whistleblowing e ricevuto segnalazioni che hanno permesso loro di gestire meglio i rischi al loro interno.

Implementare i sistemi di whistleblowing interni e impostare i processi

La libertà di scelta per i segnalanti in termini di canale di whistleblowing è un aspetto che le aziende devono tenere in considerazione. Se il whistleblower non riesce a trovare canali di segnalazione interni adeguati, può contattare l’autorità competente oppure i media: il peggior scenario per le aziende. È quindi essenziale che all’interno dell’azienda siano disponibili e comunicati adeguatamente canali di segnalazione interni che siano sicuri e affidabili.

Per garantire che i dipendenti si sentano a proprio agio nel denunciare internamente, i canali di segnalazione dovrebbero essere disponibili 24 ore su 24, 7 giorni su 7, offrire la possibilità di anonimato, essere disponibili nelle lingue utilizzate nelle diverse sedi dell’azienda, avere testi esplicativi comprensibili ed essere presentati in modo chiaro grazie a un’efficace strategia di comunicazione interna.

FAQs:

Poiché tutte le segnalazioni devono essere documentate e devono essere intraprese azioni di follow-up, ciascuna segnalazione deve essere facilmente accessibile ai Compliance Officer per gestire le fasi successive. Di conseguenza, un sistema di segnalazione dovrebbe essere intuitivo e semplice da utilizzare.

Ancora più importante, al segnalante deve essere garantita la riservatezza della sua identità.

Per questo motivo, i sistemi di whistleblowing digitali che si sono dimostrati sicuri e affidabili sono particolarmente consigliati per le piccole e grandi aziende e per le istituzioni pubbliche. Un sistema certificato per la protezione dei dati e di sicurezza informatica garantisce che i dati non siano accessibili nemmeno al provider. Per motivi di legge sulla protezione dei dati, occorre prestare attenzione anche all’ubicazione dei server del provider.

Le aziende internazionali dovrebbero anche garantire che le segnalazioni possano essere presentate indipendentemente dal luogo e dall’ora, al fine dare la possibilità ai dipendenti internazionali di avere pieno accesso al sistema.

Si consiglia alle organizzazioni private e pubbliche di dotarsi di un sistema di whistleblowing il prima possibile, poiché l’implementazione può richiedere da poche settimane fino a un paio di mesi, a seconda delle dimensioni e della complessità della struttura organizzativa.

Il segnalante deve essere informato entro un periodo di tempo determinato sulle azioni di follow-up pianificate o intraprese e sui relativi motivi.

Le azioni risolutive potrebbero essere:

§ Il riferimento ad altri canali o procedure di segnalazione che riguardano esclusivamente i diritti individuali del segnalante;

§ Il completamento della procedura per mancanza di prove o altri motivi;

§ L’avvio di indagini interne, eventualmente con indicazione dei risultati e delle eventuali misure per rimediare al problema;

§ Il rinvio a un’autorità competente per ulteriori indagini nella misura in cui queste informazioni non influiscano sulla ricerca interna o sull’indagine e non ledano i diritti della persona interessata dalla segnalazione.

Il segnalante dovrebbe essere regolarmente informato circa lo stato di avanzamento e dei risultati dell’indagine.

Sì, secondo la Direttiva UE sul Whistleblowing, il personale che gestisce le segnalazioni dovrebbe ricevere un training adeguato e avere familiarità con le normative applicabili sulla protezione dei dati. Queste competenze sono necessarie per elaborare le segnalazioni in modo efficiente, per comunicare con il segnalante, anche se sceglie di rimanere anonimo, e per gestire le opportune azioni di follow-up.

Secondo la Direttiva, non dovrebbe essere possibile fare affidamento a obblighi legali o contrattuali (come clausole nei contratti o accordi di riservatezza o di non divulgazione) per:

§ escludere la possibilità di segnalazione;
§ rifiutare la protezione dei segnalanti;
§ prevedere sanzioni per la segnalazione o la divulgazione di informazioni sulle violazioni

quando la divulgazione delle informazioni coperte da queste clausole e accordi è necessaria per scoprire la violazione.

In questo caso, i whistleblower non devono essere responsabili ai sensi del diritto civile, penale o amministrativo o in relazione al loro venire meno agli obblighi di riservatezza di cui sopra.

Secondo la Direttiva i segnalanti “laddove abbiano acquisito od ottenuto accesso in modo lecito alle informazioni segnalate o ai documenti contenenti tali informazioni, […] dovrebbero godere di immunità dalla responsabilità. Ciò dovrebbe applicarsi sia nei casi in cui le persone segnalanti rivelano il contenuto di documenti cui hanno lecitamente accesso, sia nei casi in cui fanno copie di tali documenti o li rimuovono dai locali dell’organizzazione presso cui lavorano, in violazione di clausole contrattuali o di altro tipo che stipulano che i documenti in questione sono di proprietà dell’organizzazione. Le persone segnalanti dovrebbero godere di immunità dalla responsabilità anche nei casi in cui l’acquisizione delle informazioni o dei documenti in questione o l’accesso
agli stessi solleva una questione di responsabilità civile, amministrativa o lavorativa.“

O ancora: “Se le persone segnalanti hanno acquisito od ottenuto l’accesso alle informazioni o ai documenti in questione commettendo un reato, come un accesso abusivo o un atto di pirateria informatica, la loro responsabilità penale dovrebbe restare disciplinata dal diritto nazionale applicabile, fatta salva la protezione accordata ai sensi dell’articolo 21, paragrafo 7, della presente direttiva. Analogamente, qualsiasi altra eventuale responsabilità delle persone segnalanti derivante da atti od omissioni che non sono collegati alla segnalazione o non sono necessari per rivelare una violazione ai sensi della presente direttiva dovrebbe restare disciplinata dal diritto dell’Unione o nazionale applicabile”.

Le notifiche contro le violazioni del diritto dell’UE riguardano aree come gli appalti pubblici, i servizi finanziari, il riciclaggio di denaro, la sicurezza dei prodotti e dei trasporti, la sicurezza nucleare, la salute pubblica, la protezione ambientale e la protezione dei consumatori e dei dati.

Scarica ora il whitepaper

Registrati al nostro servizio gratuito di “Compliance News” per rimanere sempre aggiornato/a circa eventi, novità e trend legati alla compliance, alla business ethics e al whistleblowing. Ad avvenuta registrazione riceverai il link per scaricare il white paper. Puoi disiscriverti dalla mailing list in qualsiasi momento.