La nuova legge sul whistleblowing e i suoi riflessi in ambito aziendale sul MOG 231 e sulla Privacy

La nuova legge sul whistleblowing e i suoi riflessi in ambito aziendale sul MOG 231 e sulla Privacy

Dopo un lungo e tortuoso percorso il 15 marzo 2023 è stato pubblicato in G.U. il d.lgs. 10 marzo 2023, n. 24, che dà attuazione alla direttiva UE 2019/1937 in materia di whistleblowing, ossia di segnalazione degli illeciti. Scopo del decreto è quello di disciplinare “la protezione delle persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato”.

Numerose sono le novità introdotte dal decreto sebbene, in questa sede, ci soffermeremo solo sui riflessi che esse producono all’interno del Modello aziendale di Organizzazione, Gestione e Controllo del D.lgs. 231/2001 e sulla Privacy.

Preliminarmente è opportuno comprendere chi è tenuto a adottare le misure di whistleblowing nel settore privato.

Al riguardo la norma obbliga alla predisposizione del sistema delle segnalazioni:

• le aziende che hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
• le aziende che non hanno la dimensione sopra indicata ma rientrano tra quelle obbligate al rispetto della normativa in materia di mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo;
• le aziende che rientrano nell’ambito di applicazione del D.lgs. 231/2001 e adottano modelli di organizzazione e gestione ivi previsti, anche se hanno meno di 50 lavoratori.

I canali previsti dal decreto per la segnalazione degli illeciti sono sostanzialmente di tre tipi, denominati “interno”, “esterno” (via ANAC) e “divulgazione pubblica”.

Per il primo tipo il legislatore ha individuato diverse modalità di comunicazione interna distinguendole tra segnalazioni scritte e orali. Per quelle “scritte” si fa riferimento a segnalazioni con lettera in busta chiusa, via e-mail, strumenti di messaggistica crittografati (come WhatsApp e Telegram) o tramite piattaforma informatica crittografata. Per quelle “orali”, invece, è possibile optare per un incontro diretto con il responsabile della ricezione delle segnalazioni oppure, attraverso una linea telefonica appositamente dedicata. Va tuttavia sottolineato come, tra le modalità qui elencate, la Legge 179/2017 sul Whistleblowing, posta a tutela del dipendente pubblico e privato, prevede che sia predisposto "almeno un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza dell’identità del segnalante”.

Pertanto, all’interno del MOG 231, e sicuramente all’interno della Parte generale dello stesso, è necessario riservare una sezione al whistleblowing, introducendo la sua disciplina, e spiegando cosa possono e non possono segnalare i dipendenti e, più in generale, gli stakeholders della azienda, elencando quali sono i canali di segnalazione interna adottati e quali sono i soggetti deputati a ricevere tali segnalazioni.

La gestione del canale di segnalazione è poi affidata a una persona o a un ufficio interno autonomo, dedicato, e con personale “specificamente formato”, ovvero è affidata a un soggetto esterno, anch’esso autonomo e con “personale specificamente formato”.

Peraltro, all’interno del MOG 231 è già prevista la figura dell’Organismo di Vigilanza che già in precedenza era deputato al ruolo di responsabile delle segnalazioni e, pertanto, potrà essere riconfermato in questa sua veste, purché composto da soggetti formati per tale compito e che dimostrino di avere i requisiti di professionalità e indipendenza previsti, ad esempio, per il Collegio Sindacale.

Il responsabile delle segnalazioni svolgerà, quindi, i seguenti compiti:

1. rilascerà alla persona segnalante un avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione;
2. nel caso in cui la segnalazione sia avvenuta oralmente, ogni trascrizione dovrà essere approvata dal segnalante, il quale potrà chiedere la modifica di quanto trascritto;
3. manterrà le interlocuzioni con la persona segnalante e potrà richiedere a quest’ultima, se necessario, eventuali integrazioni alle proprie dichiarazioni;
4. darà diligente seguito alle segnalazioni ricevute, svolgendo tutte le attività necessarie;
5. fornirà l’opportuno riscontro alla segnalazione entro tre mesi dalla data dell’avviso di ricevimento.

Al termine del procedimento istruttorio redigerà un dossier probatorio e comunicherà le risultanze alle autorità (in caso di illeciti civili o penali), all’ufficio procedimenti disciplinari (per le sanzioni disciplinari) o ai vertici aziendali per i rapporti con i fornitori e gli altri portatori d’interessi (“stakeholders”).

In caso di nomina dell’Organismo di Vigilanza come “responsabile delle segnalazioni”, tale funzione, come si diceva, dovrà essere chiaramente individuata all’interno della specifica sezione della Parte generale del MOG inerente all’O.d.V., nonché all’interno del regolamento interno dello stesso O.d.V.; diversamente, se ad essere nominati sono altri soggetti, dovrà essere prevista, sempre nella Parte generale del MOG, un ulteriore sezione, ovvero integrata quella già presente in merito al whistleblowing.

Inoltre, l’azienda dovrà anche individuare, all’interno del sistema disciplinare (documento che costituisce parte integrante del MOG 231), le sanzioni che saranno elevate nei confronti di coloro che si renderanno responsabili degli illeciti.

Altro aspetto, di non minore rilievo in ambito privatistico, riguarda il trattamento dei dati personali. Difatti, l’azienda, in base a quanto previsto dal GDPR, dovrà disegnare ed eseguire ogni trattamento dei dati personali relativo al ricevimento e alla gestione delle segnalazioni nella particolare veste di “titolare del trattamento”.

Conseguentemente, essa dovrà svolgere una serie di attività obbligatorie, come:

• la tenuta di un registro dei trattamenti con specificazione delle modalità di trattamento dei dati raccolti;
• lo svolgimento valutazione di impatto sulla protezione dei dati (c.d. DPIA);
• l’individuazione dei dipendenti interni da autorizzare al trattamento dei dati o la designazione – esterna - dei “responsabili del trattamento” per la gestione dei dati raccolti in materia di whistleblowing;
• offrire, a chi si appresta a segnalare, una informativa privacy completa nel contenuto, che esplichi in modo chiaro le modalità di conservazione ed uso dei dati raccolti;
• l’individuazione di un “amministratore di sistema” che accerti il rispetto di adeguati livelli di sicurezza degli apparati informatici aziendali (si ricordi, infatti, che è obbligatorio avere almeno un canale informatico idoneo).

In linea di massima, quindi, l’azienda dovrà garantire l'esecuzione dei necessari adempimenti in materia di “data protection” e “cyber security”.

Per ciò che concerne la tenuta del registro dei trattamenti, quello concernente il whistleblowing dovrebbe essere considerato in maniera separata rispetto a quello inerente al MOG 231.

Con riferimento ai “responsabili delle segnalazioni” di illeciti, come si diceva, se l’azienda opta per la nomina di professionisti esterni, essi, ai fini della Privacy, dovranno essere considerati “responsabili del trattamento”, e come tali sviluppare con l’azienda stessa, che assumerà la qualifica di “titolare del trattamento”, degli specifici accordi in questa particolare materia. I responsabili dovranno poi tenere ed aggiornare un “registro dei trattamenti del responsabile”, nonché fornire una documentazione a supporto del “titolare” per la valutazione di impatto sulla protezione dei dati riguardanti i trattamenti gestiti.

Se l’azienda sceglierà, invece, del personale interno per tale ruolo, i designati dovranno essere “esplicitamente autorizzati”, prevedendo, inoltre, delle procedure di gestione interna delle segnalazioni.

Tutti i dati forniti dal segnalante potranno essere utilizzati dall’azienda solo ed esclusivamente per dare seguito alle segnalazioni. A tal proposito vi è un obbligo di riservatezza in merito all’identità del segnalante: la sua identità non potrà essere rivelata a soggetti diversi rispetto a quelli designati per la gestione ed il trattamento delle segnalazioni.

Oltre a ciò, è fatto assoluto divieto di ritorsione nei confronti sia del whistleblower che dei cosiddetti “facilitatori”, ossia di quei soggetti che aiutano e supportano il segnalante nel processo di denuncia.

Affinché l’intero sistema sia efficace, l’azienda si dovrà impegnare a promuovere una campagna di comunicazione e di formazione sul whistleblowing, al fine di far comprendere a tutti i benefici dello strumento.

In ogni caso, la programmazione delle attività di cui sopra dovrebbe essere sviluppata almeno annualmente.

Oltretutto, in sede di approvazione del modello 231, tutti i documenti che compongono il MOG dovranno essere comunicati ai dipendenti, incluse eventuali “guide all’uso” per la segnalazione degli illeciti e dell’informativa privacy. Nello specifico, con riferimento al Modello nella sua Parte generale, sarà necessario prevedere una sezione per la “formazione e l’informazione”, specificando cosa e come andrà comunicato ai dipendenti e agli stakeholders, nonché rinviando ad un apposito documento di “programmazione della formazione” tutte le attività che in tal senso verranno messe in atto dall’azienda, incluse quelle relative al whistleblowing.

Ricordiamo, infine, che in base a quanto previsto dal nuovo decreto, l'ANAC potrà comminare sanzioni fino a 50.000 euro qualora accerti che:

• non siano stati adottati i canali di segnalazione previsti;
• non siano state sviluppate procedure per la gestione delle segnalazioni;
• sia stato violato l’obbligo di riservatezza;
• l’attività di segnalazione sia stata ostacolata e/o vi sono state ritorsioni verso il segnalante o verso i facilitatori.