Quadro delle recenti novità in materia di Whistleblowing

/in , , /da

Il tema delle segnalazioni interne in materia di illeciti commessi nell’esercizio dell’impresa è di grande rilevanza oggi nel panorama della compliance aziendale, costituendo uno strumento di emersione di comportamenti spesso trascurati o ignorati: la sua normazione genera al contempo rilevanti e spinose questioni di bilanciamento tra l’autonomia dell’esercizio dell’azione economica privata e la protezione degli interessi pubblici, oltre che di privacy e protezione degli individui segnalanti.

Breve panorama del concetto e della normativa italiana di rilievo

Il concetto di “Whistleblower” (letteralmente: “colui che soffia il fischietto”) entra per la prima volta nel linguaggio e nel panorama giuridico italiano con la Legge n. 190/2012, la c.d. “Anticorruzione” che, tramite aggiunta dell’art. 54-bis nel corpo del D.Lgs. 165/2001, introduce nel nostro ordinamento la figura del dipendente pubblico “segnalatore di illeciti”. Qualche anno più tardi la Legge n. 179/2017 va a modificare il D.Lgs. 231/2001, offrendo così anche al settore privato una base giuridica su cui costruire il proprio sistema interno di segnalazione degli illeciti.
Con la Direttiva 1937/2019 l’UE ha, di recente, inteso fissare i punti fondamentali per garantire ai “segnalatori di illeciti” uno standard minimo di tutela in ambito comunitario. Vengono quindi posti in capo ad ogni Stato Membro obblighi e divieti mirati a far adottare , entro il termine del 17 dicembre 2021, un adeguato sistema di segnalazione degli illeciti in grado di proteggere il segnalante da tutte le conseguenze negative che potrebbero insorgere a seguito della sua azione, e ciò tanto per il settore pubblico quanto per quello privato.

I requisiti fissati dalla Direttiva e le prospettive di recepimento

Innanzitutto, anche per il settore privato (a partire da una soglia minima di 50 dipendenti) diviene obbligatorio dotarsi di un sistema di prevenzione degli illeciti conseguenti alla violazione del diritto comunitario.
In questo senso, ciò che per l’Italia rappresenta ancora oggi l’eccezione- ci si riferisce infatti a quegli enti che abbiano volontariamente adottato i modelli di organizzazione previsti dal Decreto 231 e limitatamente ai reati da questo previsti- diverrà quindi (e finalmente) la regola.

Viene poi predisposto un ventaglio più ampio di soggetti che possono godere delle garanzie della Direttiva una volta coinvolti nel “processo di segnalazione”. Superata la dicotomia apicali-sottoposti, si aprono le porte a segnalazioni di soggetti che in modi diversi ed in diversa misura entrano in contatto con l’ente. Basti pensare che, a titolo esemplificativo, può assumere la qualifica di segnalante anche colui che non ha ancora cominciato un rapporto di lavoro con l’ente, perché il processo di selezione è ancora in corso.

Appare qui evidente l’intenzione del legislatore comunitario di assicurarsi che anche le violazioni commesse nelle fasi prodromiche all’instaurazione del rapporto di lavoro non rimangano impunite.

Ai fini della segnalazione, la Direttiva non richiede poi l’effettiva commissione di un illecito- così come previsto dalla L. n. 179/2017 e dal D.Lgs. 231/2001- ma soltanto il sussistere nel denunciante del “ragionevole motivo” di ritenere che le informazioni denunciate rispondano al vero e all’interesse pubblico.

Novità anche per quanto riguarda i canali di segnalazione.

Se il legislatore italiano non entra attualmente nel merito delle scelte operative, limitandosi a richiedere che i canali predisposti siano genericamente idonei a garantire la riservatezza (e non anche l’anonimato) dell’identità del denunciante, il legislatore comunitario si rivela più puntuale, richiedendo la implementazione di canali interni ed esterni all’ente, ai quali si affianca il canale pubblico, c.d. “public disclosure”.

La Direttiva lascia comunque libero il denunciante nella scelta del canale, sebbene incoraggi alle segnalazioni interne, soprattutto nei casi di più semplice risoluzione.

Molto importante anche la questione privacy.

La Direttiva prevede che qualsiasi trattamento di dati personali effettuato in occasione della Direttiva stessa debba svolgersi nel rispetto del Regolamento 2016/679 e della Direttiva 2016/680 (per il trattamento di dati con finalità di polizia).

L’obiettivo è quindi quello di scongiurare quanto più possibile il rischio che la segnalazione diventi l’occasione per una violazione della privacy; inoltre, viene espressamente sancito che non vadano raccolti e trattati dati eccedenti o non pertinenti rispetto ad una specifica segnalazione, e – laddove raccolti o trattati – essi vengano prontamente cancellati.

I ritardi nel recepimento della Direttiva

Benché la legge di delegazione europea n. 53/2021 rechi indicazioni per il recepimento della c.d. “Direttiva Whistleblowing”, l’Italia tutta è ancora in attesa di azioni concrete da parte del Governo.

Se indubbiamente molte sono state le “distrazioni” in questi ultimi due anni, a partire dalla pandemia fino alla questione del Colle, è tuttavia opportuno chiedersi quante e quali di queste siano effettivamente in grado di giustificare l’inerzia dell’Esecutivo su un tema particolarmente sensibile come quello della segnalazione di comportamenti illeciti all’interno delle società di capitali.

Ciò è particolarmente rilevante quando entra in gioco la vita umana, come nel caso tristemente noto della Funivia del Mottarone: è di dominio pubblico, infatti, la notizia per cui un ex dipendente avrebbe subito minacce di licenziamento per aver denunciato, molto tempo prima dell’incidente, problemi tecnici alla cabina poi coinvolta nella strage.

_________________________________________________________

Photo by Geron Dison on Unsplash

Potrebbero interessarti
News #1/2023: la super-sanzione a Meta “vieta”​ l’uso del contratto come base per fare targeted advNews#
News #35: attachi informatici al settore energia; la Cassazione sulle raccomandazioni “illecite”​; Cuba ha una legge privacy, mentre gli USA no.
News #37: Sanzione privacy in arrivo per TikTok; quante proposte di legge “digital”​ in UE; intanto la Commissione taglia il budget dei Garanti.
News #50: la Commissione UE ritiene “adeguati”​ gli USA per il data transfer, ora tocca all’EDPB (e a NOYB); nuovi protocolli rilevanti su 231
Brexit e privacy: cosa è cambiato, cosa può ancora cambiare
Comunicazioni commerciali: la “spazzatura” che incombe sugli utenti
Sistema 231 e commissione di reati colposi: quale compatibilità?
News #4/2023: in arrivo la norma ISO per il Privacy by Design, dovremmo forse implementarla tutti?