Whistleblowing: controlli ANAC e multe fino a 50.000 euro per chi non è in regola

Nel 2025 l’ANAC ha intensificato le verifiche sull’attuazione del D.Lgs. 24/2023, che impone a enti pubblici e aziende private di dotarsi di un sistema interno per le segnalazioni di illeciti. Dai primi controlli emerge un dato chiaro: molte organizzazioni non hanno ancora implementato canali conformi e rischiano sanzioni pesanti, fino a 50.000 euro.

L’obbligo di adeguarsi

Il D.Lgs. 24/2023, che recepisce la Direttiva UE 2019/1937, ha introdotto un obbligo preciso: ogni organizzazione deve garantire un canale di whistleblowing interno, sicuro e riservato, gestito nel rispetto della privacy e delle tutele previste per il segnalante. La norma riguarda tutte le aziende con almeno 50 dipendenti o che hanno adottato il Modello 231 (a prescindere dal numero di dipendenti).

Le sanzioni ANAC

L’Autorità Nazionale Anticorruzione (ANAC) è l’unico soggetto competente a valutare le segnalazioni e l’eventuale applicazione delle sanzioni amministrative sia per quanto concerne il settore pubblico che quello privato:

  • da 5.000 a 30.000 euro quando accerta che sono state commesse ritorsioni o quando accerta che la segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza;
  • da 10.000 a 50.000 euro quando accerta che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni oppure che l’adozione di tali procedure non è conforme.

Perché agire subito

L’attività di controllo dell’ANAC segna un cambio di passo: non si tratta più di semplici raccomandazioni, ma di obblighi sanzionabili. Le aziende che non si adeguano rischiano non solo le multe, ma anche danni reputazionali e perdita di fiducia da parte di dipendenti e stakeholder.

Avere un sistema di whistleblowing conforme e documentato non è più una scelta, ma una condizione necessaria per dimostrare serietà e rispetto della normativa.

Non rischiare multe e sanzioni

Il modo più semplice per adeguarsi al Decreto whistleblowing è implementare un software whistleblowing. Ma quali caratteristiche deve avere?

  • Semplice e intuitivo. L’interfaccia deve essere semplice perché il segnalante deve essere messo sempre nella condizione di poter effettuare una segnalazione;
  • Garantire la riservatezza. Il software deve garantire la riservatezza dei dati personali del segnalante e della segnalazione stessa utilizzando sistemi di crittografia;
  • Tracciabilità ed efficienza. Per le aziende e i gestori delle segnalazioni è fondamentale che vengano tracciati i tempi di intervento per rispettare le tempistiche del Decreto. Per rendere efficiente la gestione delle segnalazioni è necessario un unico sistema in grado di gestire sia le segnalazioni scritte che quelle vocali;
  • Conformità e flessibilità. Il software deve garantire la conformità del processo di gestione della segnalazione e allo stesso tempo essere abbastanza flessibile da adattarsi alle specifiche esigenze aziendali.

👉 Richiedi una demo gratuita della nostra soluzione: My Whistleblowing

5 Consigli per Gestire al Meglio la Policy Gift and Invitation

Gestire regali e omaggi in ambito aziendale può sembrare un dettaglio, ma è un aspetto cruciale per evitare conflitti di interesse, garantire trasparenza e mantenere la reputazione dell’azienda intatta.

Una Policy Gift and Invitation ben strutturata stabilisce regole chiare su come comportarsi quando si ricevono o si offrono doni o inviti, riducendo rischi etici e legali. Tuttavia, la semplice esistenza di una policy non è sufficiente: serve anche una gestione efficace e trasparente.

Ecco 5 consigli per gestire al meglio la tua Gift and Invitation Policy e perché uno strumento informatico può fare la differenza.

1. Stabilire limiti chiari e concreti

Definire chiaramente i limiti su ciò che può essere accettato o offerto in termini di valore è il primo passo per evitare situazioni ambigue. Stabilite soglie massime per i regali e gli inviti, in modo che i dipendenti sappiano quando è necessario segnalare o chiedere l’approvazione.

Consiglio: creare una tabella con categorie di regali e inviti (cena, gadget, eventi) e associare a ciascuna di esse un valore massimo accettabile.

2. Centralizzare il processo con una soluzione dedicata

Monitorare manualmente ogni regalo o invito può essere complicato, specialmente in grandi organizzazioni. Una soluzione dedicata per la gestione della policy, come workflow gift, può semplificare e centralizzare tutte le segnalazioni, approvazioni e archiviazioni di regali e inviti. Scopri la nostra soluzione.

I Vantaggi: un sistema centralizzato permette di avere una visione completa in tempo reale su ciò che viene accettato o offerto, con reportistica automatica e notifiche istantanee.

3. Educare i dipendenti su cosa è permesso e cosa no

Una buona policy è efficace solo se tutti i dipendenti la conoscono e la comprendono. È essenziale fornire una formazione regolare, offrendo esempi concreti e situazioni pratiche in cui i dipendenti potrebbero trovarsi. La trasparenza e la conoscenza delle regole rafforzano la cultura aziendale.

Come fare: fai conoscere a tutti i tuoi dipendenti le policy, crea delle FAQ e traccia il loro feedback.

4. Automatizzare le notifiche e le approvazioni

Non tutti i regali o inviti richiedono lo stesso livello di attenzione. Automatizzare le notifiche per i regali che superano i limiti prestabiliti o per gli inviti a eventi particolarmente significativi riduce il carico amministrativo e assicura che i casi più sensibili vengano esaminati immediatamente.

Consiglio: utilizzare un sistema che invii automaticamente notifiche ai responsabili di conformità o ai manager, evitando ritardi e garantendo l’approvazione rapida di situazioni più delicate.

5. Tracciare e generare report per conformità e audit

Mantenere un registro accurato di tutti i regali e inviti ricevuti o offerti è fondamentale per dimostrare la conformità in caso di audit interni o esterni. Uno strumento informatico consente di raccogliere e archiviare facilmente tutti i dati rilevanti, facilitando la generazione di report dettagliati in pochi clic.

Vantaggi: un sistema di gestione digitale permette di avere sempre a disposizione un archivio completo e aggiornato, riducendo il rischio di errori e semplificando la preparazione in caso di controlli.

Per concludere

Gestire in modo efficace la Gift and Invitation Policy è essenziale per proteggere la reputazione aziendale e prevenire potenziali rischi etici o legali. Implementare uno strumento informatico dedicato come Workflow Gift, non solo semplifica il processo, ma assicura trasparenza, conformità e una gestione proattiva di regali e inviti. Con questi cinque consigli, puoi migliorare significativamente il modo in cui la tua azienda affronta questo tema e promuovere una cultura aziendale basata su integrità e trasparenza.

Workflow Gift

Richiedi adesso una demo gratuita di Workflow Gift, la soluzione dedicata per gestire la Policy Gift & Invitation e tracciare le richieste e le autorizzazioni.

Linee guida ANAC

Linee guida Anac: dal 15 luglio efficace la nuova disciplina

Dal 15 luglio, con l’efficacia del Decreto legislativo 10 marzo 2023, n. 24 che recepisce la Direttiva UE sulla protezione dei whistleblower, entrano in vigore le nuove Linee guida Anac per segnalazioni esterne. Esse indicano come presentare segnalazioni all’Autorità e gestirle, offrendo princìpi per canali interni di enti pubblici e privati. Anac potrà adottare successivi atti di indirizzo.

Gli obiettivi della nuona disciplina

La nuova disciplina sul whistleblowing ha due principali obiettivi: garantire la libertà di espressione e di informazione, promuovendo il diritto di comunicare e ricevere informazioni e il pluralismo dei media, e combattere la corruzione e la cattiva amministrazione nel settore pubblico e privato.

Chi segnala violazioni contribuisce all’indagine e al perseguimento dei casi, rafforzando la trasparenza e la responsabilità delle istituzioni democratiche. Le nuove norme proteggono chi segnala da ritorsioni e tutelano la riservatezza. La divulgazione pubblica aiuta a prevenire rischi per l’interesse pubblico.

Oltre a chi segnala, la protezione si estende ai facilitatori e persone menzionate nella segnalazione, rendendo l’istituto un importante presidio per la legalità nelle amministrazioni e enti.

Alcune riflessioni preliminari

Nei prossimi giorni e mesi si discuterà parecchio sulle linee guida appena pubblicate. Proviamo a fare qualche riflessione preliminare su alcuni punti:

  •  Le informazioni sulle violazioni devono essere acquisite nel contesto lavorativo del segnalante, del denunciante o di chi fa divulgazione pubblica. Infine, possono essere segnalati i fatti appresi in virtù dell’ufficio rivestito ma anche notizie acquisite in occasione e/o a causa dello svolgimento delle mansioni lavorative, sia pure in modo casuale;
  • e-mail e PEC non sono strumenti adeguati a garantire la riservatezza, quindi l’unico canale informatico adeguato è una piattaforma informatica;
  • Nel settore privato, la scelta del soggetto cui affidare il ruolo di gestore delle segnalazioni è rimessa all’autonomia organizzativa di ciascun ente, in considerazione delle esigenze connesse alle dimensioni, alla natura dell’attività esercitata e alla realtà organizzativa concreta. Ciò, fermo restando il rispetto dei requisiti previsti dal legislatore. Tale ruolo, a meri fini esemplificativi, può essere affidato, tra gli altri, agli organi di internal audit, all’Organismo di vigilanza previsto dalla disciplina del d.lgs. n. 231/2001, ai comitati etici;
  • Il riscontro da fornire al segnalante può anche essere meramente interlocutorio, giacché possono essere comunicate le informazioni relative a tutte le attività che si intende intraprendere e lo stato di avanzamento dell’istruttoria. In tale ultimo caso, terminata l’istruttoria, gli esiti dovranno comunque essere comunicati alla persona segnalante;
  • Le segnalazioni 231 che per oggetto reati-presupposto o violazioni del Modello organizzativo devono seguire il solo canale interno, non sono quindi ammesse segnalazioni esterne o divulgazioni pubbliche.

Scarica le Linee guida Anac

Guarda il nostro webinar dedicato alle nuove linee guida ANAC

Whistleblowing: come si calcolano i dipendenti

Nel D.lgs 24/2023 sul whistleblowing sono presenti diversi riferimenti al numero dei dipendenti, ma come si calcolano?

Ci sono almeno 2 norme del D.lgs 24/2023 sul whistleblowing che fanno riferimento alla soglia dimensionale dell’impresa e fanno questo riferimento con finalità diverse.

L’articolo 2 comma 1 lettera q del Decreto fissa in base al numero dei dipendenti lo scattare degli obblighi. Quando si parla di soggetti del settore privato tenuti a introdurre il canale di segnalazione interno, fa riferimento alle imprese che hanno impiegato nell’ultimo anno una media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo determinato o indeterminato.

La seconda norma è l‘articolo 24 comma 2, che fa riferimento alla tempistica di attuazione degli obblighi, prevendendo uno slittamento in avanti per quelle aziende che hanno una media di lavoratori fino a 249 e prevede come termine il 17 dicembre 2023.

Per quanto riguarda i gruppi di aziende, la possibilità di condividere il canale di segnalazione interno è appanaggio solo delle aziende che hanno impiegato, nell’ultimo anno una media di lavoratori subordinati a tempo indeterminato o determinato non superiore a 249.

Come si calcolano i dipendenti?

Mentre alcune norme nell’ordinamento lo dicono espressamente, per esempio l’articolo 18 dello statuto dei lavoratori, in tema di tutela contro il licenziamento illeggittimo, fissa una soglia dimensionale e dice anche come vanno calcolati i lavoratori.

Nel D.lgs 24/2023 non ci sono riferimenti espliciti e quindi è presumibile che si debbano applicare le regole generali stabilite dall’ordinamento.

Per i lavoratori a tempo parziale varrà la regola del cosiddetto Full Time Equivalent, i lavoratori dovranno essere computati pro quota, secondo le indicazioni dell‘articolo 9 del D.lgs 81/2015 e cioè in proporzione all’orario svolto, rapportato al tempo pieno, a tal fine, l’arrotondamento opera per le frazioni di orario che eccedono la somma degli orari a tempo parziale corrispondente a unità intere di orario a tempo pieno.

Teniamo sempre conto che la nozione di tempo pieno non è sempre 40 ore settimanali, questa è la nozione generale, bisogna vedere cosa dicono i contratti collettivi.

Ci sono contratti collettivi che per esempio prevedono un orario settimanale di 38 ore, in altri casi 36 ore.

In quel caso il riproporzionamento deve essere fatto in funzione delle 38 o 36 ore.

Come computare i lavoratori a tempo determinato?

Possiamo utilizzare l’articolo 27 del D.lgs 81/2015 che dice: ai fini dell’applicazione di qualsiasi disciplina di fonte legale o contrattuale in cui sia rilevante il computo dei dipendenti si tiene conto del numero medio mensile di lavoratori a termine, compresi i dirigenti, impiegati negli ultimi 2 anni sulla base dell’efftiva durata dei loro rapporti di lavoro.

Per i lavoratori intermittenti dovremmo utilizzare l’articolo 18 del D.lgs 81/2015, secondo il quale il lavoratore intermittente è computato nell’organico dell’impresa in proporzione all’orario di lavoro effetivamente svolto nell’arco di ciascun semestre.

Bisognerà quindi parametrare gli orari in base ai singoli semestri.

Compliance integrata: i vantaggi per l'impresa nel contesto del whistleblowing

Quali vantaggi concreti può offrire all'impresa la compliance integrata? Ecco le informazioni che devi conoscere.

In che modo si trasforma un obbligo normativo come il whistleblowing in una opportunità per le aziende? Perché è vantaggioso adottare e attuare efficacemente un modello di organizzazione, gestione e controllo in conformità al decreto legislativo 231/01? Cerchiamo di esaminare i vantaggi concreti della cosiddetta compliance integrata per l’impresa e quindi per l’imprenditore.

Modello 231

Il decreto legislativo n. 231 del 2001 ha introdotto nel nostro ordinamento un regime di responsabilità per le persone giuridiche, società e associazioni, anche senza personalità giuridica, che commettono o tentano di commettere determinati reati attraverso la gestione dell’ente o da parte di persone ad esso subordinate, nell’interesse o a vantaggio dell’ente stesso.

L’ambito di applicazione di questa normativa, inizialmente limitato a alcuni reati contro la pubblica amministrazione, si è notevolmente ampliato nel corso degli anni (reati societari, omicidio colposo, lesioni gravi, reati ambientali) e, a causa dell’evoluzione continua della materia, sono state gradualmente introdotte nuove e diverse tipologie di reati come reati tributari, riciclaggio, autoriciclaggio e crimini informatici.

L’accertamento della responsabilità dell’ente comporta l’applicazione di sanzioni pecuniarie, e pesanti sanzioni interdittive. Tra queste ultime vi sono anche l’interdizione dall’esercizio dell’attività, la sospensione o revoca di autorizzazioni, licenze o concessioni legate alla commissione del reato, il divieto di contrattare con la pubblica amministrazione e l’esclusione da agevolazioni, finanziamenti, contributi o sussidi, inclusa la revoca di quelli già concessi. Tali misure possono arrecare gravi danni sia alla posizione dell’impresa sul mercato che alla sua reputazione agli occhi degli stakeholder.

Le misure interdittive possono, peraltro, essere applicate anche in sede cautelare, a prescindere dall’accertamento definitivo della responsabilità all’esito del processo.

Gestione e controllo (MOGC)

Al fine di evitare le sanzioni menzionate precedentemente, il legislatore ha introdotto la possibilità per un’organizzazione di dimostrare di aver adottato efficacemente modelli di organizzazione, gestione e controllo (MOGC) in grado di prevenire la commissione di reati che potrebbero dar luogo alla responsabilità penale dell’organizzazione stessa.

Solo attraverso l’adozione di modelli organizzativi adeguati e la loro costante implementazione, monitoraggio e aggiornamento, è possibile evitare l’applicazione di misure cautelari e sanzioni che potrebbero avere conseguenze potenzialmente gravi per l’organizzazione.

In particolare, se il modello di organizzazione volto a prevenire la commissione di reati è adottato in modo preventivo rispetto alla commissione del reato stesso, l’organizzazione può essere esente da responsabilità e, in ogni caso, protetta dall’applicazione di misure cautelari restrittive. Se il modello viene adottato successivamente alla commissione del reato, comporta una riduzione della sanzione pecuniaria e impedisce l’applicazione di sanzioni restrittive, così come la loro applicazione in via cautelare.

In entrambi i casi, si eviterà anche la pubblicazione della sentenza di condanna, preservando così l’immagine “pubblica” dell’organizzazione.

Whistleblowing

Con la pubblicazione in Gazzetta Ufficiale del D.lgs 24/2023, anche l’Italia ha recepito la Direttiva UE 2019/1937 del Parlamento europeo e del Consiglio riguardante la protezione delle persone, i cosiddetti whistleblower, che segnalano violazioni all’interno di enti o aziende.

Secondo l’articolo 4 del Decreto, le aziende private devono dotarsi di canali interni per la segnalazione di illeciti che garantiscano la riservatezza dell’identità del whistleblower e del contenuto della segnalazione.

L’obbligo riguarda tutte le aziende con più 50 dipendenti, e anche quelle che, pur non raggiungendo tale livello dimensionale, hanno come genere di attività:

  • i servizi ed i prodotti finanziari;
  • la prevenzione del riciclaggio e le misure atte a bloccare il finanziamento del terrorismo;
  • la sicurezza dei trasporti e la tutela dell’ambiente;
  • le società che adottano i modelli organizzativi 231.

Per le imprese inadempienti sono previste multe secondo un preciso schema sanzionatorio:

  • da 5.000 e 30.000 euro quando accerta che sono state commesse ritorsioni o quando accerta che la segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza;
  • da 10.000 a 50.000 euro quando accerta che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni oppure che l’adozione di tali procedure non è conforme.

È evidente quindi che non solo è necessario dotarsi di un adeguato tool informatico, ma è anche necessario gestire le segnalazioni in conformità al Decreto.

Compliance integrata

Dalle considerazioni sopra esposte emerge in modo evidente la stretta correlazione tra i due argomenti in questione, così come l‘invito alle imprese ad adottare un approccio integrato nella gestione del rischio, al fine di migliorare l’efficacia e l’efficienza delle attività di conformità.

I MOG 231, se personalizzati per ciascun ente, vengono considerati come strumenti non solo per prevenire la responsabilità dell’organizzazione stessa per reati commessi da dirigenti o dipendenti, ma anche per garantire, attraverso una adeguata valutazione del rischio, la conformità alle diverse normative applicabili di volta in volta.

I principi introdotti dall’Unione Europea (come ad esempio il GDPR), segnano con determinazione e chiarezza il percorso verso l’affermazione del concetto di accountability, un principio che mira a una sempre maggiore responsabilizzazione delle persone giuridiche nell’adattamento della propria struttura aziendale all’ormai predominante finalità di prevenzione: si passa da un approccio puramente formale, basato sul semplice rispetto della normativa vigente, a un approccio sostanziale.

Conclusioni

Ma quali sono effettivamente i vantaggi concreti della cosiddetta compliance integrata per un’impresa, oltre al rispetto delle norme e, per quanto riguarda la normativa 231, alla prevenzione della responsabilità penale dell’ente? Possiamo citarne alcuni:

  1. Responsabilizzazione del personale e delle altre parti interessate per segnalare comportamenti illeciti;
  2. Individuazione tempestiva e risposta efficace a illeciti commessi all’interno o da parte dell’organizzazione;
  3. Prevenzione e riduzione dei danni per l’interesse pubblico, la salute, i diritti umani e l’ambiente;
  4. Miglioramento continuo della conformità e della gestione dei rischi;
  5. Protezione dei segnalanti di irregolarità (whistleblower) e di terze parti a rischio di ritorsioni;
  6. Promozione di una cultura organizzativa basata sulla fiducia, trasparenza e responsabilità, che contribuisca a prevenire gli illeciti.
  7. Semplificazione organizzativa attraverso un approccio integrato che unisca diversi sistemi di conformità aziendale (ad esempio GDPR, Codice Etico, certificazioni su sicurezza, ambiente, anticorruzione, ecc.) e superi eventuali asincronie;
  8. Aumento dell’efficienza aziendale attraverso l’analisi e l’ottimizzazione dei processi, la protezione dai rischi operativi, la condivisione delle informazioni e l’implementazione di procedure di controllo interno;
  9. Miglioramento della reputazione dell’ente nelle relazioni con terze parti (altre organizzazioni, pubblica amministrazione, fornitori, banche e altri stakeholder);
  10. Contributo al conseguimento del rating di legalità da parte dell’Autorità Garante della Concorrenza e del Mercato, facilitando l’accesso al credito e ai finanziamenti e migliorando la qualificazione nella partecipazione alle gare d’appalto.

Pertanto, in conclusione, ogni azienda deve valutare l’assetto organizzativo più adeguato, cogliendo l’opportunità offerta dall’obbligatorietà della nuova disciplina sul whistleblowing per effettuare una mappatura dei rischi e adottare un modello 231 che includa tutte le sfaccettature di questa tanto auspicata compliance integrata.

Whistleblowing: perché e-mail e PEC non sono conformi al Decreto legislativo 24/2023

Utilizzare una semplice e-mail o una casella di posta elettronica certificata (PEC) non può essere considerato uno strumento sicuro, né tantomeno efficace per la gestione delle segnalazioni.
 
Le principali criticità riguardano la protezione e la sicurezza delle informazioni dei dati trasmessi, così come la riservatezza dei soggetti coinvolti, ai sensi della normativa sul trattamento dei dati personali, ma anche elementi di contrasto con la normativa whistleblowing specifica, dove è esplicito il riferimento alla riservatezza dei dati dei soggetti coinvolti e a profili di compliance privacy.
 
La posta elettronica non è raffigurabile come una forma di comunicazione sicura. I dati contenuti nelle e-mail non sono criptati, possono essere lette da chiunque e persino il loro contenuto può essere alterato. Soggetti aziendali quali i membri dell’IT, per esempio, possono accedere facilmente a tutte le informazioni compromettendo, di fatto, la riservatezza dell’identità del whistleblower e di tutti gli altri soggetti coinvolti. Un altro aspetto critico da considerare è il venire meno ai principi di accountability e di privacy by design e by default previsti dal GDPR. Inoltre, i documenti inviati e relativi al caso segnalato non potranno essere archiviati in modo sicuro e idoneo a garantire adeguati livelli di sicurezza, esponendo l’azienda a possibili e gravi data breach.
 
Oltre all’invio delle segnalazioni l’altro aspetto da considerare è la gestione delle segnalazioni. Il Decreto legislativo 24/2023 prevede che venga fornito un riscontro al segnalante entro 7 giorni, ed entro 3 mesi l’esito della segnalazione stessa, le aziende inadempienti possono incorrere in sanzioni fino a 50.000 euro.

Perché scegliere un software whistleblowing

La soluzione migliore che assicura all’impresa la piena compliance alla normativa prevede l’adozione di un software di whistleblowing che possa, da un lato mettere al riparo l’azienda da possibili violazioni della normativa, e dall’altro semplificare il processo di gestione interno delle segnalazioni ricevute. Un software whistleblowing:
 
  • garantisce la tutela della riservatezza dei dati perché implementa le adeguate tecnologie di crittografia;
  • permette di archiviare, storicizzare e centralizzare tutte le segnalazioni in un ambiente protetto;
  • consente di monitorare gli accessi in piattaforma (anche tramite strong authentication) per garantire che siano solo i gestori delle segnalazioni ad accedere alle segnalazioni;
  • permette di monitorare e rispettare i tempi dell’istruttoria come richiesto dal Decreto.
Per concludere, la scelta di un software whistleblowing, non è solo dovuta ad esigenze di compliance nei confronti delle normative vigenti, ma anche di efficienza della gestione delle segnalazioni.

Organismo di Vigilanza e Whistleblowing

Qual è il ruolo dell'Organismo di Vigilanza nella gestione delle segnalazioni?

Il Garante per la protezione dei dati personali ha espressamente escluso dal proprio Parere ogni considerazione in merito al “nuovo e diverso ruolo che l’ente potrebbe assumere in relazione alle segnalazioni effettuate nell’ambito della normativa whistleblowing.

Tuttavia, questa lacuna è stata ora colmata dal D.Lgs. 24/2023, che introduce un’apposita norma volta a disciplinare il trattamento dei dati personali in relazione alle segnalazioni di violazioni. Ai sensi dell’articolo 13, comma 1, del D.Lgs. 24/2023, tutti i trattamenti devono essere conformi al GDPR. Inoltre, il comma 4 specifica che il trattamento dei dati personali connesso alla ricezione e alla gestione delle segnalazioni deve essere effettuato dai Responsabili del trattamento designati.

Ciò significa che l’OdV, quando individuato come destinatario di segnalazioni di violazioni ai sensi della normativa whistleblowing, agirà in qualità di autonomo Titolare del trattamento (anziché di Rappresentante), a seconda della tipologia di segnalazione ricevuta.

Pertanto, l’OdV dovrà individuare e attuare adeguate misure tecniche e organizzative per garantire che il trattamento dei dati personali sia conforme al GDPR e garantisca un livello di sicurezza adeguato al rischio (ex artt. 24 e 32 del GDPR) . L’OdV deve inoltre essere in grado di dimostrare l’adozione e l’adeguatezza di tali misure (in ottemperanza al principio di accountability, di cui all’art. 5, comma 2, del GDPR).

In particolare, in qualità di Titolare del trattamento, l’OdV dovrà porre in essere misure di sicurezza idonee a tutelare la riservatezza del segnalante, nonché l’integrità e riservatezza dei dati personali oggetto della segnalazione.

Il nuovo Decreto Whistleblowing richiede inoltre agli enti privati soggetti alla normativa in materia (ex artt. 2 e 3 D.Lgs. 24/2023) di effettuare una valutazione d’impatto sulla protezione dei dati come previsto dall’art. 13, comma 6, D.Lgs. 24/2023.

Privacy e whistleblowing. Le note del Garante sulla tutela del segnalante e del segnalato a seguito del D.lgs. 24/2023

La pratica del whistleblowing solleva importanti questioni riguardo alla privacy e alla protezione dei dati personali. Ciò è dovuto al fatto che le segnalazioni possono implicare la raccolta e il trattamento di informazioni personali relative al segnalante, al soggetto segnalato e, eventualmente, ad altri individui citati nella segnalazione stessa. È fondamentale garantire la riservatezza sia del whistleblower che del contenuto della segnalazione, con un’attenzione particolare anche per il soggetto segnalato.

Le norme si misurano con questa esigenza ma, come di consueto, pongono numerose questioni interpretative. Nella chiacchierata che abbiamo avuto con l’avv. Guido Scorza, Componente del Collegio del Garante per la protezione dei dati personali, abbiamo cercato di delineare gli aspetti principali.

Il trattamento dei dati

La gestione delle segnalazioni whistleblowing prevede che ci siano diversi trattamenti di dati personali di soggetti diversi, interni ed esterni alla realtà aziendale. Quindi è necessario seguire la base giuridica vigente che stabilisce come debbano essere trattati tali dati, da chi e anche per quanto tempo. Nel caso specifico del whistleblowing la data retention è pari a 5 anni e si riferisce ai dati strumentali della procedura. 

Poiché in un sistema di whistleblowing, come abbiamo accennato poc’anzi, possono essere diversi i soggetti che debbono trattare i dati personali del segnalante e del segnalato è necessario prevedere un’informativa in cui sia ben chiari i vari ruoli, chi è il titolare del trattamento e chi sono i responsabili del trattamento o le persone autorizzate al trattamento. 

È importante tenere presente che a determinare le finalità e le caratteristiche del trattamento è il titolare, il responsabile è solo chi agisce per conto del titolare. Quindi è fondamentale creare delle policy ad hoc per ogni soggetto che andrà a gestire i dati.

Quali dati e quali regole seguire

Anche nei sistemi di whistleblowing la regola base da seguire è quella che prevede il trattamento di dati personali nella misura minima e necessaria al perseguimento degli obblighi derivanti dalla disciplina vigente. Inoltre l’implementazione del sistema di whistleblowing e dei relativi trattamenti deve necessariamente essere preceduta da una valutazione di impatto privacy; così come è essenziale adottare una policy ad hoc che descriva e disciplini i flussi di dati connessi all’inoltro e alla gestione delle segnalazioni e alla loro conservazione.

Come tutelare la privacy del segnalato

Il segnalato, finché è soltanto un “segnalato” è una persona che mantiene gli stessi diritti del segnalante, non ci sono ragioni per comprimere il suo diritto alla privacy o per riservargli un trattamento deteriore.

Nell’ambito del whistleblowing, è palese che al segnalato non può essere consentito l’accesso alla segnalazione, perché cadrebbe immediatamente la riservatezza del segnalante. Il punto di bilanciamento prevede da un lato la riservatezza del segnalante e quindi la tutela della sua privacy, dall’altro è il garante stesso che tutela la privacy del segnalato e che si interfaccia per valutare che non si siano violazioni a danno del segnalato stesso.

Tecnologia e privacy

L’implementazione di un sistema di whistleblowing implica che ci sia anche una conoscenza delle tecnologie necessarie alla tutela dei dati. Una piattaforma che gestisce le segnalazioni deve essere necessariamente in grado di criptare i dati e garantire un accesso sicuro.

Parallelamente a queste, ci sono altre due considerazioni da fare: la prima è che il sistema deve essere semplice da usare sia per i segnalanti che per chi deve gestire le segnalazioni. La seconda è quella di creare un percorso guidato nella segnalazione per aiutare il segnalante ad inserire solo i dati realmente necessari ai fini della segnalazione.

Decreto whistleblowing

Pubblicato in Gazzetta Ufficiale il D.lgs. 24 del 10 marzo 2023 che recepisce la Direttiva europea sul whistleblowing

È stato pubblicato in Gazzetta Ufficiale il Decreto legislativo 24 del 10 marzo 2023 che recepisce la  Direttiva UE 2019/1937 del Parlamento Europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone (segnalanti o whistleblower) che segnalano violazioni del diritto dell’Unione.

Cosa prevede il Decreto whistleblowing

Il decreto legislativo disciplina la protezione dei cosiddetti segnalanti o whistleblower, le persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato.

Con il Decreto whistleblowing i soggetti interessati (aziende ed enti pubblici) devono dotarsi di un canale di segnalazione interno, cioè di una piattaforma informatica per inviare e gestire le segnalazioni di illeciti. La piattaforma deve prevedere un sistema di crittografia per garantire la riservatezza dei dati personali del segnalante e della segnalazione stessa.

I soggetti obbligati

Ai sensi del Decreto whistleblowing, l’obbligo di istituire un canale di segnalazione è previsto per:

  • tutti i soggetti del settore pubblico, compresi i soggetti di proprietà o sotto il controllo di tali soggetti, nonché per i Comuni con più di 10.000 abitanti;
  • a decorrere dal 15 luglio 2023, tutte le aziende con più di 250 dipendenti, a prescindere dall’adozione o meno di un Modello Organizzativo ex D.lgs. 231/2001;
  • a partire dal 17 dicembre 2023, tutti i soggetti del settore privato che abbiano impiegato nell’ultimo anno una media di lavoratori subordinati tra i 50 e i 249, a prescindere dall’adozione o meno di un Modello Organizzativo ex D.lgs. 231/2001;
  • tutte le aziende che pur non raggiungendo tale livello dimensionale, hanno come genere di attività:
    • i servizi ed i prodotti finanziari, la prevenzione del riciclaggio e le misure atte a bloccare il finanziamento del terrorismo, la sicurezza dei trasporti e la tutela dell’ambiente, nonché quelli che adottano i modelli organizzativi ex D.lgs 231/2001.

Chi tutela il Decreto whistleblowing

L’ambito di applicazione soggettivo delle disposizioni del D.lgs 24/2023 comprende:

  • dipendenti o collaboratori;
  • lavoratori subordinati e autonomi;
  • liberi professionisti;
  • tirocinanti anche non retribuiti;
  • gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.

Tutti i soggetti menzionati poc’anzi rientrano nella categoria dei cosiddetti whistleblower o segnalanti. Inoltre, le misure di protezione si applicano anche ai cosiddetti “facilitatori”, colleghi, parenti o affetti stabili di chi ha segnalato. In concreto i segnalanti non possono subire ritorsioni tra cui:

  • il licenziamento;
  • la sospensione;
  • a retrocessione di grado o la mancata promozione;
  • il mutamento di funzioni;
  • il cambiamento del luogo di lavoro;
  • la riduzione dello stipendio;
  • la modifica dell’orario di lavoro;
  • la sospensione della formazione;
  • le note di merito negative;
  • l’adozione di misure disciplinari o di altra sanzione anche pecuniaria;
  • la coercizione;
  • l’intimidazione;
  • le molestie o l’ostracismo;
  • la discriminazione o comunque il trattamento sfavorevole;
  •  la mancata conversione di un contratto di lavoro a termine in un contratto di lavoro a tempo indeterminato;
  • laddove il lavoratore avesse una legittima aspettativa a detta conversione;
  • il mancato rinnovo o la risoluzione anticipata di un contratto di lavoro a termine;
  • i danni, anche alla reputazione della persona, in particolare sui social media, o i pregiudizi economici o finanziari, comprese la perdita di opportunità economiche e la perdita di redditi;
  • l’annullamento di una licenza o di un permesso;
  • la richiesta di sottoposizione ad accertamenti psichiatrici o medici

Le sanzioni e il ruolo dell'ANAC

L’Autorità Nazionale Anticorruzione (ANAC) è l’unico soggetto competente a valutare le segnalazioni e l’eventuale applicazione delle sanzioni amministrative sia per quanto concerne il settore pubblico che quello privato.:

  • da 5.000 a 30.000 euro quando accerta che sono state commesse ritorsioni o quando accerta che la segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza;

  • da 10.000 a 50.000 euro quando accerta che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni oppure che l’adozione di tali procedure non è conforme.

In merito alla conformità della procedura che le aziende devono rispettare, vi è anche quello legato al recepimento della segnalazione e al riscontro della stessa. Facciamo un esempio concreto.
 
Immaginiamo che un’azienda riceva una segnalazione whistleblowing, da quel momento ha 7 giorni di tempo per comunicare al segnalante l’avvenuto recepimento, ed entro 3 mesi deve anche fornire un riscontro sulla segnalazione. Se l’azienda non rispetta queste tempistiche può incorrere nelle sanzioni già citate.
 
Sono previste sanzioni da 500 a 2.500 euro per i segnalanti, nel caso in cui venga accertata la responsabilità penale della persona segnalante per i reati di diffamazione o di calunnia.

Decreto L.gs 24/2023 Pdf

Puoi scaricare il testo del Decreto Legislativo n. 24 del 10 marzo 2023. [Download 265 KB]

Whistleblowing e best practices per le investigazioni interne

Quali sono le best practices da seguire per intraprendere una buona attività di investigazione interna? E quali i rischi e benefici da considerare?

Le investigazioni interne sono un aspetto fondamentale nell’ambito della gestione delle segnalazioni di illeciti, eppure, in molti casi, è proprio uno di quelli che non viene considerato molto quando si parla di whistleblowing.

Il come vengono gestite le segnalazioni invece è, e può essere, un tratto peculiare dell’azienda, perché mette in evidenza tutte quelle best practices che sono state messe in atto all’interno della cornice normativa in quel momento disponibile.

Entriamo più nello specifico. Una volta ricevuta la segnalazione, cosa è necessario fare?

Il 9 dicembre 2022 è stato pubblicato lo schema di decreto legislativo relativo al recepimento della Direttiva europea sul whistleblowing (Direttiva UE 2019/1937). Andiamo a vedere l’articolo 2 (Definizioni):

  1. o) «riscontro»: comunicazione alla persona segnalante di informazioni relative al seguito che viene dato o che si intende dare alla segnalazione;

e l’articolo 5 (Gestione del canale di segnalazione interna):

  1. Nell’ambito della gestione del canale di segnalazione interna, la persona o l’ufficio interno ovvero il soggetto esterno, ai quali è affidata la gestione del canale di segnalazione interna svolgono le seguenti attività:
  2. a) rilasciano alla persona segnalante avviso di ricevimento della segnalazione entro sette giorni dalla data di ricezione;

[…]

  1. d) forniscono riscontro alla segnalazione entro tre mesi dalla data dell’avviso di ricevimento o, in mancanza di tale avviso, entro tre mesi dalla scadenza del termine dei sette giorni dalla presentazione della segnalazione;

Dalla lettura di questi articoli è evidente che subito dopo aver ricevuto la segnalazione è necessario fornire un feedback al segnalante, e quindi un action plan già ben delineato. A rafforzare quanto detto concorre l’articolo 21 dove sono elencate le sanzioni previste, e tra i casi elencati più gravi, vi quello in cui si possa accertare l’assenza di una attività di verifica e analisi delle segnalazioni ricevute.

Articolo 21 (Sanzioni)

  1. Fermi restando gli altri profili di responsabilità, l’ANAC applica al responsabile le seguenti sanzioni amministrative pecuniarie:
  2. a) da 5.000 a 30.000 euro quando accerta che sono state commesse ritorsioni o quando accerta che la segnalazione è stata ostacolata o che si è tentato di ostacolarla o che è stato violato l’obbligo di riservatezza di cui all’articolo 12;
  3. b) da 10.000 a 50.000 euro quando accerta che non sono stati istituiti canali di segnalazione, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni ovvero che l’adozione di tali procedure non è conforme a quelle di cui agli articoli 4 e 5, nonché quando accerta che non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute.

Anche l’articolo 6 (Condizioni per l’effettuazione della segnalazione esterna) è strettamente connesso a quanto abbiamo già visto. È chiara l’intenzione del legislatore di affidare la gestione delle segnalazioni alle aziende stesse.

  1. La persona segnalante può effettuare una segnalazione esterna se, al momento della sua presentazione, ricorre una delle seguenti condizioni:
  2. a) non è prevista, nell’ambito del suo contesto lavorativo, l’attivazione obbligatoria del canale di segnalazione interna ovvero questo, anche se obbligatorio, non è attivo o, anche se attivato, non è conforme a quanto previsto nell’articolo 4;
  3. b) la persona segnalante ha già effettuato una segnalazione interna ai sensi dell’articolo 4 e la stessa non ha avuto seguito o si è conclusa con un provvedimento finale negativo;
  4. c) la persona segnalante ha fondati motivi di ritenere che, se effettuasse una segnalazione interna, alla stessa non sarebbe dato efficace seguito ovvero che la stessa segnalazione possa determinare il rischio di ritorsione;
  5. d) la persona segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.

L’articolo 6 infatti norma sia i casi in cui non è previsto un sistema whistleblowing ma anche quelli in cui non c’è un adeguato riscontro da parte del gestore della segnalazione; e come abbiamo visto già in precedenza, sono previste sanzioni considerevoli per le aziende inadempienti.

Whistleblowing: best practices per una buona attività di investigazione interna

Tra i temi che abbiamo trattato nel webinar “Whistleblowing e investigazioni interne” con l’avv. Enrico di Fiorino, oltre ad un’analisi dei costi e benefici da svolgere prima di intraprendere un’attività di indagine, abbiamo cercato di delineare alcune best practices che possono rivelarsi particolarmente utili per attivare una una buona attività di investigazione interna. (Clicca sul video per vedere la parte sulle best practices)