Il 15 luglio per gli enti pubblici e per le imprese con oltre 250 addetti, il 17 dicembre per le aziende con almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, e anche per quelle con meno di 50 addetti nel caso di aziende che operano nei settori regolamentati a livello europeo (ad esempio del settore Finance o sicurezza dei trasporti) o in quello di aziende che hanno scelto di adottare modelli di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/01. Sono molto ravvicinati i tempi di entrata in vigore delle norme della direttiva Whistleblowing, la UE 2019/1937, sulla protezione delle persone che segnalano violazioni, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato, che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di normative nazionali o dell’Unione europea. 

«Le criticità da affrontare sono essenzialmente di tipo tecnico» dice Ottorino Capparelli, responsabile Risk Consulting di Assiteca-Howden. Assiteca, infatti, leader italiano nella gestione dei rischi d’impresa, a maggio 2022 è entrata a far parte del Gruppo Howden, uno dei maggiori gruppi mondiali del brokeraggio assicurativo con 25 miliardi di euro di premi intermediati, 11mila dipendenti e una presenza in più di 100 Paesi nel mondo. Howden rappresenta in Italia una vera alternativa di mercato: presente dall’aprile 2021 ha acquisito ad oggi sei società di brokeraggio assicurativo e conta 27 uffici in 24 città, oltre 800 persone e 105 milioni di euro di ricavi. «Il canale per la segnalazione degli illeciti in realtà era già disciplinato con le precedenti norme sul whistleblowing. Ma cambiano le modalità con cui le segnalazioni devono essere gestite, dalla tecnologia che deve garantire la riservatezza alle modalità di accesso alle informazioni, in modo da ampliare la tutela del segnalante per evitare eventuali ritorsioni. Si tratta di organizzare un assetto interno, con l’utilizzo di software in grado di garantire la riservatezza del dato». 

«Il consiglio alle aziende è di muoversi il prima possibile» rimarca Capparelli. «I tempi sono stretti, anche per quelle che rientrano nella scadenza di metà dicembre è opportuno mettersi subito in azione. Definire la procedura interna di gestione del dato, che si tratti di una segnalazione di reato o meno, è relativamente semplice, però occorre farlo per tempo». 

La direttiva Whistleblowing è stata recepita il 30 marzo con il decreto legislativo 24/2023. Le novità introdotte impattano su diverse tematiche: la progettazione e realizzazione di canali di segnalazione; la garanzia di affidabilità degli strumenti tecnologici adottati; la formazione dei dipendenti e degli stakeholder; una particolare attenzione agli aspetti legati alla privacy. Il decreto è soltanto il primo passo, in attesa delle Linee guida dell’Anac (Autorità nazionale anticorruzione) che, sentito il Garante della Privacy, verranno rese note entro il 30 giugno con l’obiettivo di definire le procedure e la gestione delle segnalazioni esterne e garantirne la riservatezza. La prima entrata in vigore delle norme, il 15 luglio, è prevista dunque dopo sole due settimane dalle Linee guida Anac. «Il regolamento europeo è entrato in vigore oltre un anno mezzo fa, e in realtà è immediatamente applicabile senza bisogno di essere adottato» spiega il responsabile Risk Consulting Assiteca-Howden. «Visto che a fare la normativa nazionale ci abbiamo messo un annetto, dopo l’emanazione del decreto si è deciso di correre».

Le segnalazioni possono riguardare violazioni effettive o potenziali della normativa europea o della normativa nazionale e regolamentare, attraverso comportamenti, atti, omissioni o informazioni per i quali il segnalante abbia fondati sospetti che possano concretizzare violazioni, supportati da elementi concreti. I soggetti tutelati dalla nuova normativa sono tutti coloro che, indipendentemente dal rapporto di lavoro o collaborazione con l’organizzazione oggetto della violazione, segnalano gli illeciti e di conseguenza potrebbero essere soggetti a possibili atti ritorsivi, dai dipendenti pubblici e i lavoratori subordinati ai lavoratori autonomi e collaboratori che svolgono la propria attività presso i soggetti pubblici e privati oppure forniscono beni o servizi, dai liberi professionisti e consulenti ai volontari e tirocinanti anche non retribuiti, dagli azionisti alle persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza. 

Sono previsti tre diversi canali di segnalazione: interno, esterno e divulgazione pubblica. La segnalazione interna va attivata da enti e imprese, sentite le organizzazioni sindacali e deve prevedere adeguate misure di sicurezza, anche informatiche, per garantire la riservatezza del segnalante, delle persone coinvolte e comunque menzionate nella segnalazione, nonché del contenuto della stessa e della relativa documentazione. La segnalazione esterna è una novità della nuova direttiva che consente al segnalante di scegliere autonomamente se attivare questo canale al verificarsi di una delle seguenti condizioni: se il canale di segnalazione interno non è obbligatorio, non è stato attivato o non è organizzato nel rispetto della normativa; se a seguito di segnalazione interna, questa non ha avuto seguito o si è conclusa con un provvedimento finale negativo; se il whistleblower ha fondato motivo di ritenere che, se effettuasse una segnalazione interna, alla stessa non sarebbe dato efficace seguito oppure che la stessa segnalazione possa determinare il rischio di ritorsione; se il whistleblower ha fondato motivo di ritenere che la violazione segnalata possa costituire un pericolo imminente o palese per il pubblico interesse. L’Anac dovrà attivare la relativa piattaforma di segnalazione, offrendo le medesime garanzie di riservatezza previste per il canale di segnalazione interna. La divulgazione pubblica può essere utilizzata con garanzia di protezione soltanto al verificarsi di determinate condizioni, principalmente che il whistleblower abbia previamente effettuato una segnalazione interna o esterna senza aver ricevuto riscontro nei termini previsti.

«Per farsi trovare pronti alle scadenze senza troppi patemi d’animo è necessario formare i dipendenti e individuare le figure a cui affidare la gestione delle eventuali segnalazioni» aggiunge Capparelli. «Possono essere interne, ma vista la delicatezza del ruolo molte aziende prediligono figure esterne, che possono essere fornite da realtà come la nostra che offrono anche un affiancamento alle imprese. Per realizzare le opportune modifiche organizzative, che includono gli aspetti legati alla privacy e quindi al Gdpr visto che parliamo dei dati di persone fisiche, è insomma opportuno affidarsi a professionisti».