Blog

WHISTLEBLOWING E PMI: ADEMPIMENTI PER NON ARRIVARE IMPREPARATI AL PROSSIMO 17 DICEMBRE

Si sta avvicinando il 17 dicembre 2023, seconda deadline stabilita per adeguarsi alle disposizioni del D. Lgs. 24/2023, provvedimento con cui l’Italia ha portato a termine l’iter di recepimento della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio in tema di protezione delle persone che segnalano violazioni del diritto dell’Unione e delle disposizioni normative nazionali.
In corrispondenza della citata scadenza, il Legislatore impone l’obbligo di predisporre canali di segnalazione a carico di quegli enti del settore privato che soddisfino almeno una delle seguenti condizioni: i) abbiano impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato; ii) si occupino, a prescindere dalle dimensioni, di alcuni specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente); iii) adottino i modelli di organizzazione e gestione di cui al decreto legislativo 231/2001, a prescindere dal numero dei lavoratori impiegati.
Al fine di potersi adeguare alla citata normativa, gli enti devono innanzitutto istituire canali di segnalazione interna, per consentire di inviare segnalazioni scritte (attraverso il ricorso a strumenti di crittografia che assicurino la riservatezza del segnalante, delle ulteriori persone eventualmente coinvolte, del contenuto e della documentazione relativi alla segnalazione) e orali (mediante linee telefoniche o sistemi di messagistica vocale o, su richiesta del segnalante, mediante incontro diretto).
In secondo luogo, occorre affidare la gestione del canale di segnalazione ad una persona o ad un ufficio interno autonomo dedicato e con personale specificamente formato o, in alternativa, ad un soggetto esterno, in possesso dei medesimi requisiti. Ad avviso dell’Anac, tale autonomia va declinata come imparzialità e indipendenza, caratteristiche ravvisabili, a titolo esemplificativo, nell’Organismo di Vigilanza, negli organi di Internal Audit o nei comitati etici. Al riguardo, Confindustria, nella propria guida operativa, ha avuto modo di precisare che per imparzialità deve intendersi “mancanza di condizionamenti e di pregiudizi nei confronti delle parti coinvolte nelle segnalazioni whistleblowing” e per indipendenza “autonomia e libertà da influenze o interferenze da parte del management, al fine di garantire un’analisi oggettiva e imparziale della segnalazione”.
Ciò chiarito, quale persona fisica interna all’impresa cui affidare l’incarico di gestore delle segnalazioni, Confindustria cita quali esempi il responsabile anticorruzione, i responsabili delle funzioni di Internal Audit o di compliance, soggiungendo, altresì, che, nel caso di PMI sprovviste di tali funzioni, il ruolo di gestione potrebbe essere affidato a una figura priva di mansioni operative (responsabile delle funzioni legali o delle risorse umane).
Confindustria rappresenta, poi, che le imprese possono decidere di affidare la gestione del canale a un loro ufficio interno preesistente o ad un organo collegiale/comitato appositamente costituito e composto da soggetti interni in grado di soddisfare i requisiti necessari. A ciò si aggiunga che nelle società dotate di un modello organizzativo 231, l’incarico di gestore delle segnalazioni può essere affidato all’Organismo di Vigilanza.
Implementato il canale di segnalazione interna e individuato il gestore delle segnalazioni, gli enti devono redigere tutta la documentazione necessaria alla ricezione e all’analisi delle segnalazioni, tra cui la procedura whistleblowing, disciplinante le modalità di effettuazione delle segnalazioni e di gestione delle medesime.
Nell’adeguamento al D. Lgs. 24/2023, un’attenzione particolare deve essere, inoltre, riservata alla tutela della privacy, posto che il ricevimento e la gestione delle segnalazioni determinano in capo alla società un trattamento dei dati personali che presenta rischi specifici per i diritti e le libertà degli interessati e che, pertanto, deve essere preceduto da una valutazione di impatto della protezione dei dati (DPIA). In altri termini, tutto l’iter di gestione delle segnalazioni deve essere compliant al Regolamento UE 679/2016 (GDPR), anche per ciò che attiene agli obblighi informativi e alla formalizzazione degli incarichi di tutti i soggetti coinvolti nel trattamento dei dati personali.
Al fine di poter dare esecuzione concreta agli obblighi imposti dalla normativa e di realizzare gli obiettivi a fondamento della stessa, sarà poi ovviamente necessario formare adeguatamente tutta la popolazione aziendale sui contenuti del D. Lgs. 24/2023 e sulle procedure interne attivate dall’ente.
In considerazione di tutto quanto sopra, risulta evidente come le imprese che ad oggi non si siano ancora conformate alla disciplina whistleblowing si trovino nella condizione di dover celermente predisporre un complesso impianto all’uopo dedicato, la cui implementazione richiede competenze tecniche specifiche.
Del resto, la posta in gioco per gli enti è alta, posto che, accanto ai profili di responsabilità in cui può incorrere il soggetto segnalato, l’ANAC ha l’autorità di irrogare sanzioni amministrative pecuniarie che possono arrivare fino a € 50.000,00 qualora, a titolo esemplificativo, accerti che non sono stati istituiti canali di segnalazione o, ancora, che non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni.

 

A cura dell’Avv. Annalisa Regi e dell’Avv. Eulessia Ricci

Condividi:

Leggi gli altri articoli del blog

INTELLIGENZA ARTIFICIALE: RIFLESSI IN AMBITO TRIBUTARIO

Il Regolamento europeo 2024/1689 (“AI Act”) stabilisce norme per l’uso dell’IA, incluso il settore fiscale, mirate a garantire trasparenza e protezione dei diritti dei contribuenti. L’IA può migliorare l’efficienza e l’equità fiscale, supportando la prevenzione dell’evasione e l’analisi dei dati, ma solleva preoccupazioni per la privacy e il diritto a un processo giusto. In Italia, progetti come Ve.Ra. dimostrano l’uso dell’IA nella selezione dei contribuenti a rischio, ma è fondamentale mantenere il controllo umano e garantire un trattamento dei dati sicuro e rispettoso dei diritti.

CYBERSECURITY: L’ITALIA SECONDO I RAPPORTI CLUSIT E ASSINTEL-CONFCOMMERCIO

All’indomani della chiusura dei lavori del Security Summit tenutosi a Milano, un breve contributo sulla situazione nazionale in tema di cybersicurezza alla luce dei dati del Rapporto Clusit 2024 sulla sicurezza ICT in Italia e del Rapporto annuale sull’evoluzione della cybersecurity, realizzato da Assintel – Confcommercio.

DDL MADE IN ITALY E LA LIEVITAZIONE DEL FATTURATO AGROALIMENTARE

L’Italia è da sempre conosciuta in tutto il mondo per le proprie eccellenze alimentari. Il settore agroalimentare si è rivelato essere una delle principali industry dell’economia italiana. Perciò, il Governo italiano è intervenuto per supportare il primato mediante il DDL Made in Italy. Quest’ultimo prevede molteplici misure volte ad intensificare il sistema sanzionatorio nell’ambito della lotta alla contraffazione e ad agevolare le modalità d’investimento.

Contattaci