Prospettive Whistleblowing

Rivedi l'evento
Consulta il modello di procedura
Cosa cambia in Italia con la nuova legge sul whistleblowing? 
 
A maggio 2023, nel corso dell'evento Prospettive sul Whistleblowing, ci siamo confrontati sulle novità normative della nuova disciplina sul whistleblowing

Di seguito le domande&risposte sul Decreto Legislativo n.24/2023, trattate da esperti e partecipanti nel corso dell'evento e suddivise per area di interesse

Il Decreto Legislativo n.24/2023 costituisce la normativa di attuazione nel nostro Paese della Direttiva Europea n.1937/2019 in materia di whistleblowing, sostituendo le disposizioni in materia previste dalla legge n.179/2017 per il settore pubblico e dal decreto legislativo n. 231/2001 per il privato.

Progetto SpeakUpEurope di Transparency International

Domande&Risposte
d.lgs. n.24/2023

EFFICACIA DEL DECRETO

Non sarebbe stato necessario uniformare i termini sia per le PA che per i privati al 31/12/2023?
L’Italia ha recepito la Direttiva Europea 17 mesi oltre il termine previsto dalla stessa; il legislatore ha previsto un termine ridotto in quanto l’Italia è già sottoposta a un procedimento di infrazione per i ritardi.

Il termine del 17 dicembre 2023 per le imprese con meno di 250 dipendenti è il termine ultimo stabilito nella Direttiva. È ragionevole pensare che il soggetto incaricato di sanzionare gli enti (A.N.AC.) non avvierà procedimenti a partire dal 16 luglio 2023. 
Rimangono valide le linee guida 469/21 con il nuovo d.lgs.?
No, le Linee Guida sono superate dal nuovo decreto, sebbene alcuni principi procedurali continuino a essere utili agli enti. 
A decorrere dal 15 luglio p.v. l’art. 54bis del d.lgs. 165/2001 verrà abrogato?
Sì, è corretto. 
In riferimento a una Società con MOG231 già adottato ante 2023 con meno di 50 lavoratori impiegati la normativa Whistleblowing quando inizia ad avere efficacia? Dal 17 dicembre p.v.?
Sì, è corretto. 
Per le società fino a 249 dipendenti, la disciplina entrerà integralmente in vigore dal 17 dicembre, oppure solo con riferimento al canale di segnalazioni interne (con conseguente entrata in vigore sin da luglio delle norme sulle segnalazioni esterne/divulgazione pubblica)?
Il termine del 17 dicembre 2023 riguarda gli oneri per l’attivazione dei canali interni. 

AMBITO DI APPLICAZIONE SOGGETTIVO 

In che settore (pubblico o privato) rientrano le controllate di un concessionario di pubblico servizio, che è anche società a controllo pubblico e società in house?
La scelta del legislatore è stata quella di farle rientrare in ambito pubblicistico. Se questa può essere una scelta comprensibile per le società in house, lo è meno per le concessionarie. 
Sarebbe utile un chiarimento sulla tipologia di fornitori cui dovrà essere esteso il whistleblowing
La tipologia è molto ampia perché, di fatto, va a ricomprendere quasi tutti i soggetti fornitori di beni e servizi, dalle società comprensive di dipendenti e collaboratori a lavoratori autonomi, liberi professionisti e coloro che prestano attività di consulenza. 
Le sigle sindacali possono effettuare una segnalazione in maniera autonoma e non in nome e per conto di un dipendente?
No, la segnalazione di whistleblowing può essere effettuata solo da una persona fisica. La ratio della norma è che i canali per il whistleblowing servano a tutelare, infatti, questi soggetti da possibili ritorsioni.

Un ente può comunque ricevere e processare segnalazioni provenienti da altri soggetti, anche collegiali e anche qualificati, ma non saranno trattate come segnalazioni di whistleblowing. 
Un'azienda italiana che fa parte di un gruppo multinazionale, il quale ha già attivato un canale di segnalazione attraverso una piattaforma del gruppo che non ha sede in Italia, come si deve comportare. Può continuare a utilizzare questo canale o deve attivare un canale esclusivamente italiano?
L’azienda può condividere il canale con quella della capogruppo, esternalizzandole il servizio, sulla base dell’art. 4.2 del decreto. 
Nel caso di un gruppo con più società controllate è possibile condividere un solo software di gestione che fa capo ad un ufficio della capogruppo?
È possibile e anche ragionevole ma c’è da operare una distinzione. Se le imprese hanno meno di 250 dipendenti possono condividere i canali per le segnalazioni; se hanno più di 250 dipendenti devono esternalizzare il servizio ad altra impresa (es. la capogruppo), con quest’ultima che mette formalmente a disposizione il solo canale e non anche l’attività di ricezione e gestione delle segnalazioni. 
Per il conteggio ai fini applicabilità (50-250) i lavoratori in distacco da altra società (anche di gruppo) devono essere considerati?
Dal decreto non è possibile una risposta precisa e quindi attendiamo interpretazioni di A.N.AC. al riguardo. Il suggerimento è che, per le organizzazioni al limite, sia opportuno, ove possibile, operare “in eccesso” considerando che l’anno successivo potrebbero ricadere nel segmento successivo. 
Se un’azienda ha meno di 50 dipendenti e non ha 231 per cui non ha obbligo di creare una procedura i dipendenti possono segnalare ad A.N.AC.?
Dalla bozza di Linee Guida in consultazione non sembrerebbero tutelati dalla norma in caso di segnalazione esterna ma ci auspichiamo che l’interpretazione venga corretta. Diverso è l’obbligo di predisporre dei canali interni rispetto alla tutela dei potenziali segnalanti. 

AMBITO DI APPLICAZIONE OGGETTIVO 

Considerato che il decreto parla solo di violazioni di norme e illeciti, come vanno gestite le segnalazioni relative a casi di maladministration non ricomprese nell'elenco presente nella norma?
La maladministration è esclusa dalla norma. È una scelta a nostro avviso non condivisibile da parte del legislatore. Tuttavia, preme ricordare che il segnalante non è il soggetto tenuto a qualificare la natura della condotta segnalata e, ragionevolmente, potrebbe segnalare un fatto che ritiene potenzialmente illecito ma poi rivelarsi in realtà una mera irregolarità. In questo caso si ritiene che sia comunque necessario processare la segnalazione attribuendo le tutele previste dalla legge.
In relazione agli enti del settore pubblico che abbiano adottato un modello 231 - a dispetto dei soggetti privati che abbiano adottato un modello 231 - ci sarebbe la possibilità di utilizzare il canale esterno (anche) per violazioni 231. Corretto?
I segnalanti possono utilizzare anche il canale esterno, sulla base delle condizioni per la segnalazione esterna previste dalla legge. 
Rispetto alla parità di genere, quale rilevanza ha lo strumento del whistleblowing? Quando rileva rispetto al rapporto di lavoro, è fuori dal perimetro?

All’interno dell’oggetto delle segnalazioni rientrano i possibili illeciti, almeno per una certa categoria di soggetti. Qualora violazioni di questo tipo configurino un illecito è possibile che siano oggetto di segnalazione.

Per i soggetti privati, indipendentemente dal numero di dipendenti o dall’adozione di un Modello 231, mi risulta che non si applichi il “cluster residuale” di violazioni di cui all’art. 2 comma 1 lettera a), numero 1. Questo significa che occorre stilare – nel preparare le istruzioni del canale interno di Whistleblowing – un lungo elenco che raggruppa le violazioni di cui ai cluster da nn. 2 a 6, e che il Whistleblower in teoria prima di fare la segnalazione deve controllare se questa rientra in uno di quegli ambiti (alcuni dei quali di grande complessità giuridica)? Il Whistleblower risulta protetto dalle ritorsioni, nel caso faccia una denunzia al di fuori dagli ambiti di cui ai "cluster" da 2 a 6?
Il segnalante non è tutelato se la segnalazione non rientra nell’oggetto previsto dalla legge, come indicato. Tuttavia, l’ente può essere sottoposto a sanzione amministrativa qualora non abbia correttamente indicato con informazioni chiare e accessibili gli illeciti oggetto di segnalazione protetta. 
Nel caso di più società appartenenti ad un medesimo gruppo (tutte sotto 249 dipendenti, tutte con proprio Modello 231), è necessario distinguere – all’interno del medesimo canale Whistleblowing – fra le soluzioni possibili per le diverse società del gruppo, sulla base del numero di dipendenti? Per le società con MOG e con meno di 50 dipendenti, infatti, sembra che il Whistleblower possa segnalare solo per presunte violazioni rilevanti ai sensi del d.lgs. 231/2001 o violazioni del relativo MOG, e non anche violazioni del cluster di norme “europee”.
Sì, è corretto. La scelta del legislatore è stata, probabilmente in modo improvvido, quella di distinguere l’ambito oggettivo per i soggetti del settore privato. 

CANALI PER LE SEGNALAZIONI 

Saranno date linee guida su come gestire eventuali segnalazioni alternative al canale informatico, previste dall'art. 4, 3 comma? L'amministrazione può escludere di poter ricevere segnalazione tramite canali alternativi a quello informatico laddove non fosse in grado di garantire l'anonimato del segnalante?

Non è possibile. La legge prevede che debba essere garantita la possibilità di fornire segnalazioni in forma orale o su richiesta del segnalante, via incontro personale. Questi canali non sono garanzia di anonimato o riservatezza ma il segnalante deve essere messo nella condizione di effettuare una segnalazione in forma orale.

A.N.AC. non ha il potere normativo di fare Linee Guida vincolanti sui canali per la segnalazione interna ma fornirà delle raccomandazioni non obbligatorie agli enti nel corso del 2023.

È possibile chiarire le modalità di condivisione del canale interno nei gruppi di società anche tenuto conto del limite numerico indicato dal d.lgs. 24/2023 (numero di dipendenti non superiore a 249)?
Le società sotto i 250 dipendenti possono assegnare anche a un solo soggetto tra di loro la ricezione e la gestione delle segnalazioni. Questo soggetto dovrà necessariamente avere potere di accedere alle informazioni anche presso le altre società “consorziate”. Dovranno essere effettuate le rispettive nomine in materia di trattamento dei dati ma i canali non dovranno essere necessariamente disgiunti per ente. 
Nel caso di gruppo societario dove alcune società superano la soglia dei 249 dipendenti e altre no, come deve/può essere gestita la condivisione del canale?
Le società sotto i 250 dipendenti possono condividere i canali. Per quelle sopra i 250 dipendenti deve essere prevista l’esternalizzazione del canale presso altri soggetti. Nella pratica, dal punto di vista sostanziale, le differenze potrebbero essere minime; quello che cambia, invece, è il sistema di acquisizione di servizi esterni e le nomine per il trattamento dei dati personali. 
Nel caso di gruppi societari è ragionevole avere un canale di gruppo per segnalazioni da far pervenire “ai piani alti” e uno interno a ogni singola società controllata?
Questo può essere fatto. È sempre necessario che il soggetto ricevente possa svolgere attività di accertamento sui fatti. In caso contrario potrebbe esserci una violazione del principio di minimizzazione nel trattamento dei dati personali. 
Quali potrebbero essere, in concreto, i canali interni di segnalazione nelle grandi imprese? Chi potrebbe essere l'ufficio interno autonomo a cui affidare la gestione del canale?
Ragionevolmente la piattaforma informatica crittografata per le segnalazioni scritte e l’incontro personale per le segnalazioni orali. I grandi gruppi potrebbero anche mettere a disposizione uno spazio temporale settimanale per la segnalazione telefonica con operatore che guidi il segnalante nella segnalazione. Il soggetto ricevente idoneo potrebbe essere la funzione audit, in considerazione del fatto che si tratta di ufficio già preposto ai controlli interni. 
Il canale interno nel settore privato può essere affidato ad una società di consulenza esterna per la prima ricezione per poi coinvolgere l’azienda qualora la segnalazione fosse conforme al decreto 24?
È possibile. Ragionevolmente la società esterna dovrebbe però essere nella posizione di valutare in modo concreto la conformità delle informazioni contenute nella segnalazione. A meno che l’incarico sia conferito per confermare una mera conformità formale, operazione che però potrebbe essere svolta attraverso il questionario di compilazione della segnalazione. 
È prevista la coesistenza obbligatoria e sanzionata dei 3 canali di segnalazione (scritta, orale e di persona)? + La previsione del canale orale (via telefono, via messaggistica, in presenza) oltre quello scritto (anche in via informatica) deve essere considerata come obbligatoria, quindi con una procedura che contempli tutte le modalità oppure l'ente potrà decidere quale canale adottare?

Certamente deve essere data disponibilità per l’effettuazione di una segnalazione in forma scritta e orale. E certamente deve essere data disponibilità per un incontro personale, su richiesta del segnalante.

Attendiamo indicazioni da A.N.AC. se quest’ultima opzione possa costituire da sé il canale per la segnalazione orale o se vada in ogni caso predisposta anche una linea telefonica o un sistema di messaggistica vocale

Supponendo che quella orale sia obbligatoria, come ci si deve comportare a livello di protezione dati? Occorre rifarsi a piattaforme che presentino misure di sicurezza adeguate alla tutela del Whistleblower (conversazioni telefoniche crittografate, ecc.)? In tal caso Transparency International Italia ha approntato qualche soluzione?

Al momento non sappiamo quali debbano essere le caratteristiche di questi canali. La ratio della norma è di offrire al segnalante canali diversi per la segnalazione, proprio per incentivarla. Non riteniamo che il legislatore abbia pensato che la segnalazione orale andasse fatta attraverso una piattaforma ma che fosse un canale pensato per coloro che non si trovano a loro agio con strumenti tecnologici. 

Per quanto riguarda il progetto WhistleblowingPA, già oggi è possibile inviare allegati audio al questionario di segnalazione e ci potrebbero essere sviluppi tecnologici prossimi ma, come scritto, non crediamo che i canali scritto e orale debbano esistere all’interno dello stesso mezzo. 

Nel caso in cui pervenga una segnalazione orale e successivamente la persona non si presenta all'appuntamento concordato per la firma del verbale di quanto reso oralmente, si prosegue l'iter per verificare la fondatezza di quanto dichiarato?

La norma sembra prevedere la necessità della sottoscrizione del verbale da parte del segnalante perché la segnalazione sia di fatto agibile. Anche per questa ragione, ci sentiamo di raccomandare l’incontro personale come canale per la segnalazione orale, di modo che la firma possa essere fatta in modo contestuale. 

Come si accerta l'identità del segnalante nella segnalazione orale? + In caso di segnalazione orale mediante canale telefonico il RPCT o altro soggetto che risponde deve identificare il segnalante?

L’accertamento dell’identità del segnalante riguarda anche la segnalazione scritta, per cui andrebbero nel caso richiesti documenti identificativi. Vale la pena ricordare che, considerando il non divieto di ammettere segnalazioni anonime, la scelta del segnalante di identificarsi sia un diritto a tutela dello stesso contro possibili discriminazioni e non uno strumento per validare o meno una segnalazione. 

Sarà sempre necessario tenere distinti i canali di segnalazione tra whistleblowing 231 e segnalazioni nell'ambito del settore pubblico con riferimento all'art. 54 bis del d.lgs. 165/2001?

La legge prevede che in tutti gli enti in cui sia prevista la figura del RPCT sia questo il ricevente. In passato non c’era questo obbligo e gli enti assegnavano la ricezione delle “segnalazioni 231” ad altri organi. Qualora il RPCT volesse gestire queste ultime congiuntamente ad altri organi deve nominarli in modo specifico. Il canale potrà essere distinto o meno, a scelta dell’ente. 

L'idea di A.N.AC. di prevedere una registrazione della segnalazione telefonica sembra essere in parte limitata dal comma 2 dell'art. 14, cioè è necessario il consenso del segnalante per la registrazione della segnalazione.

Per validare la segnalazione orale, è necessaria la sottoscrizione del verbale della stessa. Con la segnalazione telefonica questo avverrà necessariamente in una fase differita. 

La guida che fa parte della linea telefonica di A.N.AC. è una voce registrata? O è un individuo? Lo chiedo perché nel secondo caso più persone sarebbero informate dell'illecito

A.N.AC. potrà rispondere nel dettaglio a questa domanda ma, da quanto abbiamo compreso, ci sarà un operatore telefonico a rispondere al telefono e guidare il segnalante. Questo operatore ragionevolmente coinciderà con uno dei soggetti istruttori che già leggono le segnalazioni su piattaforma e, quindi, non costituisce un allargamento dei soggetti a conoscenza della segnalazione.

D’altra parte, una segnalazione mediata da un soggetto ricevente contribuisce alla formulazione di una segnalazione più strutturata e qualificata e meglio processabile dal soggetto ricevente.

Quali caratteristiche tecniche e garanzie di sicurezza deve presentare il "canale interno" per garantire la compliance al Decreto 24: lecita email o PEC?

L’e-mail e la PEC non sono canali sicuri in quanto non crittografati. Non lo sono peraltro anche altri canali possibili, come la posta o le segreterie telefoniche. A.N.AC. ha sempre raccomandato l’utilizzo di piattaforme informatiche crittografate; è necessario attendere le Linee Guida della stessa per comprendere se queste siano ritenute obbligatorie.

L’art. 4 comma 6 dice che la segnalazione interna presentata ad un soggetto diverso da quello indicato nei commi 2, 4 e 5 è trasmessa, entro 7 giorni, al soggetto competente, dando contestuale notizia della trasmissione al segnalante. Come è possibile in tal caso tutelare la riservatezza del segnalante?

Non crediamo che questo sia possibile; siamo convinti che questa previsione normativa sia totalmente illogica e che, invece, la legge avrebbe dovuto prevedere l’obbligo di notificare al segnalante il canale corretto, cosicché sia questo a instaurare un dialogo confidenziale con il ricevente corretto. 

Le segnalazioni effettuate a un Manager, ad una funzione di controllo (risk, audit, compliance) rientrano nell' art.4 c.6? "La segnalazione interna presentata ad un soggetto diverso da quello indicato nei commi 2, 4 e 5 è trasmessa, entro sette giorni dal suo ricevimento, al soggetto competente, dando contestuale notizia della trasmissione alla persona segnalante." e tali soggetti (manager, dip. delle funzioni di controllo) sono a loro volta tutelati?

La legge sembra attribuire tutela contro le discriminazioni anche in caso di segnalazioni inviate a un soggetto errato. Tuttavia, resta di più complicata attribuzione la tutela della riservatezza, essendo le segnalazioni transitate su canali diversi da quelli previsti dalle procedure interne. 

Nel caso la segnalazione sia indirizzata all'UPD per fatti che hanno rilievo disciplinare, tenuto conto dei termini perentori per l'avvio del procedimento disciplinare e delle differenti tutele da apprestare al Whistleblower soprattutto sul piano della riservatezza (con riferimento alla segretezza della identità, soprattutto rispetto ai procedimenti disciplinari, all'accesso agli atti documentale e civico) che invece non sono previste per altre fattispecie, come occorre trattare una segnalazione laddove non risulti espressamente o chiaramente qualificata?

Una segnalazione inviata all’UPD non è una segnalazione di whistleblowing. La segnalazione deve essere inviata al destinatario corretto previsto dalla legge o dalle procedure interne, affinché il segnalante possa aver diritto alle tutele normative. Opportuno che il corretto canale e la corretta procedura siano adeguatamente esposti per i potenziali segnalanti. 

Chiarimenti in merito alle figure del “Facilitatore” e degli altri soggetti a cui il Decreto estende le misure di protezione accordate al Segnalante: al fine di consentire all’Azienda di proteggere tali figure, è opportuno che nella presa in carico della segnalazione si richieda al Whistleblower se si è avvalso di Facilitatori, se vi sono parenti entro il 4° grado che lavorano nel medesimo contesto lavorativo e chi sono i colleghi con i quali ha rapporti di lavoro abituali e correnti?

Può essere una domanda interessante da porre al soggetto segnalante in quanto aiuta il soggetto ricevente a comprendere quali ulteriori soggetti tutelare rispetto allo stesso. 

La locuzione "sentite le rappresentanze o le organizzazioni sindacali", deve essere intesa nel senso che l'attivazione della piattaforma deve essere preceduto o affiancato da un accordo sindacale specifico?

No, significa che deve essere aperta una consultazione con le stesse in merito alla predisposizione dei canali di segnalazione. Il parere ricevuto non è in ogni caso vincolante. 

La normativa prevede che I soggetti del settore pubblico e i soggetti del settore privato, sentite le rappresentanze o le organizzazioni sindacali, attivano propri canali di segnalazione. Se un’azienda non ha la rappresentanza sindacale, come si può procedere?

Se tali rappresentanze non sono presenti non vanno sentite e si può procedere senza questo parere, comunque non vincolante. 

Per gli enti non obbligati all'osservanza del decreto 24 non converrà adottare comunque il canale whistleblowing per evitare che il segnalante si rivolga direttamente all'A.N.AC.?

La segnalazione fatta attraverso questi canali potrebbe non prevedere le tutele previste dalla norma. Giova ricordare che anche per gli enti sottoposti al decreto ci sono grandi discrasie in merito all’ambito oggettivo di segnalazione, per cui non tutte le segnalazioni sono protette a seconda dei diversi enti. 

SEGNALAZIONI ESTERNE 

Quali sono i "fondati motivi" per effettuare la segnalazione nel canale esterno?

Sulla base della normativa i fondati motivi sono la paura di ritorsioni, la convinzione che non verrebbe dato seguito alla stessa e il convincimento di un possibile danno imminente all’interesse pubblico. Queste valutazioni sono chiaramente discrezionali e si attendono indicazioni specifiche nelle Linee Guida dell’A.N.AC..

È opportuno precisare che sia la Direttiva Europea che la precedente legge n.179/2017 davano al segnalante la possibilità di effettuare direttamente una segnalazione esterna: si può quindi auspicarsi che la dimostrazione di questi fondati motivi non sia troppo onerosa per lo stesso segnalante.

Il RUOLO DEL RPCT E DEL SOGGETTO RICEVENTE PRIVATO 

Nella PA, ove è obbligatorio e presente il RPCT, è sempre possibile individuare un ufficio e quindi altre persone che trattano le segnalazioni e sono abilitate ad accedere ad una piattaforma informatica di segnalazione? + È possibile che il responsabile della prevenzione della corruzione possa avvalersi di un collaboratore nella gestione della segnalazione?
La responsabilità è sempre in carico al RPCT, che può scegliere di avvalersi anche di altri soggetti appositamente nominati con atto organizzativo interno. 
Se il comportamento illecito è compiuto dal RPCT il segnalante si rivolge direttamente e unicamente all'A.N.AC.? + Alla luce del nuovo decreto deve essere comunque individuato un sostituto del RPCT in caso di sua assenza?
Sì, una delle motivazioni per cui il segnalante può segnalare esternamente è che teme ritorsioni da una segnalazione interna o che non gli sia dato seguito. L’ente può prevedere un ricevente “di riserva” ma, nei fatti, difficilmente questo soggetto di riserva avrà gli stessi poteri e competenze per svolgere attività di accertamento interne indipendenti. 
Cosa dire delle incompatibilità del soggetto ricevente?
L’incompatibilità del soggetto ricevente a trattare una segnalazione dovrebbe essere menzionata dallo stesso nel momento in cui riceve la comunicazione. Tuttavia, la riservatezza della segnalazione sarebbe compromessa. È ragionevole credere che sia il segnalante, ex ante, a stabilire se il soggetto ricevente possa non essere idoneo a gestire la stessa. 
Il CdA deve nominare il Responsabile dell’Ufficio interno di gestione delle segnalazioni valutandone autonomia e competenze? e se sì quali elementi deve considerare?
Il soggetto deve essere dotato di competenze eterogenee a svolgere attività di accertamento sulle diverse condotte che possono essere oggetto di segnalazione. L’autonomia deve essere garantita garantendo al soggetto ricevente la possibilità di richiedere informazioni e documenti ai diversi uffici senza che gli possa essere opposto un rifiuto, anche se sulla base di motivi gerarchici. 
Il RPCT può essere supportato delle funzioni "competenti", ad esempio ODV, responsabile antiriciclaggio, ecc.?
Il RPCT è responsabile per la ricezione e gestione delle segnalazioni. Può nominare soggetti a supporto della sua figura, che, dietro specifica nomina, gli vengono assimilati quanto a ruolo e responsabilità. Può anche indicare soggetti esterni come strutture che lo assisteranno nell’accertamento dei fatti segnalati: in questo caso andranno minimizzate le informazioni da trasferire a questi uffici, inoltrando solo quelle utili per le azioni di competenza. 
Le informazioni che vanno pubblicate sul sito internet dell'ente non comprendono necessariamente l'indirizzo del portale e il numero di telefono per le segnalazioni. È corretto? È sufficiente dare evidenza nella sezione dedicata alla trasparenza?
La sezione di amministrazione trasparente è una sezione pubblica dei siti delle amministrazioni pubbliche. In ogni caso, la normativa è piuttosto chiara nell’affermare la necessaria ampia visibilità data ai canali e alle informazioni ai segnalanti. È quindi necessaria non solo la pubblicazione sul sito internet di queste informazioni ma anche in una posizione facilmente accessibile dello stesso, anche per dare modo a tutti i soggetti legittimati di conoscere le informazioni e accedere ai canali stessi. 
Come interpretare la tematica del riscontro al segnalante e relativi termini di scadenza? + La nuova disciplina sul Whistleblowing parla di “riscontro” sul “seguito” (art. 2, lett. n e lett. o) rispetto alla segnalazione: riscontro che deve essere fornito al segnalante entro tre mesi (art. 5, lett. d). Come ci si deve comportare nel caso in cui il relativo accertamento richieda un tempo maggiore di 3 mesi? + Il riscontro che deve essere fornito al segnalante entro tre mesi quali elementi deve contenere? Dalla lettura delle definizioni di riscontro e seguito ex art. 2 d.lgs. 24/2023 sembra di capire che il riscontro nei termini dati potrà limitarsi all'esito dell'istruttoria, senza comprendere gli eventuali provvedimenti conseguenti. È corretto? + In che modo bisogna dare riscontro al segnalante, quanto dettaglio si deve fornire sulle attività e azioni attivate? Sarebbe giusto comunicarne l'esito (es. fondata o non fondata)?

Per quanto riguarda il riscontro da riportare per legge, la norma sembra prevedere un termine tassativo di tre mesi per il riscontro al segnalante. Il riscontro deve riguardare le attività compiute dal soggetto ricevente in questo lasso di tempo e non conterrà indicazioni relative a dati personali la cui conoscenza non è consentita al soggetto segnalante (ad es.: potrà essere comunicato l’avvio di un procedimento disciplinare a carico del soggetto segnalato ma non eventuali sanzioni attribuite).

Vale la pena precisare che il termine di tre mesi si riferisce al riscontro dell’attività istruttoria svolta in quel termine; non significa che obbligatoriamente andrà comunicato in quel termine l’esito finale delle attività di accertamento, che potrebbero anche essere più prolungate.

Ciò non toglie che l’ente deve dimostrare di aver dato seguito alla segnalazione svolgendo attività di accertamento nel periodo considerato, per evitare due conseguenze:

  1. Che il soggetto segnalante possa rivolgersi a canali esterni;
  2. Non subire procedimenti sanzionatori da parte di A.N.AC. dovuti all’inazione.
Se la segnalazione viene inviata alle autorità competenti quali Procura o Corte dei conti, si invia solamente una sintesi della segnalazione per tutelare segnalante e segnalato oppure si tutela solo segnalante e può essere inviato il nome del segnalato?

Alle autorità competenti non deve essere inviata inizialmente la segnalazione ma il risultato delle attività di accertamento; solo al termine di queste il ricevente può ritenere che i fatti segnalati siano supportati e siano confermati dei profili penali o di danno erariale. In questo caso è probabilmente opportuno inviare i fatti riscontrati, comprendenti il nome del soggetto segnalato. L’autorità giudiziaria ordinaria o contabile è in ogni caso tenuta a ricevere e trattare quanto ricevuto con gli stessi criteri di riservatezza adottati dal ricevente interno. 

La problematica fondamentale è capire i confini gestori di chi si occuperà della segnalazione. Quando i vertici devono esser messi a conoscenza del ricevimento di una segnalazione?

I vertici non devono essere messi a conoscenza del ricevimento della segnalazione. Il soggetto ricevente è responsabile della segnalazione e può eventualmente comunicare ai vertici gli esiti delle attività di accertamento, qualora fossero rilevanti per i vertici stessi. 

La previsione del consenso del segnalante per promuovere l'azione disciplinare a carico del segnalato è, secondo voi, corretta? Non è in contrasto con il diritto alla difesa che è proprio anche nel sistema disciplinare del mondo del lavoro?

Il consenso del segnalante non è richiesto per promuovere un’azione disciplinare ma per rivelare l’identità dello stesso. La rivelazione dell’identità è necessaria al diritto di difesa qualora sia necessario utilizzare la testimonianza del segnalante per procedere disciplinarmente. Il soggetto ricevente dovrebbe provare a raccogliere elementi ed evidenze ulteriori e indipendenti rispetto alla testimonianza del segnalante, così da non essere obbligato a richiederne la partecipazione. Qualora gli elementi non siano sufficienti a procedere, è opportuno che il segnalante debba accettare di essere chiamato; se non volesse farlo e il “caso disciplinare” non fosse sufficientemente solido, è corretto non procedere. 

L'OdV può essere considerato un soggetto adeguato a ricevere le segnalazioni? L'indirizzo e-mail con dominio non aziendale può essere utilizzato per l'invio delle segnalazioni?

In tutti gli enti, pubblici o privati, che non prevedono la figura del RPCT, è data libertà all’ente di scegliere il soggetto (individuale o collegiale) più idoneo alla ricezione e gestione delle segnalazioni. Questo soggetto deve essere adeguatamente formato e dotato di poteri e di accesso per svolgere le attività di accertamento senza esporre il segnalante. 

L’indirizzo email, qualunque indirizzo email, non è un canale crittografato ma può essere messo a disposizione per le segnalazioni; è necessario che sia data indicazione dello stesso nella procedura dell’ente e nella pagina informativa. 

L'OdV può essere soggetto che riceve le segnalazioni, al pari del RPCT? + Società partecipata da Ente Locale, munita di MOG231 che ha affidato il canale di whistleblowing al RPCT; come coordinare con l'OdV (che secondo la Relazione Illustrativa dovrebbe essere l'interlocutore "naturale" nell'ambito privato)?

Negli enti in cui è prevista la figura di RPCT è questi il responsabile per le segnalazioni. Può essere data disposizione organizzativa per cui la ricezione delle stesse sia congiunta con l’OdV. In quel caso l’OdV deve essere nominato come organo di supporto al RPCT.

Il parere del Garante Privacy sul ruolo dell'OdV (autorizzato) non comprende l'ipotesi delle segnalazioni WB, le esclude palesemente. Quindi, quale ruolo?

In realtà, il Garante, in questo parere, sembra confermare la designazione dell’Organismo di Vigilanza come soggetto idoneo a ricevere le segnalazioni di whistleblowing: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9347842.

La ratio è sempre la stessa: il soggetto ricevente deve essere dotato di poteri e accesso alle informazioni per svolgere le indagini di accertamento senza esporre i soggetti menzionati nella segnalazione.

Quale sarebbe la funzione ritenuta maggiormente efficace per la gestione delle segnalazioni? In che modo deve interagire con l’Organismo di Vigilanza ex d.lgs. 2321/2001? Quali compiti rimangono in capo a quest’ultimo?

Non c’è modo di dare una risposta univoca. Il criterio dovrebbe essere quello di incaricare un soggetto sia indipendente ma anche dotato di poteri e controlli per effettuare controlli efficaci (il primo esempio che viene in mente per imprese strutturate è l’audit). L’OdV può essere anch’esso eventualmente selezionato come ricevente ma, nel caso non lo sia, è opportuno che il ricevente notifichi eventuali esiti delle attività di accertamento che possano portare alla correzione di processi interni.

Riguardo al canale di segnalazione interna (art. 4, comma 2 e quindi art. 5 del d.lgs. 24/2023), questa persona o ufficio, va nominato dal CdA/Organo amministrativo? Può essere un organo collegiale? Per esempio, l'art.11 delle Ley 2/2023 spagnola, legge che tra l'altro recepisce la 2019/1937, che l'Organo amministrativo deve nominare un responsabile (e comunicarlo all'Autorità specificamente istituita sul Whistleblowing), così come la sua revoca. Prevede inoltre che, se la gestione delle segnalazioni interne è un organo collegiale, deve essere comunque nominato un responsabile (persona fisica).

Sì, deve essere nominato dai vertici e può essere organo individuale o collegiale. Se si tratta di un collegio, la responsabilità è di tutti i componenti. Nel caso siano presenti piattaforme informatiche, ogni persona deve avere un’utenza personale, così da determinare eventuali responsabilità sul trattamento. 

È possibile approfondire come conciliare la norma con i diritti del segnalato? (Es.: è possibile informare il segnalato di essere stato oggetto di una segnalazione in caso in cui questa si sia rivelata falsa?)

Lo scopo di una procedura di segnalazione è quello di gestire le segnalazioni attraverso canali confidenziali che tutelino il trattamento della stessa tutelando tutti i soggetti coinvolti (segnalante, segnalato, altre persone menzionate nella segnalazione). Fermo restando i profili di responsabilità a carico del segnalante che possa aver diffamato alcuni soggetti, è evidente che un canale interno non sia lo strumento attraverso cui si potrebbe pensare di creare un danno a un terzo. Inoltre, la legge prevede anche la tutela in caso di segnalazioni potenzialmente errate ma non volutamente false. 

Crediamo che sia controproducente per l’istituto questo tipo di comportamento, nel momento in cui al termine dell’accertamento di una segnalazione questa venga archiviata senza conseguenze per il segnalato. 

IL RUOLO DI A.N.AC.

Le linee guida A.N.AC. in corso di elaborazione sostituiranno la delibera n. 469 del 2021 oppure riguarderanno solo le procedure per la presentazione e gestione delle segnalazioni esterne?

A.N.AC. non ha più un potere regolatorio sulle segnalazioni interne; le Linee Guida ora in consultazione riguardano le segnalazioni esterne ma interpretano anche dei principi relativi alle segnalazioni interne. In ogni caso, le Linee Guida della delibera in oggetto sono superate dalla nuova normativa e ora abrogate.

Non pensate che per avere il cambiamento culturale a più livelli, l'A.N.AC. dovrebbe avere una sede Regionale?
Da un punto di vista dell’attività anticorruzione riteniamo sia ancor più importante un approccio eterogeneo anche in relazione alla tipologia di ente. Quanto alla previsione di sedi territoriali, crediamo che questo al momento non sia possibile anche solo per una problematica relativa alle risorse. 
In che modo A.N.AC. intende tutelare i segnalanti, vista l'attuale normativa che sembra aver fatto un passo indietro rispetto alla precedente normativa del 2017 e della legge Severino del 2012?

È certamente vero che possono esserci alcuni aspetti per cui la legge vigente abbia fatto dei passi indietro, come la non possibilità di segnalare irregolarità o le condizioni previste alla segnalazione esterna; tuttavia, in alcuni aspetti i passi in avanti sono evidenti, anche solo pensando all’ampliamento dell’ambito soggettivo e oggettivo di applicazione.

Non potendo rispondere in questa sede per A.N.AC., speriamo di poter indicare che il potenziamento organico dell’Autorità dovrebbe renderne l’azione più efficiente ed efficace, fermo restando che la tutela contro le discriminazioni non è prerogativa dell’Autorità in modo diretto, bensì dell’autorità giudiziaria.

L'ANONIMATO

Rientrano nell'oggetto della nuova normativa anche le segnalazioni anonime?

La legge non ha regolamentato le segnalazioni anonime, di fatto non escludendole e permettendone il trattamento al soggetto ricevente. È abbastanza evidente che un ricevente non ignorerà una segnalazione qualificata e ben circostanziata; allo stesso tempo, durante le fasi di accertamento non avrà l’onere di tutelare un soggetto che ha scelto di non rivelare la propria identità. 

Talune piattaforme (già in uso presso multinazionali) tutelano la riservatezza dell’identità del Segnalante andando oltre il dato normativo: il whistleblower rimane infatti anonimo al gestore del canale interno, avendo facoltà di richiedere ulteriori informazioni utili alla comprensione del caso e proseguire con la fase istruttoria, senza conoscerne mai l’identità. Questo modus operandi, alla luce della nuova normativa, è solo auspicabile o obbligatorio?

Non riteniamo che sia né auspicabile né tanto meno è obbligatorio. Il whistleblowing si basa su due principi fondamentali: il primo è che un segnalante invii a un soggetto ricevente informazioni relativi a possibili illeciti affinché questo possa accertarli ed eventualmente dare vita a correttivi; il secondo è che durante questo accertamento il segnalante non venga esposto. È un sistema basato sulla fiducia, e sul fatto che il ricevente manterrà la riservatezza del segnalante mentre svolge un’istruttoria interna sulla segnalazione.

Se il segnalante si fida del ricevente e delle tutele attribuite dalla legge, è necessario per il ricevente conoscere ogni informazione utile per non esporre il segnalante. Cosa succederebbe se lo esponesse involontariamente perché sceglie di non conoscerne l’identità? 

Non credete che un anonimato assoluto, con tutti i suoi limiti, possa essere l'unica soluzione affinché emergano una percentuale non trascurabile di situazioni illecite?

Siamo convinti che l’anonimato debba essere una facoltà per il segnalante, che può scegliere tra la tutela dell’anonimato e la tutela garantita dalla norma, che è un insieme di riservatezza e di misure contro le ritorsioni. 

Per le imprese non 231 è ammessa la segnalazione anonima? A parere del sottoscritto no. Come vanno gestite le eventuali segnalazioni anonime che hanno un fondamento?

La legge non regolamenta in generale le segnalazioni anonime. Possono essere processate o meno, a scelta dell’ente. Se processate, devono comunque essere trattate rispettando la riservatezza. 

PROTEZIONE DEI DATI PERSONALI

Avrei bisogno di sapere se e come cancellare i dati raccolti accidentalmente nel corso dell’attività di whistleblowing qualora siano stati ricevuti congiuntamente ai dati rilevanti

Attendiamo pronunce dell’A.N.AC. o del Garante su questo punto. La possibilità di modificare la segnalazione ricevuta ne compromette l’integrità, rendendo molto problematico soprattutto un eventuale procedimento volto ad accertare responsabilità successive.

Una casella di posta elettronica offre sufficienti garanzie di riservatezza dell'identità del segnalante?

L’email ordinaria non è un canale crittografato. Da un punto di vista tecnologico non è equiparabile a una piattaforma informatica crittografata. Se sarà sufficiente a garantire la riservatezza dovrà essere indicato da A.N.AC. o dal Garante per la Privacy.

Come è possibile tecnicamente dare attuazione dell'art. 14 comma 1 del d.lgs. 24/2023 in un ente pubblico? Nel caso di segnalazioni protocollate seppur con sistemi di crittografia a tutela della riservatezza, non è comunque possibile eliminare la registrazione di protocollo al termine massimo di 5 anni.
La norma prevede in maniera piuttosto chiara un termine massimo di conservazione di 5 anni. Peraltro, la legge dice che la conservazione delle segnalazioni debba essere minimizzata e che la conservazione a 5 anni costituisca un massimale ma non il termine necessario per tutte le segnalazioni. 
È possibile avere un chiarimento in merito a come coniugare la segnalazione verbale con le disposizioni del GDPR e del Codice Privacy, anche ai fini della definizione delle procedure interne alle PP.AA.?

La domanda è molto ampia e possiamo solo rimandare alle prossime linee guida di A.N.AC. e a possibili pareri del Garante Privacy. Sulla base della sola legge, è necessario che la segnalazione orale sia trascritta e il verbale della stessa sia firmato dal segnalante. Dopo questo processo, la segnalazione può ragionevolmente essere trattata come una segnalazione proveniente attraverso altri canali.

Nelle PA, quale ruolo assume l'RPCT rispettivamente alla normativa sulla protezione dei dati. La questione è controversa. Titolare del trattamento? Incaricato? Escluderei a priori la nomina ex art. 28 GDPR.
La nostra interpretazione è che possiamo considerare il RPCT un incaricato al trattamento dei dati. 
È corretto gestire le segnalazioni separatamente rispetto all'identità del segnalante (per maggior tutela della riservatezza), accedendo alla stessa soltanto in caso di necessità, oppure è preferibile che il gestore delle segnalazioni verifichi da subito che il segnalante rientri nelle categorie previste?

La nostra interpretazione è che, nel momento in cui il segnalante fornisce la propria identità, il soggetto ricevente sia tenuto a conoscerla, per poterlo tutelare durante l’attività di accertamento. Non crediamo che il mancato accesso del ricevente all’identità fornita dal segnalante possa eventualmente tutelarlo rispetto a eventuali sanzioni per aver esposto “involontariamente” il segnalante. 

Il presupposto di non accedere all’identità è che si ritenga che il ricevente non sia capace di svolgere accertamenti senza esporre il segnalante; costituisce un alibi e una giustificazione che ha poco a che vedere con il whistleblowing. 

Come è possibile identificare correttamente il segnalante sulla piattaforma delle segnalazioni? È legittimo chiedere di allegare un documento di riconoscimento?
Chiedere da subito documenti di riconoscimento può essere fortemente disincentivante per il segnalante, perché dà allo stesso la sensazione che la sua identità sia più importante di quello che sta in realtà comunicando.

È bene ricordare che l’identificazione del segnalante è un diritto per lo stesso a ricevere tutele, alla riservatezza e contro le ritorsioni; non dovrebbe invece costituire un filtro all’accesso al whistleblowing. 
Quali sono le accortezze da avere in chiave privacy nell'attivazione e gestione del canale telefonico? Deve trattarsi necessariamente di un numero dedicato oppure può essere utilizzato anche il cellulare usato comunemente dal gestore delle segnalazioni?
Sembra ragionevole pensare a un numero dedicato. Tuttavia, essendo necessario esporre il numero in chiaro per i segnalanti, la differenza potrebbe non essere rilevante.

È opportuno indicare ai segnalanti, in fase di informazione sul sito dell’ente, che per forza di cose il canale telefonico non offre le stesse garanzie tecnologiche di una piattaforma crittografata. 
Nel caso la segnalazione pervenga ad altro soggetto tenuto ora a trasmetterlo al RPCT (art. 4 c. 6) è corretto che venga comunicata anche l'identità del segnalante? Oppure deve invitare il segnalante ad utilizzare i canali dell'amministrazione che garantiscono la riservatezza? Nel primo caso è pacifico che non potrà garantirsi la tutela dell'identità del segnalante. Inoltre, il soggetto che ha ricevuto la segnalazione e non è RPCT deve essere autorizzato al trattamento?
Come già scritto, purtroppo la norma prevede che la segnalazione debba essere trasferita entro 7 giorni.

Sarebbe stato invece opportuno invitare il segnalante a utilizzare i canali corretti, proprio a fine di tutelare l’identità non solo del segnalante ma anche degli altri soggetti menzionati nella segnalazione oltre che della segnalazione stessa.

Il soggetto che ha ricevuto la segnalazione non può essere autorizzato al trattamento, perché le autorizzazioni non possono essere fatte ex post. 
È obbligatorio eseguire una DPIA sul processo di Whistleblowing?
Sì, in base all’articolo 13.6 del d.lgs. 24/2023. 

SETTORI SPECIALI

Se la segnalazione riguarda violazioni effettuate ai sensi degli artt. 52-bis e 52-ter del d.lgs. 1° settembre 1993, n. 285 (TUB) e degli artt. 4-undecies e 4-duodecies del d.lgs. 24 febbraio 1998, n. 58 (TUF) e relative disposizioni attuative della Banca d’Italia e della Consob, a cui non si applicano le previsioni del Decreto, nel fornire risposta finale dell’investigazione al Segnalante, gli dovrà essere indicata per un’eventuale segnalazione esterna Banca d’Italia e/o Consob?

Non esistono, in capo a questa tipologia di segnalazioni che ricadono al di fuori del decreto n.24/2023, obblighi informativi nei confronti dei segnalanti rispetto ai livelli successivi a cui può essere rivolta una segnalazione. 

Come "gestire" le segnalazioni del d.lgs. n.24/2023, dell'art. 48 del 231/2007 (antiriciclaggio), del d.lgs. 231/2001, art.39 del REGOLAMENTO DELLA BANCA D’ITALIA DI ATTUAZIONE DEGLI ARTICOLI 4-UNDECIES E 6, COMMA 1, LETT. B) E C-BIS), DEL TUF?

Invitiamo a consultare le Linee Guida A.N.AC. di prossima pubblicazione in merito alla prevalenza applicativa del d.lgs. n.24/2023 rispetto alle leggi speciali preesistenti. 

Settore privato con MOG231: le violazioni antiriciclaggio rientrano nell'ambito oggettivo del nuovo d.lgs. n.24/2023? Infatti, da un lato ha (in caso di vantaggio dell'ente) rilevanza 231/01 ma dall'altro è disciplinato dal d.lgs. Antiriciclaggio 231/07.

Riteniamo che le segnalazioni fatte con entrambi i canali siano meritevoli di tutela. È ragionevole che l’ente predisponga protocolli di collaborazione tra i soggetti riceventi qualora la segnalazione riguardi un illecito di questo tipo.

Qualora la violazione sia segnalata al responsabile per le segnalazioni ex d.lgs. n.24/2023, devono essere applicate le rafforzate protezioni previste dalla nuova normativa.

Pubblicazioni

How well do EU countries protect whistleblowers speakup
Procedure di Whistleblowing
Report Whistleblowing 2022: ALAC e WhistleblowingPA
Visita la pagina Whistleblowing
Seguici sui nostri canali social
Facebook
Instagram
Twitter
Linkedin
Youtube
Iscriviti alla newsletter
Iscriviti
Transparency International Italia
  • P.le Carlo Maciachini 11 - 20159 Milano
  • +39 02 40093560
  • Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
  • CF 97186250151
Link utili
I siti di TI Italia
© 2020 Transparency International Italia