Whistleblowing: nuovi obblighi per le imprese con almeno 50 dipendenti
Le imprese che hanno occupato nel corso dell’anno precedente almeno 50 dipendenti sono tenute ad adempiere agli obblighi in materia di whistleblowing entro la data del 17 dicembre 2023. Il D.Lgs n. 24/2023 richiede di attivare un canale o di rendere disponibile una piattaforma attraverso la quale i propri dipendenti possano comunicare in modo anonimo e protetto gli eventuali illeciti e, di conseguenza, possano essere gestite e prese in carico le relative segnalazioni pervenute alla società.
Dal 17 dicembre 2023, è prevista la piena operatività della nuova disciplina in materia di whistleblowing, nuova disciplina di cui al D.Lgs. n. 24/2023 - attuativo della Direttiva UE 2019/1937 del Parlamento e del Consiglio del 23 ottobre 2019 - in vigore dal 30 marzo 2023 e operativa per le aziende di più grande dimensione già dal 15 luglio scorso.
La nuova disciplina si configura in modo più penetrante e preciso rispetto a quella introdotta nel 2017 ed oggi superata (legge n. 179/2017), ma presenta anche molteplici aspetti di complessità organizzativa, soprattutto per le aziende di più piccola dimensione, che vanno opportunamente governati.
La platea dei soggetti tenuti ad applicare la disciplina del whistleblowing è, infatti, aumentata con l’entrata in vigore del D.Lgs. n. 24/2023. Relativamente al settore privato, l’ambito di applicazione delle tutele - una volta circoscritto all’ambito di applicazione (e alle fattispecie) di cui al D.Lgs. n. 231/2001 - è stato tracciato in base a determinati requisiti come le dimensioni occupazionali ovvero (appunto, ma non solo) l’adozione dei modelli 231 e, ancora, lo svolgimento di determinate attività da parte dell’impresa.
Infatti, rientrano nell’ambito di operatività della disciplina del whistleblowing: (i) coloro che hanno occupato nell’ultimo anno una media di almeno cinquanta (50) lavoratori con contratto di lavoro subordinato a tempo indeterminato o determinato; (ii) chi, pur non avendo occupato nell’ultimo anno una media di almeno cinquanta (50) lavoratori con contratto di lavoro subordinato a tempo indeterminato o determinato, rientra nell’ambito di applicazione degli atti dell’Unione di cui alle parti I.B e II dell’allegato del medesimo D.Lgs. n. 24/2023; (iii) i soggetti diversi dal punto (ii) e che sono dotati di un modello di organizzazione e gestione 231, anche se nell’ultimo anno non hanno raggiunto la media di cinquanta (50) lavoratori subordinati.
A tale riguardo ANAC ha specificato che si debba fare riferimento all’ultimo anno solare precedente a quello in corso, salvo per le imprese di nuova costituzione per le quali si considera l’anno in corso (ovvero il 2023).
Pertanto, per le imprese diverse da quelle di nuova costituzione, in sede di prima applicazione occorrerà fare riferimento alla media annua dei lavoratori impiegati al 31 dicembre 2022 e poi, per le annualità successive, si dovrà considerare il computo dell’anno solare precedente, sempre al 31 dicembre.
La nuova disciplina assume particolare rilevanza dal punto di vista organizzativo per le PMI perché coinvolge alcuni aspetti di governance di grande rilevanza pratica.
Innanzitutto, l’espansione dell’ambito oggettivo di applicabilità dell’obbligo, cioè di ciò che è considerato violazione rilevante ai fini della protezione, oltre all’obbligo di predisposizione dei canali di segnalazione. Si tratta di un passaggio rilevante che coinvolge in modo penetrante tutta l’organizzazione dell’impresa.
Gli illeciti oggetto di segnalazione potranno, infatti, essere individuati anche indipendentemente dall’elencazione delle fattispecie di reato presupposto tipiche dei Modelli di organizzazione, gestione e controllo ex D.Lgs. n. 231/2001 (ed elencati negli artt. 24 e ss. del decreto), così inserendo fattispecie di illecito ulteriori e non previste dall’elenco tassativo ivi previsto.
Si faccia ad esempio il caso delle molestie sessuali o dei comportamenti discriminatori o di ulteriori violazioni delle policies aziendali non contenuti nell’elenco dei reati - presupposto di cui al D.Lgs. n. 231/2001 e che invece, a discrezione dell’azienda, ben potranno essere inseriti nelle policies fra le ipotesi di possibili segnalazioni, con un evidente allargamento delle fattispecie di segnalazione da parte dei propri collaboratori.
Questo costituisce il punto di vera e rilevante novità di questa disciplina rispetto alla previgente e richiederà da parte dei soggetti obbligati la chiara individuazione (e adeguata pubblicizzazione) dell’insieme dei principi etici sui quali si fonda l’attività dell’impresa, anche al di là dell’elencazione specifica degli illeciti contenuta nel decreto.
Tali illeciti sono, secondo le indicazioni del decreto:
1) illeciti amministrativi, contabili, civili o penali che non rientrano nei numeri 3), 4), 5) e 6) dell’elencazione che segue;
2) condotte illecite rilevanti ai sensi del D.Lsg. 8 giugno 2001, n. 231, o violazioni dei modelli di organizzazione e gestione ivi previsti, che non rientrano nei numeri 3), 4), 5) e 6) che seguono;
3) illeciti che rientrano nell'ambito di applicazione degli atti dell'Unione europea o nazionali indicati nell'allegato al decreto ovvero degli atti nazionali che costituiscono attuazione degli atti dell'Unione europea indicati nell'allegato alla direttiva (UE) 2019/1937, seppur non indicati nell'allegato al decreto, relativi ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell'ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi;
4) atti od omissioni che ledono gli interessi finanziari dell'Unione europea di cui all' articolo 325 del Trattato sul funzionamento dell'Unione europea specificati nel diritto derivato pertinente dell'Unione europea;
5) atti od omissioni riguardanti il mercato interno, di cui all' articolo 26, paragrafo 2, del Trattato sul funzionamento dell'Unione europea, comprese le violazioni delle norme dell'Unione europea in materia di concorrenza e di aiuti di Stato, nonché le violazioni riguardanti il mercato interno connesse ad atti che violano le norme in materia di imposta sulle società o i meccanismi il cui fine è ottenere un vantaggio fiscale che vanifica l'oggetto o la finalità della normativa applicabile in materia di imposta sulle società;
6) atti o comportamenti che vanificano l'oggetto o la finalità delle disposizioni di cui agli atti dell'Unione nei settori indicati nei numeri 3), 4) e 5).
Altro aspetto particolarmente rilevante è dato dall’introduzione di una disciplina dettagliata degli obblighi di riservatezza e del trattamento dei dati personali ricevuti, gestiti e comunicati da terzi o a terzi.
Oltre alla protezione del segnalante - soprattutto in caso di avvio del procedimento disciplinare nei confronti dell’autore della violazione (art. 12 del
D.Lgs. n. 24/2023) - significativo a questo riguardo è l’obbligo di conformità di tutto il processo e del trattamento dei dati personali, compresa la comunicazione tra le autorità competenti, alla disciplina in materia di tutela dei dati personali di cui Regolamento (UE) 2016/679 (GDPR).
I trattamenti di dati personali relativi al ricevimento e alla gestione delle segnalazioni sono effettuati dai soggetti pubblici e privati cui il decreto si riferisce, in qualità di titolari del trattamento. L’adozione del modello di segnalazione interna (e laddove adottati i modelli 231, l’integrazione del Modello di Organizzazione Gestione Controllo) richiede in particolar modo l’assunzione di adeguate misure tecniche e organizzative e una valutazione d’impatto sui rischi derivanti dai trattamenti effettuati come stabilito dell’ art. 13 D.Lgs. n. 24/2023. Il che implica necessariamente l’analisi delle implicazioni tecniche derivanti dalla gestione dei dati (secondo i principi di privacy by design e privacy by default) e l’implementazione delle policies interne in materia di protezione dei dati, con ripensamento e riorganizzazione anche dell’Informativa prevista dall’art. 13 del Reg. (UE) n. 679/2016, in modo da ricomprendere nel consenso informato anche l’eventualità della segnalazione di illeciti e la gestione dei dati di tutti i soggetti coinvolti, tenendo conto del potenziale coinvolgimento di tutti i soggetti dell’organizzazione.
Appare così, chiaramente, che l’adeguamento a questa importante disciplina richiede agli operatori ed alle aziende particolare attenzione nella predisposizione, nella implementazione e nella costante manutenzione delle policies interne.
Le organizzazioni - anche di piccola dimensione - già in linea con i modelli 231 lo fanno già da molti anni e sono abituate agli aggiornamenti e alle revisioni degli strumenti di governance. Gli altri soggetti privati che non hanno mai affrontato questo adempimento, ma che operano comunque secondo propri indirizzi etici, dovranno procedere necessariamente ad un adeguamento delle policies e dei loro strumenti di comunicazione interna ed esterna.
Le aziende che non abbiano ancora provverduto agli adempimenti possono contattare i nostri uffici per il necessario supporto.
| Per informazioni rivolgersi all'Associazione degli Industriali della Sardegna Centrale | |
| Referente: | Direzione - Luigi Ledda |
| Telefono: | 0784 233313 |
| Fax: | 0784 233301 |
| E-mail: | l.ledda@assindnu.it |