Lo scorso mercoledì 15 marzo 2023 è stato pubblicato il Decreto Whistleblowing. (G.U. vedi Decreto Legislativo 10 marzo 2023, n. 24 di recepimento della Direttiva (UE) 2019/1937), che è entrato in vigore il 30 marzo u.s.
Il Decreto Whistleblowing impone alle imprese l’implementazione obbligatoria di canali di segnalazione e porta a considerare con estrema attenzione temi connessi di corporate governance, risk management, protezione dei dati personali e diritti dei lavoratori.
Il Decreto Whistleblowing amplia in modo significativo il novero dei soggetti tutelati in caso di segnalazione comprendendo, oltre ai dipendenti le figure di seguito indicate:
- lavoratori autonomi;
- liberi professionisti e consulenti;
- volontari e tirocinanti;
- azionisti e persone con funzioni di amministrazione;
- direzione;
- controllo e vigilanza o rappresentanza;
- candidati;
- lavoratori in prova;
- ex dipendenti;
- facilitatori;
- parenti o colleghi di lavoro del segnalante;
- enti di proprietà del segnalante o che operano nel medesimo contesto lavorativo del segnalante.
Il Decreto Whistleblowing ha lo scopo di tutelare le persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione Europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza nel proprio contesto lavorativo.
Le segnalazioni possono essere trasmesse attraverso:
- canali di segnalazione interna, implementati dagli enti del settore privato o dalle amministrazioni pubbliche;
- canale di segnalazione esterna, attivato dall’Autorità Nazionale Anticorruzione (ANAC);
- divulgazioni pubbliche, tramite i mass media.
Nel settore privato, l’obbligo di implementare canali di segnalazione, adottare procedure per l’effettuazione e la gestione delle segnalazioni, e garantire le misure di tutela si applica agli enti privati (incluse le società) che:
- nell’ultimo anno, hanno impiegato la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato, a prescindere dal settore di appartenenza;
- hanno adottato un modello organizzativo ai sensi del D. Lgs. 231/2001 (“Modelli 231”), a prescindere dal numero dei dipendenti impiegati e dal settore di appartenenza;
- rientrano nell’ambito di applicazione degli atti dell’Unione Europea – elencati nell’allegato al Decreto - in materia di servizi, prodotti e mercati finanziari, prevenzione del riciclaggio e finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente, a prescindere dal numero dei dipendenti impiegati.
Cosa fare subito?
Per prima cosa si devono istituire dei canali di segnalazione | Compliance.
In particolare, gli enti e le società dotati di Modelli Organizzativi 231 devono adeguare i canali di segnalazione già adottati, in modo che soddisfino quanto previsto dal Decreto Whistleblowing.
Contestualmente gli enti devono organizzare la gestione dei canali di segnalazione | Governance che deve essere regolamentata da una procedura affidata a personale specificamente formato per la gestione del canale di segnalazione o a un soggetto esterno qualificato.
I titolari del trattamento dei dati personali delle persone fisiche, devono attuare una serie di misure al fine di tutelare la riservatezza del segnalante e l’integrità, mantenendo la confidenzialità, dei dati personali oggetto di segnalazione. E' fondamentale applicare le misure di data protection e cyber security | Data Protection e Cyber Security rispetto agli adempimenti data protection,
L’obbligo di implementare i canali di segnalazione scatta:
- dal 15 luglio 2023, per gli enti privati con 250 o più dipendenti;
- dal 17 dicembre 2023 per i soggetti privati con 50 o più dipendenti
Fermi restando gli altri profili di responsabilità, l’ANAC applica al responsabile sanzioni amministrative pecuniarie fino a 50.000 euro quando accerta, tra l’altro, che:
- sono state commesse ritorsioni;
- la segnalazione è stata ostacolata/si è tentato di ostacolarla;
- è stato violato l’obbligo di riservatezza;
- non sono stati istituiti canali di segnalazione;
- non sono state adottate procedure per l’effettuazione e la gestione delle segnalazioni o le procedure adottate non sono conformi al Decreto;
- non è stata svolta l’attività di verifica e analisi delle segnalazioni ricevute.
Un’attenzione particolare dovrà essere riservata all’approccio risk based rispetto all’obbligo di svolgimento dell’attività di analisi dei rischi e di valutazione degli impatti data protection, tenuto conto altresì del termine di conservazione dei dati oggetto di trattamento individuato nei 5 anni successivi alla data di comunicazione dell’esito finale della procedura di segnalazione.
Contestualmente, dovrà essere assicurata anche la sicurezza del canale di segnalazione in termini di confidenzialità, integrità e disponibilità delle informazioni, sia per quel che concerne l’oggetto della segnalazione che i dati personali del segnalante.
Le imprese devono informare e sensibilizzare dipendenti e terzi interessati attraverso politiche di whistleblowing che definiscano in modo semplice e comprensibile le finalità e modalità di utilizzo dei canali di segnalazione e diffondere una cultura delle segnalazioni come strumento di compliance, responsabilità sociale e sostenibilità.
Siamo a disposizione per una Consulenza personalizzata per indicare agli interessati come possono essere trasmesse le segnalazioni, quali sono i soggetti obbligati nel settore privato, chi sono possono essere nella loro realtà aziendale i segnalanti/whistleblower tutelati e quali sono le misure di protezione previste da implementare.
Per consulenze, iscrizione ai corsi e partecipazione ai seminari chiamare il numero 0415412700 o visitate i nostri siti www.mog231.it; www.modiq.it, www.consulenzasicurezzaveneto.it, www.corsionlineitalia.it, www.consulenzaprivacyregolamentoue679.it e www.consulenzacertificazioneiso37001.it/. E-mail MODI NETWORK modi@modiq.it.
Commenti
Posta un commento