Il 15 luglio scorso è entrato in vigore il D. Lgs. 24/2023 (che recepisce la Direttiva 2019/1937) in tema di whistleblowing: normativa che riguarda le segnalazioni di illeciti amministrativi, contabili, civili o penali, condotte illecite rilevanti ai sensi del D. Lgs. 231/2001 o violazione dei modelli di organizzazione e gestione oltre che illeciti rientranti nell’ambito degli atti dell’Unione Europea.
L’obiettivo della normativa in esame è quello di tutelare coloro che effettuano tali segnalazioni di cui sono venuti a conoscenza nel contesto lavorativo pubblico o privato. Le disposizioni del decreto sono entrate in vigore a decorrere dal 15 luglio 2023 per le società con più di 250 dipendenti e dal 17 dicembre 2023 per le società del settore privato da 50 fino a 249 dipendenti.
Tali ultime aziende interessate dalla vigente normativa sono quelle operanti nei settori dei servizi, prodotti e mercati finanziari, prevenzione del riciclaggio e del finanziamento del terrorismo, nonché quello della sicurezza dei trasporti.
La normativa ha un impatto molto significativo sulla protezione dei dati personali e richiede una particolare attenzione da parte della aziende datrici di lavoro.
Il segnalante (cd. whistleblower) può essere un lavoratore subordinato o autonomo, un collaboratore dell’azienda, un libero professionista, un volontario o tirocinante anche non retribuito; un azionista o colui che ha funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza dell’azienda.
Tali soggetti potranno segnalare le violazioni e gli illeciti di cui siano venuti a conoscenza nel contesto lavorativo, sia quando il rapporto giuridico che li lega all’ente – pubblico o privato – sia in corso, sia quando lo stesso sia cessato o non sia ancora iniziato (es. periodo di prova).
Le segnalazioni potranno pervenire in via prioritaria tramite un canale interno aziendale istituito, regolamentato e gestito ad hoc dall’azienda e, solo in caso di inefficacia del canale interno e, dunque, al ricorrere di alcune condizioni, sarà possibile svolgere una segnalazione esterna (gestito direttamente dall’Autorità Nazionale Anti Corruzione) o godere delle tutele previste dal Decreto a seguito della c.d. “divulgazione pubblica”. Il soggetto chiamato a gestire le segnalazioni (cd. “gestore”) dovrà essere, comunque, autonomo ed adeguatamente formato.
Agli artt. 12 e 14 sono disciplinate le prescrizioni privacy: il primo sancisce un generale obbligo di riservatezza in capo al gestore della segnalazione circa l’identità del segnalante e qualsiasi informazione da cui la stessa possa evincersi (è previsto che questi dati non possano essere rilevati senza il consenso espresso del segnalante stesso); il secondo che riguarda la minimizzazione del tempo di conservazione della documentazione inerente la segnalazione, comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, e le modalità tecnica (in forma scritta o orale) di acquisizione della stessa.
Alcuni elementi interessanti sono contenuti in due Pareri del Garante della Privacy (n. 215 del 2019 e n. 1 del 2023), secondo cui, per rispettare le disposizioni di legge l’azienda deve:
- garantire la riservatezza dell’identità del segnalante, nonché della persona coinvolta e della persona comunque menzionata nella segnalazione anche con il ricorso a misure di sicurezza appropriate, inclusi la crittografia e l’impiego di sistemi cifrati;
- procedere all’espressa autorizzazione, delle persone competenti a ricevere o a dare seguito alle segnalazioni, a trattare tali dati ai sensi delle norme della legislazione in tema di privacy (GDPR e Codice Privacy).
- disciplinare il rapporto con eventuali fornitori esterni che trattano dati personali per conto dei titolari del trattamento ai sensi della normativa vigente sulla privacy (art. 28 GDPR).
- predisporre una valutazione del rischio (come per tutti i trattamenti di dati personali) e considerata la rilevanza del rischio, una valutazione di impatto sulla protezione dei dati ex art. 35 GDPR (art. 13, co. 6 D. Lgs. 24/2023).
- adeguatamente aggiornare il registro delle attività di trattamento.
Entro i successivi sette giorni dalla segnalazione, la datrice dovrà rilasciare al “whistleblower” un avviso di ricevimento e, nei successivi tre mesi, fornirgli riscontro sulle vicende sollevate.
Tutte queste previsioni dovranno essere, peraltro, integrate, per espressa previsione del D.lgs. n. 24/2023, all’interno dei Modelli 231 di nuova redazione.
Nei Modelli 231 già esistenti occorrerà, invece, verificare se vi sia già la previsione di un canale di whistleblowing adeguato alla nuova normativa e, nel caso, adeguare il Modello e le procedure connesse alla nuova normativa.
Le imprese di trasporto e logistica non sono estranee, anzi sono pienamente coinvolte dalla nuova disciplina, se rientranti nei criteri soggettivi indicati dalla normativa, dovendo adottare protocolli interni per uniformarsi alla disciplina.
Le imprese suddette dovranno, difatti, provvedere ad adottare efficaci canali di segnalazione interna che garantiscano la riservatezza dei soggetti segnalanti.
Si necessita, pertanto, anche in un settore così particolare e dinamico, come quello dei trasporti, dell’implementazione di un sistema di segnalazione delle violazioni e/o irregolarità quale strumento concretamente ed efficacemente volto a garantire la sicurezza sul lavoro oltre che per fronteggiare tempestivamente eventuali difficoltà gestionali interne legate, ad esempio, all’allestimento ed alle dotazione dei mezzi in circolazione, evitando che la mancata predisposizione di validi strumenti possa causare l’aggravamento della situazione di rischio per l’impresa.
Alla luce di tali stringenti e strutturate modifiche nella materia trattata suggeriamo di rivolgersi a professionisti esperti e dedicati.
Il nostro studio resta a disposizione, in merito, per ogni necessità.
Avv. Maria Cristina Bruni Senior Partner
NEWSLETTER 3/2024