D.lgs. 24/2023: i nuovi obblighi per le imprese in materia di whistleblowing

Il D.lgs. 24/2023, attuativo della Direttiva UE 2019/1937, rappresenta un importante passo avanti nella disciplina del whistleblowing in Italia, introducendo nuovi obblighi per le imprese volti a promuovere la segnalazione di fenomeni illeciti e a tutelare coloro che effettuano tali segnalazioni dal rischio di ritorsioni (quali, ad esempio, licenziamenti o demansionamenti).

Per consentire l’adeguamento alla nuova disciplina, il decreto ha fissato due importanti scadenze:

• 15 Luglio 2023 > scadenza per aziende private con un numero di lavoratori superiore a 249 e gli enti del settore pubblico;
• 17 Dicembre 2023 > scadenza per aziende private che impiegano un numero di lavoratori compreso tra i 50 e i 249.

In vista dell’approssimarsi del termine del 17 dicembre, è dunque cruciale per le aziende dotarsi di strumenti e procedure interne che consentano una gestione efficace e sicura delle segnalazioni, conformemente alle nuove previsioni normative e al generale principio di riservatezza.

La figura del whistleblower

Possono assumere il ruolo di whistleblower:

• i lavoratori dipendenti;
• i lavoratori autonomi, nonché i titolari di un rapporto di collaborazione;
• i lavoratori o i collaboratori, che forniscono beni o servizi o che realizzano opere in favore di terzi;
• i liberi professionisti e i consulenti che prestano la propria attività;
• i volontari e i tirocinanti, retribuiti e non retribuiti, che prestano la propria attività;
• gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.

La segnalazione può essere effettuata anche se l’attività di lavoro non è ancora iniziata o è conclusa, purché riguardi elementi di cui si è venuti a conoscenza nel corso del rapporto di lavoro o nel processo di candidatura.

Le stesse tutele previste per il whistleblower sono estese a:

• I facilitatori, ossia chi aiuta il segnalante ad effettuare la segnalazione;
• Gli affetti stabili e i parenti del whistleblower;
• I colleghi di lavoro;
• Gli enti di proprietà del whistleblower o in cui lo stesso lavora.

ll canale di segnalazione interno

Uno degli aspetti cardine del decreto è l’implementazione di canali di segnalazione interni che consentano ai whistleblower di effettuare la segnalazione in sicurezza.

A tal fine, i canali interni devono garantire la massima riservatezza dell’identità del segnalante, nonché di tutti gli altri soggetti coinvolti a vario titolo nella segnalazione, anche mediante il ricorso a strumenti di crittografia. Il tutto senza apportare penalità nelle tempistiche di gestione della segnalazione.

Ai sensi del D.lgs. 24/2023 il canale di segnalazione deve anche consentire al designato per la gestione delle segnalazioni di:

• Avvisare il whistleblower del ricevimento della segnalazione, entro 7 giorni dalla data di ricezione della stessa;
• Interloquire con il whistleblower, anche per richiedere ulteriori integrazioni;
• Dare riscontro alla segnalazione entro 3 mesi dall’invio dell’avviso di ricevimento, o dalla scadenza del termine di 7 giorni di cui sopra.

In quest’ottica, il canale di segnalazione può agevolare la gestione interna della segnalazione e la sua istruttoria, permettendo anche a soggetti differenti dal gestore della piattaforma di visualizzare il contenuto della segnalazione (a titolo esemplificativo, il responsabile HR, il CISO, l’ODV, il RSPP, ognuno in base agli ambiti di competenza e alla tipologia di illecito segnalato).

Gli obblighi privacy

Il D.lgs. 24/2023 richiama, come anticipato, gli obblighi di cui al GDPR.

Ne consegue che il personale chiamato ad operare sulla segnalazione, dovrà essere specificamente formato e designato ai sensi dell’art. 29 GDPR, e le procedure di gestione del canale dovranno essere adeguatamente formalizzate. Sulla piattaforma, poi, dovrà essere fornita un’informativa completa degli elementi di cui agli artt. 12 ss. GDPR.

Qualora il gestore del canale sia esterno, quest’ultimo dovrà essere designato Responsabile del Trattamento ai sensi dell’art. 28 GDPR.

Il trattamento dati inerente al canale di segnalazione, inoltre, dovrà essere oggetto di specifica Valutazione d’Impatto (DPIA) ai sensi dell’art. 35 GDPR.

La piattaforma WeAreProject

WeAreProject propone alle aziende clienti una piattaforma sicura, conforme e affidabile. Un servizio chiavi in mano con diverse funzionalità, che si adatta ai flussi di lavoro aziendali e alle necessità del cliente, garantendo il pieno rispetto degli standard di sicurezza tecnici previsti dalla normativa, grazie all’expertise maturato nel settore della sicurezza informatica.

Alla piattaforma è possibile integrare dei servizi di consulenza ad hoc erogati dal Team Legal & Compliance, legati non soltanto all’utilizzo della piattaforma, ma anche alla corretta implementazione degli aspetti prettamente legali dei nuovi obblighi normativi, quali lo svolgimento della DPIA e la stesura delle procedure operative interne.

Il servizio proposto da WeAreProject si pone l’obiettivo di aiutare e guidare il cliente lungo tutto il percorso di adeguamento, fornendo un pacchetto che risponda a tutti gli obblighi della norma e tolga al cliente dubbi e incertezze.

Per sapere di più sulla piattaforma whistleblowing e sul nostro servizio di consulenza, contattaci!