Dal 17 dicembre 2023 diventa operativa, anche per le PMI, la nuova disciplina sul whistleblowing. Sono molteplici gli aspetti di complessità organizzativa che vanno opportunamente governati in questa materia perché coinvolgono, in modo penetrante, tutta l’azienda. Infatti, l’adeguamento alla disciplina richiede particolare attenzione nella predisposizione, nell’implementazione e nella costante manutenzione delle policies interne e nella comunicazione esterna. Alcune aziende, già in linea con i modelli 231, lo fanno da molti anni e sono abituate agli aggiornamenti e alle revisioni degli strumenti di governance. Per tutte le aziende, ora è un’occasione da non sprecare!
In vista della scadenza del 17 dicembre 2023, data nella quale è prevista la piena operatività della nuova disciplina in materia di whistleblowing, è utile rammentare alcune delle principali novità della nuova disciplina di cui al D.Lgs. n. 24/2023 - attuativo della Direttiva UE 2019/1937 del Parlamento e del Consiglio del 23 ottobre 2019 - in vigore dal 30 marzo 2023 e operativa per le aziende di più grande dimensione già dal 15 luglio scorso.
La nuova disciplina si configura in modo più penetrante e preciso rispetto a quella introdotta nel 2017 ed oggi superata (legge n. 179/2017), ma presenta anche molteplici aspetti di complessità organizzativa, soprattutto per le aziende di più piccola dimensione, che vanno opportunamente governati.La platea dei soggetti tenuti ad applicare la disciplina del whistleblowing è, infatti, aumentata con l’entrata in vigore del D.Lgs. n. 24/2023. Relativamente al settore privato, l’ambito di applicazione delle tutele - una volta circoscritto all’ambito di applicazione (e alle fattispecie) di cui al D.Lgs. n. 231/2001 - è stato tracciato in base a determinati requisiti come le dimensioni occupazionali ovvero (appunto, ma non solo) l’adozione dei modelli 231 e, ancora, lo svolgimento di determinate attività da parte dell’impresa.
Infatti, rientrano nell’ambito di operatività della disciplina del whistleblowing: (i) coloro che hanno occupato nell’ultimo anno una media di almeno cinquanta (50) lavoratori con contratto di lavoro subordinato a tempo indeterminato o determinato; (ii) chi, pur non avendo occupato nell’ultimo anno una media di almeno cinquanta (50) lavoratori con contratto di lavoro subordinato a tempo indeterminato o determinato, rientra nell’ambito di applicazione degli atti dell’Unione di cui alle parti I.B e II dell’allegato del medesimo D.Lgs. n. 24/2023; (iii) i soggetti diversi dal punto (ii) e che sono dotati di un modello di organizzazione e gestione 231, anche se nell’ultimo anno non hanno raggiunto la media di cinquanta (50) lavoratori subordinati.
A tale riguardo ANAC ha specificato che si debba fare riferimento all’ultimo anno solare precedente a quello in corso, salvo per le imprese di nuova costituzione per le quali si considera l’anno in corso (ovvero il 2023).
Pertanto, per le imprese diverse da quelle di nuova costituzione, in sede di prima applicazione occorrerà fare riferimento alla media annua dei lavoratori impiegati al 31 dicembre 2022 e poi, per le annualità successive, si dovrà considerare il computo dell’anno solare precedente, sempre al 31 dicembre.
La nuova disciplina assume particolare rilevanza dal punto di vista organizzativo per le PMI perché coinvolge alcuni aspetti di governance di grande rilevanza pratica.
Innanzitutto, l’espansione dell’ambito oggettivo di applicabilità dell’obbligo, cioè di ciò che è considerato violazione rilevante ai fini della protezione, oltre all’obbligo di predisposizione dei canali di segnalazione. Si tratta di un passaggio rilevante che coinvolge in modo penetrante tutta l’organizzazione dell’impresa.
Gli illeciti oggetto di segnalazione potranno, infatti, essere individuati anche indipendentemente dall’elencazione delle fattispecie di reato presupposto tipiche dei Modelli di organizzazione, gestione e controllo ex D.Lgs. n. 231/2001 (ed elencati negli artt. 24 e ss. del decreto), così inserendo fattispecie di illecito ulteriori e non previste dall’elenco tassativo ivi previsto.
Si faccia ad esempio il caso delle molestie sessuali o dei comportamenti discriminatori o di ulteriori violazioni delle policies aziendali non contenuti nell’elenco dei reati - presupposto di cui al D.Lgs. n. 231/2001 e che invece, a discrezione dell’azienda, ben potranno essere inseriti nelle policies fra le ipotesi di possibili segnalazioni, con un evidente allargamento delle fattispecie di segnalazione da parte dei propri collaboratori. |
Questo - a mio avviso - costituisce il punto di vera e
rilevante novità di questa disciplina rispetto alla previgente e richiederà da parte dei soggetti obbligati la
chiara individuazione (e adeguata pubblicizzazione) dell’insieme dei
principi etici sui quali
si fonda l’
attività dell’impresa, anche al di là dell’elencazione specifica degli illeciti contenuta nel decreto.
Tali
illeciti sono, secondo le indicazioni del decreto:
1)
illeciti amministrativi, contabili, civili o penali che non rientrano nei numeri 3), 4), 5) e 6) dell’elencazione che segue;
2)
condotte illecite rilevanti ai sensi del D.Lsg. 8 giugno 2001, n. 231, o
violazioni dei
modelli di organizzazione e gestione ivi previsti, che non rientrano nei numeri 3), 4), 5) e 6) che seguono;
3) illeciti che rientrano nell'ambito di applicazione degli
atti dell'Unione europea o nazionali indicati nell'allegato al decreto ovvero degli atti nazionali che costituiscono attuazione degli atti dell'Unione europea indicati nell'allegato alla direttiva (UE) 2019/1937, seppur non indicati nell'allegato al decreto, relativi ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell'ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi;
4) atti od omissioni che
ledono gli interessi finanziari dell'Unione europea di cui all'articolo 325 del Trattato sul funzionamento dell'Unione europea specificati nel diritto derivato pertinente dell'Unione europea;
5)
atti od omissioni riguardanti il
mercato interno, di cui all'articolo 26, paragrafo 2, del Trattato sul funzionamento dell'Unione europea, comprese le violazioni delle norme dell'Unione europea in materia di
concorrenza e di
aiuti di Stato, nonché le violazioni riguardanti il mercato interno connesse ad atti che violano le norme in materia di imposta sulle società o i meccanismi il cui fine è ottenere un vantaggio fiscale che vanifica l'oggetto o la finalità della normativa applicabile in materia di imposta sulle società;
6) atti o comportamenti che vanificano l'oggetto o la finalità delle disposizioni di cui agli atti dell'Unione nei settori indicati nei numeri 3), 4) e 5).
Altro aspetto particolarmente rilevante è dato dall’introduzione di una disciplina dettagliata degli
obblighi di riservatezza e del
trattamento dei dati personali ricevuti, gestiti e comunicati da terzi o a terzi.
Oltre alla
protezione del segnalante - soprattutto in caso di avvio del procedimento disciplinare nei confronti dell’autore della violazione (art. 12 del D.Lgs. n. 24/2023) - significativo a questo riguardo è l’obbligo di
conformità di tutto il processo e del trattamento dei dati personali, compresa la comunicazione tra le autorità competenti, alla disciplina in materia di tutela dei dati personali di cui Regolamento (UE) 2016/679 (
GDPR).
I trattamenti di dati personali relativi al ricevimento e alla gestione delle segnalazioni sono effettuati dai soggetti pubblici e privati cui il decreto si riferisce, in qualità di titolari del trattamento. L’adozione del modello di segnalazione interna (e laddove adottati i
modelli 231, l’integrazione del
Modello di Organizzazione Gestione Controllo) richiede in particolar modo l’assunzione di adeguate misure tecniche e organizzative e una valutazione d’impatto sui rischi derivanti dai trattamenti effettuati come stabilito dell’art. 13 D.Lgs. n. 24/2023. Il che implica necessariamente l’analisi delle implicazioni tecniche derivanti dalla gestione dei dati (secondo i principi di
privacy by design e
privacy by default) e l’implementazione delle policies interne in materia di protezione dei dati, con ripensamento e riorganizzazione anche dell’
Informativa prevista dall’art. 13 del Reg. (UE) n. 679/2016, in modo da ricomprendere nel consenso informato anche l’eventualità della
segnalazione di illeciti e la
gestione dei
dati di tutti i
soggetti coinvolti, tenendo conto del potenziale coinvolgimento di tutti i soggetti dell’organizzazione.
Appare così, chiaramente, che l’adeguamento a questa importante disciplina richiede agli operatori ed alle
aziende particolare
attenzione nella
predisposizione, nella
implementazione e nella costante
manutenzione delle
policies interne.Le
organizzazioni - anche di piccola dimensione - già in linea con i modelli 231 lo fanno già da molti anni e sono
abituate agli
aggiornamenti e alle
revisioni degli
strumenti di governance. Gli
altri soggetti privati che non hanno mai affrontato questo adempimento, ma che operano comunque secondo propri indirizzi etici, dovranno procedere necessariamente ad un
adeguamento delle
policies e dei loro strumenti di
comunicazione interna ed esterna.
È un’occasione da non sprecare.
Copyright © - Riproduzione riservata
Fonte: https://www.ipsoa.it/documents/quotidiano/2023/12/09/whistleblowing-obblighi-opportunita-pmi-occasione-non-sprecare