Gli impatti organizzativi della nuova disciplina WhistleblowingArticolo a cura di Alessandra D'Andrea, Manager di Macfin Group
Segnalazioni Whistleblowing: cosa cambia con la nuova disciplina
- Le principali innovazioni
- Governance delle segnalazioni
- Aggiornamento della normativa interna
- Nuovo framework di Data protection e Data retention
La nuova disciplina
La nuova disciplina sul Whistleblowing è applicabile dal 15 luglio 2023 per gli Enti che adottano Modelli Organizzativi ex D.Lgs. 231/2001 e per gli Enti pubblici e privati con almeno 250 dipendenti.
Dal prossimo 17 dicembre sarà efficacie anche per gli Enti che, nell’ultimo anno, hanno impiegato almeno 50 lavoratori o hanno adottato un Modello 231.
Il Decreto impone l’estensione del perimetro degli illeciti segnalabili e l’ampliamento della platea dei potenziali segnalanti anche a soggetti esterni l’azienda, nonché l’obbligo di impostazione di canali interni e di un sistema informativo interno efficace.
Per i dettagli sui nuovi obblighi si rimanda al nostro Paper “Whistleblowing: Nuovi obblighi e adempimenti per le aziende”.
Le principali innovazioni
Le novità introdotte implicano un totale ripensamento della compliance Whistleblowing, con impatti, anche non marginali, sugli assetti organizzativi aziendali.
Per questo motivo è necessario, elaborare un piano di azione che consideri aspetti diversificati quali:
- la predisposizione di canali di segnalazione conformi ed affidabili
- l’approvazione di procedure e processi efficaci
- la formazione interna ed esterna riguardo l’utilizzo degli strumenti informatici adottati
Governance delle segnalazioni
Sul sistema del Whistleblowing deve vigilare un soggetto o un organo specificamente individuato, e in possesso di adeguate competenze.
La disciplina richiede di individuare una persona, oppure un ufficio interno autonomo dedicato e con personale specificamente formato o, in alternativa, un soggetto esterno; se l’Ente è dotato di un Modello 231, il soggetto o l’organo preposto per ricevere le segnalazioni deve essere espressamente indicato all’interno del Modello.
Il soggetto identificato per la gestione delle segnalazioni dovrà
- curare direttamente la gestione della segnalazione e garantire le tutele previste dalla norma verso i segnalati e segnalanti
- condurre le indagini di merito
- rendicontare agli organi di gestione e controllo le attività realizzate e l’esito delle valutazioni
L’individuazione formale di un soggetto preposto a ricevere e gestire le segnalazioni, chiaramente non esime il Consiglio di Amministrazione ed in qualche modo il Collegio Sindacale, dall’attuare una vigilanza sull’intero sistema nonché, in alcuni casi, dall’assunzione di decisioni inerenti segnalazioni che rientrano nella sfera di potere dell’organo.
Nella pratica, le soluzioni organizzative maggiormente adottate per l’attribuzione della responsabilità di gestore delle segnalazioni, risultano essere:
- l’affidamento ad organi interni rappresentati da soggetti appartenenti a varie funzioni per garantire competenze diversificate nella gestione delle segnalazioni (Head of Legal , Head of Internal Audit o Compliance);
- l’istituzione di un ufficio “ibrido” di Whistleblowing, formato da soggetti interni ed esterni all’Ente, dotati di competenze e formazione adeguate, anche al fine di meglio garantire l’indipendenza;
- l’outsourcing verso un soggetto esterno dotato di adeguata professionalità, che si occupi di gestire fase di ricezione delle segnalazioni in coordinamento con le deputate funzioni dell’Ente;
- l’affidamento all’Organismo di Vigilanza potrebbe, al ricorrere di determinate condizioni -tra cui il coordinamento con specifiche funzioni aziendali – garantire il coordinamento e mantenimento organizzativo delle attività di verifica e indagine richieste.
HR & Organizzazione
Il nuovo impianto di Whistleblowing deve essere disciplinato nella normativa aziendale.
È necessario, dunque, un aggiornamento delle policy e/o procedure, delle informative verso l’interno (incluse, tra l’altro, le note operative riguardanti le sanzioni previste in caso si verifichino violazioni) e la predisposizione di adeguate informative verso l’esterno.
La Politica / Procedura per la gestione delle segnalazioni, ove adottata, dovrà essere rivista in riferimento alle modalità di gestione delle nuove tipologie di segnalazioni, per ridefinire i ruoli e le responsabilità dei soggetti coinvolti, nonché per adeguare le garanzie e le tutele per segnalante e segnalato.
Nei Modelli Organizzativi 231 e nei Codici disciplinari dovranno altresì essere introdotte le sanzioni previste dall’Ente verso i soggetti che violano l’obbligo di riservatezza del segnalante e per i soggetti che inviano segnalazioni diffamatorie.
Privacy & Data Protection
Anche il framework di Data Protection adottato dovrà essere rivisto ed eventualmente integrato.
L’Informativa verso il segnalante dovrà prevedere informazioni aggiuntive rispetto alle nuove finalità e modalità di trattamento dei dati personali.
In qualità di titolare del trattamento, l’Ente dovrà attuare specifiche misure di sicurezza per tutelare la riservatezza delle informazioni, anche da un punto di vista tecnologico (i.e back up accessibile solo a determinati soggetti).
Questo aspetto assume particolare rilevanza nel caso l’Ente utilizzi una piattaforma di terze parti per la gestione delle segnalazioni; in questo scenario, il titolare del trattamento sarà chiamato a verificare l’adozione di specifiche misure prima di affidare l’incarico.
Anche la Procedura di Data Retention dovrà essere integrata, applicandosi anche ai dati delle segnalazioni: il Decreto Legislativo n. 24/2023, infatti, prevede che le segnalazioni, interne ed esterne, nonché la relativa documentazione, debba essere conservata nel rispetto del principio di limitazione della conservazione, e in ogni caso, per un periodo non superiore a 5 anni, che decorre dalla data dell’esito finale della procedura di segnalazione.
I dati non utili alla segnalazione, richiamando i principi di finalità e minimizzazione del trattamento, devono essere immediatamente cancellati.
Contenuti correlati
Alessandra D'andrea
Manager
