Il Whistleblowing, istituto finalizzato a tutelare tutte le parti interessate che decidano di effettuare segnalazioni relative a condotte illecite o sospette, è stato oggetto di aggiornamento da parte della direttiva europea 2019/1937 il cui schema attuativo nazionale è stato presentato dal governo a gennaio 2023 e definito con il D.Lgs. 24/2023.

Prima di analizzare cosa prevede il nuovo decreto, quali sono i soggetti obbligati ed entro quando si devono adeguare?

SOGGETTI CON OBBLIGO AL 15 LUGLIO 2023:

Pubbliche amministrazioni e soggetti del settore pubblico.

Imprese private che, nell’ultimo anno, hanno impiegato almeno 250 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.

SOGGETTI CON OBBLIGO AL 17 DICEMBRE 2023

Imprese private che, nell’ultimo anno, hanno impiegato da 50 a 249 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato.

Imprese private che abbiano adottato un Modello di Organizzazione Gestione e Controllo ex D.Lgs. 231/01 anche con un organico inferiore ai 50 dipendenti

Imprese private, che seppur non avendo un organico medio annuo di 50 dipendenti, rientrano nel campo di applicazione dell’unione europea relativo a:

–          Servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo;

–          Sicurezza dei trasporti;

–          Tutela dell’ambiente.

Tutte le tipologie di aziende che non rientrano nell’elenco soprastante sono escluse dall’applicazione del presente decreto.

I soggetti appena citati dovranno attivare, sentite le rappresentanze o organizzazioni sindacali ove presenti, un canale informatico (software) di segnalazione che garantisca l’anonimato e riservatezza della segnalazione, anche attraverso il ricorso a strumenti di crittografia. La gestione di tale canale dovrà essere affidata a una persona o ad un ufficio interno oppure ad un soggetto esterno che dovrà essere adeguatamente formato e fornito di tutti gli strumenti necessari ad espletare la sua funzione; in entrambi i casi la persona individuata dovrà essere adeguatamente formata.

Oltre al canale informatico è necessario garantire anche la possibilità di effettuare segnalazioni orali attraverso linee telefoniche, sistemi di messaggistica o incontro diretto con il segnalante.

Quanto attuato dovrà essere comunicato al personale e alle parti interessate attraverso un regolamento che specifici le modalità attraverso cui è possibile effettuare delle segnalazioni e le relative conseguenze.

Qualora le segnalazioni dovessero essere inoltrate a persona diversa dal referente individuato dall’azienda, il ricevente entro 7 giorni deve provvedere ad inoltrarla all’incaricato.

La gestione delle segnalazioni, secondo lo schema attuativo della direttiva, prevede che il ricevente:

  1. Informi il segnalante rispetto all’avvenuta presa in carico della comunicazione entro 7 giorni dalla ricezione;
  2. Mantenga relazioni con il segnalante e, se necessario, chieda integrazioni;
  3. Approfondisca e dia seguito alle segnalazioni ricevute;
  4. Dia riscontro relativamente alla segnalazione entro tre mesi dalla scadenza del termine di 7 giorni previsto per la comunicazione di ricezione (punto 1);
  5. Metta a disposizioni informazioni chiare sul canale istituito, sulle procedure e sui presupposti per effettuare segnalazioni. Tali informazioni devono, inoltre, essere diffuse in azienda e a disposizione sul proprio sito web aziendale.

Le aziende inadempienti potranno incorrere in sanzioni fino a 50.000 euro.

A fronte della nuova normativa i soggetti obbligati dovranno apportare aggiornamenti al Modello ex D.lgs 231/2001 adottato, il proprio sistema disciplinare e/o sanzionatorio e adeguare il proprio sistema privacy Reg. 679/2016 andando a:

  • Aggiornare la valutazione del rischio privacy;
  • Aggiornare o definire la valutazione d’impatto;
  • Integrare le informative privacy;
  • Predisporre gli incarichi per i designati al trattamento;
  • Predisporre le nomine di responsabili esterni al trattamento per i fornitori che forniscono applicativi e servizi connessi;
  • Aggiornare il registro del trattamento;
  • Predisporre misure di cancellazione dei dati alla conclusione del trattamento;
  • Formare il personale in merito agli aspetti privacy
  • Sottoscrivere accordi con altri enti e/o titolari con cui si condivide la piattaforma utilizzata quale canale di segnalazione.

Restiamo a disposizione per approfondimenti e richieste di assistenza.

La nostra newsletter

News aziendali

Circa una al mese

Iscrivendoti alla newsletter ti invieremo una mail ogni volta che pubblichiamo una nuova new interessante per la tua azienda.