Decreto whistleblowing: l'importanza delle piattaforme ad hoc per rispettarlo
13/07/23La normativa italiana prevede l'obbligo a partire dal 15 luglio 2023 di implementare un canale informatico criptato e sicuro che garantisca la completa tutela del segnalante. Una semplice email, una PEC o un software installato nei propri server aziendali non possono fornire queste garanzie! Scopri il giusto strumento
L'obbligo di dotarsi di un software per gestire il whistleblowing per le aziende con più di 50 dipendenti è ormai ufficiale!
Il decreto legislativo n. 24/2023, che introduce la nuova disciplina del whistleblowing in Italia, è entrato in vigore il 30 marzo 2023. Le nuove disposizioni avranno effetto a partire dal 15 luglio 2023, con una deroga per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati non superiore a 249. Per questi l’obbligo di istituzione del canale di segnalazione interna avrà effetto a decorrere dal 17 dicembre 2023.
Dunque, si parte. Dal 15 luglio 2023 le aziende dovranno assicurare ai lavoratori la possibilità di “segnalare condotte illecite, non nel proprio interesse individuale ma nell’interesse pubblico affinché non venga pregiudicato un interesse collettivo” (Rapporto ANAC 2016).
Il Whistleblowing, comunque, non è del tutto una novità nel nostro ordinamento. Infatti, già dal 2017, è il D. Lgs 231/2001 a prevedere l’obbligo di istituire un canale di segnalazione e protezione del segnalante all’interno delle organizzazioni che si dotano di un modello 231.
In parole semplici, per qualcuno l’obbligo esiste già, per molti sta per essere introdotto e per moltissimi (per chi ha impiegato più di 50 lavoratori nell’ultimo anno) sarà introdotto a fine anno.
Cosa rischia chi non rispetta il decreto whistleblowing
Attraverso questo canale, tutto il personale di un’organizzazione (anche gli autonomi e i tirocinanti, ad esempio) avrà la possibilità di segnalare a un incaricato qualunque tipo di illecito, dalle molestie alla corruzione, ma anche illeciti meno gravi. Ciò, ovviamente, purché la segnalazione non sia una mera illazione, cioè sia supportata da informazioni o fondati sospetti.
Chi non attiverà questo canale, oltre a rischiare sanzioni da 10.000 a 50.000 euro, dovrà considerare che il proprio personale potrà comunque avvalersi di un canale di segnalazione esterno, attivato da ANAC (Autorità Nazionale Anti Corruzione).
Le segnalazioni non dovranno avere una particolare forma, ma non potranno essere anonime e dovranno contenere indicazioni precise sulle circostanze dei fatti portati all’attenzione dell’incaricato, che potrà essere una persona o un ufficio interno oppure esterno. L’incaricato dovrà essere autonomo, formato e dovrà operare sulla base di una procedura che rispetti i criteri previsti dalla normativa e dall’esigenza di garantire la sicurezza del segnalante.
Segnalazioni whistleblowing: la necessità della data protection
Qui entra in gioco la privacy o, per meglio dire, la data protection. Affinché possano essere previste in concreto le garanzie previste dalla norma, è necessario che sia garantita la massima riservatezza delle segnalazioni. Se, infatti, è garantita ex lege la nullità degli atti ritorsivi ed è prevista l’inversione dell’onere della prova, è facile immaginare che ciò non basti per far “dormire tranquillo” il segnalante.
Se la segnalazione non potrà essere anonima, per ragioni di contrasto all’abuso del canale e di diritti dei target delle segnalazioni, occorrerà garantire che sia sotto il profilo organizzativo che sotto quello tecnico, l’informazione circa il chi ha segnalato cosa resti blindata. Sia che le segnalazioni vengano gestite in forma orale o attraverso un software, dovremo obbligatoriamente prevedere misure che impediscano la circolazione delle “soffiate”.
Per questo, sarà necessario garantire che l’ambiente dedicato sia sicuro. Verrà scelto di gestire il processo mediante una sala colloqui? Allora occorrerà garantire che chi entra nella sala non venga riconosciuto come segnalante da soggetti diversi da chi sarà deputato a raccogliere e gestire la segnalazione.
Non solo, sarà necessario garantire che eventuali carte relative allo scambio informativo siano conservate in modo sicuro, ossia protette da sguardi non autorizzati ma anche dalla perdita o dalla distruzione non intenzionale. Per contro, non appena dovessero risultare non più utili, le stesse carte andranno distrutte.
Software e piattaforme whistleblowing: la chiave per una corretta osservanza del decreto
Si sceglie un software? Ottimo, sarà allora necessario garantire che la trasmissione digitale sia protetta, sarà opportuno prevedere una crittografia tanto del canale quanto dei contenuti (le segnalazioni) e sarà bene prevedere che la piattaforma tenga traccia di chi entra, quando e a far cosa (log).
La norma, poi, ci impone di effettuare una DPIA ex art. 35 GDPR, ovvero un risk assessment specifico e approfondito sul processo e sull’eventuale soluzione adottata, soprattutto se digitale e se in parte automatizzata.
La necessità di aggiornare i processi di lavoro aziendali
Ma non è finita qui. La normativa sulla privacy impone diversi altri adempimenti di natura organizzativa. Il soggetto deputato a ricevere le segnalazioni dovrà essere debitamente istruito e individuato mediante una lettera di autorizzazione al trattamento dei dati, se interno, o mediante una nomina a responsabile del trattamento, se esterno (artt. 28 e 29 GDPR).
Andrà poi aggiornato il Registro dei Trattamenti del Titolare, l’Organigramma privacy e andrà prevista una formazione ad hoc, vista la delicatezza del processo, che preveda elementi di compliance normativa ma anche di sicurezza delle informazioni, onde evitare che l’imperizia di un incaricato possa causare danni anche gravi a un segnalante.
Non è, infatti, difficile immaginare quali conseguenze anche gravi possa subire un soggetto che segnali un illecito in un contesto lavorativo. Si va dal mobbing, fino a vere e proprie lesioni dell’incolumità propria o dei propri cari.
Bisognerà, allora, anche rendere trasparente al segnalante tutto ciò che è stato fatto per garantirne la sicurezza, fornendogli tutte le informazioni del caso, come previsto dagli artt. 13 e 14 del GDPR (informativa), anche per evitare di realizzare una sorta di dark pattern che lo dissuada, per mancanza di informazioni in merito alle garanzie di sicurezza, dall’utilizzare il canale predisposto.
Come si può immaginare, tutti questi adempimenti non possono essere adeguatamente definiti e predisposti senza il supporto di un consulente qualificato, che possa indicare le migliori soluzioni sul mercato e soprattutto, assistere l’organizzazione passo passo per la realizzazione di tutto quanto qui riassunto.
______________________________________________________________________________________________________________
Funzionalità:
Sicurezza garantita
My Whistleblowing permette al Segnalante di utilizzare una piattaforma sicura e in grado di tutelare sempre la riservatezza dei dati del segnalante.
Categorizzazione dell'illecito
Che tu sia una PMI o una grande azienda potrai definire in autonomia le categorie di illecito oggetto delle segnalazioni e potrai associarle ad Organismi riceventi differenti
Gestione segnalazioni anonime
In caso di segnalazioni anonime, l’organismo aziendale preposto potrà dialogare comunque con chi le ha inserite nel totale rispetto del suo anonimato per avere eventuali approfondimenti o per richiedere informazioni o documenti integrativi.
RICHIEDI UNA CONSULENZA GRATUITA
Articolo di Azienda Digitale