Cos’è il Whistleblowing? Quali sono gli obblighi che ne derivano? Quali aziende devono applicarli?
Ne parliamo in questo articolo.
Cos’è il Whistleblowing
Il whistleblowing è il termine inglese con cui si indica il sistema volto a tutelare il dipendente che segnala, nello svolgimento delle proprie mansioni in seno all’organizzazione a cui appartiene, condotte illecite, o situazioni di pericolo o di rischio tali poter arrecare danni a terzi.
I sistemi di whistleblowing hanno lo scopo di tutelare e incoraggiare i dipendenti a effettuare tali segnalazioni, altrimenti restii a denunciare i fatti a causa delle possibili ritorsioni.
Il termine deriva dal sostantivo anglosassone whistleblower, definito dalla Treccani come “chi, dopo aver constatato illeciti nella struttura pubblica o privata per la quale lavora, denuncia l’illecito per dovere civico.”
Cos’è la Direttiva Whistleblowing
La Direttiva Whistleblowing è il termine con cui viene più comunemente indicata la Direttiva Europea 2019/1937 sulla “Protezione delle Persone che Segnalano Violazioni del Diritto dell’Unione”.
Tale direttiva è stata realizzata al fine di uniformare e creare uno standard minimo per la protezione dei diritti dei whistleblower in tutti gli stati membri.
N.B. L’Italia è tra gli stati europei che disponevano di norme sul tema già prima di tale direttiva. Un esempio è dato dal Piano Nazionale Anticorruzione ANAC che prevede che le pubbliche amministrazioni siano tenute ad adottare gli strumenti necessari per dare attuazione alla tutela del dipendente che effettua la segnalazione di illeciti.
Tuttavia, se prima la norma si applicava alle pubbliche amministrazioni, con l’attuazione della Direttiva il bacino di applicazione si amplia anche alle aziende private. Ecco come.
Quali sono gli obblighi per le aziende a seguito dell’approvazione della Direttiva?
Il principale obbligo è legato all’adozione di un sistema di segnalazione interno che preveda anche:
- L’adozione di un canale interno per gestire le segnalazioni di illeciti che tuteli la riservatezza del whistleblower
- La formazione dei dipendenti, i quali devono sapere esattamente quali sono i processi e i canali per segnalare le violazioni della legge all’interno dell’azienda o dell’autorità.
Tale sistema di segnalazione interno è:
- Attualmente obbligatorio per le aziende private che hanno più di 250 dipendenti e per le aziende pubbliche che servono più di 10.000 persone
- Obbligatorio dal 17 dicembre 2023 per tutte le imprese private con un numero di dipendenti tra 50 e 250.
Al momento non sono previsti obblighi per le aziende con meno di 50 dipendenti.
Vantaggi dall’adozione di un sistema di segnalazione interno
Al di là dell’obbligo, l’adozione di un sistema interno di whistleblowing permette alle organizzazioni di ottenere importanti vantaggi. Lo afferma il report dell’ACFE (Association of Certified Fraud Examiners, la più grande organizzazione antifrode al mondo) secondo cui l’adozione di un sistema interno aiuta le aziende a:
- combattere le frodi
- gestire internamente il processo evitando possibili danni di immagine
- ridurre le perdite connesse.
Inoltre contribuisce a creare una cultura aziendale basata su trasparenza e legalità, fondamentali per il benessere dell’organizzazione sia nel breve che nel lungo periodo.
Software whistleblowing e GDPR
Con il termine “software whistleblowing” si intende un software adottato dall’organizzazione come canale interno per la ricezione e la gestione delle segnalazioni di illeciti da parte del proprio personale.
Se da una parte l’adozione di un software di questo tipo può permettere più facilmente l’anonimato del whistleblower, dall’altra non tutti i software in commercio sono in realtà perfettamente compliance.
Ciò dipende dal fatto che un software whistleblowing deve essere conforme non solo all’omonima direttiva, ma anche al GDPR (Regolamento Europeo per la Protezione dei Dati Personali).
Non prestare attenzione a questo requisito punto può costare caro: un’azienda ha ricevuto una sanzione di 40.000€ dal Garante per la Privacy per aver adottato un software whistleblowing non compliant al GDPR.
Software whistleblowing e necessità di una DPIA
Un software whistleblowing tratta informazioni molto delicate. Da esse infatti dipende la sicurezza del whistleblower per il quale – nel caso non fosse garantito l’anonimato – vi potrebbero essere elevati rischi di ritorsioni e discriminazioni.
Da questa “vulnerabilità” dei segnalatori, emerge la necessità di svolgere una DPIA (Data Protection Impact Assessment). Si tratta di un’attività richiesta dal GDPR ogni volta che il trattamento può comportare un rischio elevato per i diritti e le libertà delle persone, come nel caso del whistleblowing. In particolare, una DPIA serve a descrivere il trattamento, valutarne la necessità e la proporzionalità e a gestire gli eventuali rischi per i diritti e le libertà delle persone derivanti dal trattamento.
La tua organizzazione dispone di un software per la gestione del whistle blowing? Contattaci a questo link per effettuare la Valutazione d’Impatto (DPIA) necessaria ai fini GDPR!
