Obbligo di whistleblowing: cosa prevede la legge e come adeguarsi

In questo articolo si parla di…

• L’obbligo di predisporre canali di segnalazione interni, sicuri e conformi riguarda un ampio spettro di soggetti, pubblici e privati, e ridefinisce il modo in cui le organizzazioni devono gestire le irregolarità, promuovendo un ambiente in cui chi segnala illeciti sia protetto, ascoltato e non più isolato.
• Il raggio d’azione del decreto è esteso e coinvolge una varietà di soggetti che vanno ben oltre il classico dipendente: collaboratori, consulenti, tirocinanti, ex lavoratori e persino facilitatori. Le segnalazioni possono riguardare violazioni di leggi nazionali o europee in moltissimi ambiti (fiscale, ambientale, concorrenza, salute, sicurezza, appalti, privacy).
• Adeguarsi non è facoltativo e il rischio di pesanti sanzioni è concreto. Gestire tutto manualmente può rivelarsi inefficiente e rischioso. In questo scenario, soluzioni digitali come Qipo permettono di gestire le segnalazioni in maniera conforme, tracciabile e protetta, garantendo anonimato, rispetto del GDPR, alert automatici e un’interfaccia intuitiva per tutti gli attori coinvolti.

Con il Decreto Legislativo 24/2023 l’Italia recepisce la Direttiva Europea, introducendo un sistema strutturato per proteggere chi denuncia illeciti e irregolarità nel contesto lavorativo

Ci troviamo di fronte a una trasformazione normativa significativa, un cambiamento che ridisegna le dinamiche di trasparenza e responsabilità all’interno delle organizzazioni, sia pubbliche che private.

Parliamo dell’obbligo di whistleblowing, introdotto in Italia dal Decreto Legislativo n. 24 del 10 marzo 2023. Non una semplice formalità burocratica, ma una rivoluzione culturale e gestionale che richiede la tua attenzione e un’azione strategica immediata.

Comprendere a fondo cosa prevede la legge e, soprattutto, come adeguarsi in modo efficace, non è solo un dovere, ma un’opportunità per rafforzare l’integrità e la reputazione della tua realtà lavorativa.

Ed è proprio di questo che ti parlerò in quest’articolo di oggi.

Leggi anche: Normativa GDPR sui dipendenti: linee guida per una corretta implementazione

Un cambiamento epocale: il contesto normativo del D.Lgs. 24/2023

Il D.Lgs. 24/2023 rappresenta il punto di arrivo nazionale di un percorso iniziato a livello europeo con la Direttiva (UE) 2019/1937.

L’obiettivo primario è ambizioso e necessario: creare standard minimi comuni di protezione per i cosiddetti “whistleblower”, ovvero le persone che segnalano illeciti o irregolarità di cui sono venute a conoscenza nel proprio contesto lavorativo.

Questa normativa sostituisce e accorpa le precedenti disposizioni frammentate (la Legge n. 179/2017 per il settore pubblico e specifici riferimenti nel D.Lgs. 231/2001 per il privato), mirando a unificare e rafforzare la tutela di chi agisce nell’interesse pubblico o per l’integrità dell’ente.

Sebbene il recepimento italiano abbia introdotto alcune specificità, e siano state sollevate osservazioni circa potenziali difformità rispetto allo spirito più protettivo della Direttiva europea, la sostanza non cambia: l’obbligo di implementare canali di segnalazione sicuri e di garantire protezione contro le ritorsioni è ormai una realtà consolidata.

Ignorare questa evoluzione significa esporsi a rischi non solo sanzionatori, ma anche reputazionali.

Chi rientra nel raggio d’azione? Differenze tra pubblico e privato

Una delle novità più rilevanti del D.Lgs. 24/2023 è l’estensione significativa del suo ambito di applicazione soggettivo. Non devi pensare che riguardi solo i dipendenti a tempo indeterminato. La legge disegna una platea estremamente vasta di soggetti che possono effettuare segnalazioni e che devono essere tutelati. Nel settore pubblico, l’applicazione è capillare, includendo tutte le amministrazioni, gli enti pubblici economici, le società controllate o in house, fino ai concessionari di pubblico servizio.

Ma è nel settore privato che l’impatto si fa sentire in modo pervasivo. L’obbligo di istituire canali di segnalazione interni scatta per tutte le aziende che hanno impiegato, nell’ultimo anno, una media di almeno 50 lavoratori subordinati (con contratti a tempo indeterminato o determinato).

Ma attenzione, questo obbligo si applica indipendentemente dal numero di dipendenti se la tua azienda opera in settori specifici considerati “sensibili” (come servizi finanziari, prevenzione del riciclaggio, sicurezza dei trasporti, tutela dell’ambiente) o se ha adottato un Modello di Organizzazione e Gestione ai sensi del D.Lgs. 231/2001.

La tutela, poi, si estende ben oltre il lavoratore subordinato tradizionale. Sono protetti anche i lavoratori autonomi, i collaboratori, i liberi professionisti e consulenti, i volontari e i tirocinanti (retribuiti e non), gli azionisti e persino le persone con funzioni di amministrazione, direzione, controllo o rappresentanza.

La protezione è garantita anche prima dell’inizio del rapporto di lavoro (durante la selezione), nel periodo di prova e dopo la sua cessazione, se l’informazione è stata acquisita durante il rapporto stesso.

Non solo: la tutela si estende ai “facilitatori” (chi assiste il segnalante), ai colleghi, ai parenti e persino agli enti collegati al segnalante. Comprendere questa ampiezza è il primo passo per implementare procedure realmente efficaci.

Cosa si può (e si deve) segnalare?

Chiarito chi può segnalare, è fondamentale capire cosa può essere oggetto di segnalazione protetta.

Il D.Lgs. 24/2023 parla di “violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato“. Questa definizione è volutamente ampia e ricomprende un vasto spettro di illeciti.

Si va dagli illeciti amministrativi, contabili, civili o penali, alle condotte illecite rilevanti ai sensi del D.Lgs. 231/2001 (e le violazioni dei relativi Modelli Organizzativi).

Sono incluse le violazioni delle normative europee (e della relativa attuazione nazionale) in settori delicati come appalti pubblici, servizi finanziari, sicurezza dei prodotti e dei trasporti, tutela ambientale, salute pubblica, protezione dei consumatori, privacy e sicurezza informatica.

Rientrano anche gli atti o le omissioni che ledono gli interessi finanziari dell’UE o che riguardano il mercato interno (concorrenza, aiuti di Stato, elusione fiscale societaria). Persino i fondati sospetti, basati su elementi concreti, possono costituire oggetto di segnalazione valida, così come le condotte volte a occultare tali violazioni.

Tuttavia, la legge specifica anche cosa non rientra nell’ambito di applicazione.

Sono escluse le contestazioni legate a un interesse puramente personale del segnalante relative al proprio rapporto di lavoro individuale (per le quali esistono altri canali), le materie già coperte da specifiche normative europee o nazionali indicate negli allegati, e le questioni di sicurezza nazionale o difesa (salvo per gli aspetti coperti dal diritto UE).

I percorsi della segnalazione: canali interni, esterni e divulgazione pubblica

La normativa struttura il processo di segnalazione secondo una logica precisa, privilegiando la gestione interna all’organizzazione. Esistono tre canali principali.

Il canale di segnalazione interna è il canale prioritario. Ogni soggetto obbligato (pubblico o privato, secondo i criteri visti) deve attivare un proprio canale interno, sentite le rappresentanze sindacali ove presenti.

La caratteristica fondamentale di questo canale deve essere la garanzia assoluta di riservatezza dell’identità del segnalante, della persona coinvolta, delle persone menzionate, nonché del contenuto della segnalazione e della documentazione.

La legge suggerisce esplicitamente il ricorso a strumenti di crittografia e piattaforme informatiche sicure. La gestione può essere affidata a una persona o ufficio interno autonomo (con personale specificamente formato) oppure a un soggetto esterno qualificato.

Le segnalazioni possono essere scritte (anche via web) o orali (telefoniche, messaggistica vocale, incontro diretto). È essenziale definire procedure chiare, accessibili e comunicate efficacemente, con tempi certi per il riscontro al segnalante (avviso di ricevimento entro 7 giorni, riscontro sull’esito entro 3 mesi).

Per i soggetti privati con meno di 250 dipendenti e per i comuni non capoluogo, è prevista la possibilità di condividere il canale e la gestione.

Poi vi è il canale di segnalazione esterna, Gestito dall’Autorità Nazionale Anticorruzione (ANAC), che rappresenta un’opzione secondaria, utilizzabile solo in specifiche circostanze.

Puoi ricorrervi se il canale interno non è obbligatorio, non è attivo, non è conforme, oppure se una segnalazione interna non ha avuto seguito. Altre condizioni sono il fondato motivo di ritenere che la segnalazione interna non sarebbe efficace o comporterebbe rischi di ritorsione, o che la violazione rappresenti un pericolo imminente e palese per l’interesse pubblico.

L’ultimo canale è quello della divulgazione pubblica, tramite stampa o altri mezzi di diffusione di massa.

È una misura estrema, attivabile solo se hai già tentato la segnalazione interna e/o esterna senza esito, se ritieni vi sia un pericolo imminente per l’interesse pubblico, o se temi che la segnalazione esterna possa comportare ritorsioni o essere inefficace (ad esempio per rischio di occultamento prove o collusione).

Ma quali sono le tutele per chi segnala gli illeciti?

Scudi e tutele per chi segnala

Il nucleo della normativa risiede nelle misure di protezione accordate al whistleblower.

L’obiettivo è chiaro: incoraggiare le segnalazioni eliminando il timore di conseguenze negative. Le tutele sono molteplici e robuste:

• riservatezza assoluta, l’identità del segnalante non può essere rivelata senza il suo consenso esplicito, se non alle persone specificamente autorizzate e formate per gestire la segnalazione. La protezione si estende a qualsiasi informazione da cui si possa dedurre l’identità. Anche i dati delle persone coinvolte sono tutelati fino alla conclusione dei procedimenti;
• divieto di ritorsione, è vietata qualsiasi forma di ritorsione, diretta o indiretta, connessa alla segnalazione. L’articolo 17 elenca una serie esemplificativa (ma non esaustiva) di atti ritorsivi: licenziamento, demansionamento, trasferimento punitivo, mobbing, sanzioni disciplinari, discriminazione, danno reputazionale (anche sui social media). Vige l’inversione dell’onere della prova: si presume che l’atto pregiudizievole sia una ritorsione, e spetta a chi lo ha posto in essere dimostrare che era basato su ragioni estranee alla segnalazione;
• esclusione di responsabilità, il segnalante che rivela informazioni coperte da segreto (professionale, industriale, ecc.) o protette da copyright o norme sulla privacy non è punibile (civilmente, amministrativamente o penalmente) se la rivelazione era necessaria per svelare la violazione e aveva fondati motivi per ritenerlo al momento della segnalazione. Non è responsabile nemmeno per l’acquisizione delle informazioni, a meno che non costituisca di per sé un reato;
• misure di sostegno, l’ANAC può fornire supporto informativo alle autorità cui il segnalante si rivolge per tutelarsi dalle ritorsioni;
• conformità GDPR, ogni trattamento di dati personali nel processo di whistleblowing deve rispettare il GDPR e la normativa nazionale. È obbligatoria una Valutazione d’Impatto sulla Protezione dei Dati (DPIA) prima di attivare il canale interno.

Sanzioni e scadenze: l’urgenza di adeguarsi

Ignorare o sottovalutare questi obblighi non è un’opzione praticabile. Il D.Lgs. 24/2023 prevede un regime sanzionatorio significativo, la cui applicazione è demandata all’ANAC. Le sanzioni amministrative pecuniarie possono arrivare da 10.000 a 50.000 euro nei seguenti casi:

• Accertamento di ritorsioni contro il segnalante;
• Ostacolo o tentativo di ostacolo alla segnalazione;
• Violazione degli obblighi di riservatezza sull’identità del segnalante;
• Mancata istituzione dei canali di segnalazione interna;
• Adozione di procedure non conformi per la gestione delle segnalazioni;
• Mancata attività di verifica e analisi delle segnalazioni ricevute.

Sono previste sanzioni anche per il segnalante in caso di diffamazione o calunnia (da 500 a 2.500 euro, salvo responsabilità penale).

Ricorda le scadenze: l’obbligo è pienamente efficace dal 15 luglio 2023 per il settore pubblico e per i soggetti privati con 250 o più dipendenti.

Per i soggetti del settore privato con una media da 50 a 249 dipendenti nell’ultimo anno, l’obbligo di istituire il canale interno è scattato il 17 dicembre 2023. Non c’è più tempo da perdere: adeguarsi è un imperativo.

Leggi anche: HR Management: un viaggio tra culture, benessere e performance

Come digitalizzare il whistleblowing nel rispetto della legge?

Come hai visto, l’adeguamento alla normativa whistleblowing è un processo complesso, che richiede attenzione ai dettagli legali, procedurali e tecnologici. Non si tratta solo di spuntare una casella normativa, ma di implementare un sistema che sia realmente sicuro, efficace e che tuteli sia il segnalante sia l’organizzazione da rischi inutili.

Gestire manualmente questo flusso, garantendo anonimato, tracciabilità, rispetto delle scadenze e conformità GDPR, può diventare un onere gestionale enorme e una fonte di potenziali errori costosi.

È qui che Qipo fa la differenza, offrendo una soluzione efficace per soddisfare tutti i requisiti del D.Lgs. 24/2023. Si tratta di un canale di segnalazione sicuro, accessibile via web anche in forma anonima, progettato per tutelare la privacy e garantire la protezione dei dati.

Il gestore delle segnalazioni ha a disposizione una dashboard dedicata, con alert e notifiche automatiche che aiutano a rispettare tutte le scadenze previste dalla normativa: i 7 giorni per il primo riscontro, i 3 mesi per fornire un esito. Un supporto concreto per evitare le pesanti sanzioni previste dall’ANAC.

Questo è esattamente ciò che Qipo ti offre con il suo modulo Whistleblowing.

Sviluppato nel pieno rispetto della normativa, Qipo trasforma l’obbligo di legge in un processo efficace e controllato. Garantisce l’anonimato dove richiesto, permette segnalazioni scritte e orali (come previsto dalla legge), monitora i tempi di risposta e ti aiuta a diffondere facilmente il canale tramite il tuo sito web, rendendolo accessibile a tutti i soggetti tutelati, interni ed esterni.

Non lasciare che la complessità normativa diventi un freno o un rischio. Scegli di gestire il whistleblowing in modo intelligente, sicuro e conforme. Proteggi la tua azienda, promuovi una cultura di trasparenza e integrità, ed evita sanzioni onerose.

Scopri come Qipo può semplificare la gestione del whistleblowing nella tua organizzazione. Provalo gratis!

---

Obbligo di whistleblowing: Domande & Risposte

Cosa prevede il Decreto Legislativo 24/2023 sul whistleblowing?

Il Decreto Legislativo 24/2023 recepisce in Italia la Direttiva UE 2019/1937, introducendo l’obbligo per enti pubblici e aziende private di istituire canali di segnalazione sicuri e riservati per la denuncia di illeciti. La legge tutela i whistleblower da ritorsioni e prevede sanzioni in caso di mancato adeguamento.

Chi è tutelato dalla normativa sul whistleblowing?

Sono tutelati non solo i dipendenti, ma anche collaboratori, autonomi, consulenti, tirocinanti, volontari, azionisti e persone con funzioni direttive, oltre ai facilitatori e ai colleghi o parenti del segnalante. La protezione si estende anche prima dell’inizio e dopo la fine del rapporto di lavoro.

Quali sono i canali previsti per effettuare una segnalazione?

Il decreto prevede tre canali: quello interno all’organizzazione (prioritario), quello esterno gestito da ANAC, e la divulgazione pubblica, da usare solo in casi estremi. Il canale interno deve garantire riservatezza e rispetto delle tempistiche, con procedure tracciabili e conformi al GDPR.