WhistleBlowing

Da oggi 17 dicembre 2023 il d.lgs. n. 24 del 10 marzo 2023 (c.d. normativa whistleblower o whistleblowing) riguardante “la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”, produce ha effetto anche per molte organizzazioni private; sono infatti coinvolte dalla normativa tutte le aziende private che:

• hanno impiegato, nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati, con contratti di lavoro a tempo indeterminato o determinato;
• si occupano di alcuni specifici settori (servizi, prodotti e mercati finanziari e prevenzione del riciclaggio o del finanziamento del terrorismo, sicurezza dei trasporti e tutela dell’ambiente), anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
• adottano i modelli di organizzazione e gestione di cui al decreto legislativo 231/2001, anche se nell’ultimo anno non hanno raggiunto la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato. 

Oltre alla 231, il decreto legislativo ha punti di contatto con altre norme, ad esempio Regolamento UE 679/2016 (RGDP o GDPR) ed in generale con la normativa privacy e di protezione dei dati personali, in quanto occorre proteggere la riservatezza ed i dati personali di tutti i soggetti coinvolti nella segnalazione, e non solo del solo segnalante (whistleblower).

In generale, quindi:

• l’identità del segnalante non può essere rivelata a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni;
• la protezione riguarda non solo il nominativo del segnalante ma anche tutti gli elementi della segnalazione dai quali si possa ricavare, anche indirettamente, l’identificazione del segnalante;
• la segnalazione è sottratta all’accesso agli atti amministrativi e al diritto di accesso civico generalizzato;
• la protezione della riservatezza è estesa all’identità delle persone coinvolte e delle persone menzionate nella segnalazione fino alla conclusione dei procedimenti avviati in ragione della segnalazione, nel rispetto delle medesime garanzie previste in favore della persona segnalante.

Inoltre:

• il trattamento di dati personali relativi al ricevimento e alla gestione delle segnalazioni è effettuato dai soggetti del settore pubblico e privato, nonché da ANAC, in qualità di titolari del trattamento, nel rispetto dei princìpi europei e nazionali in materia di protezione di dati personali, fornendo idonee informazioni alle persone segnalanti e alle persone coinvolte nelle segnalazioni, nonché adottando misure appropriate a tutela dei diritti e delle libertà degli interessati;
• i diritti di cui agli articoli da 15 a 22 del regolamento (UE) 2016/679 possono essere esercitati nei limiti di quanto previsto dall’articolo 2-undecies del decreto legislativo 30 giugno 2003, n. 196;
• le segnalazioni interne ed esterne e la relativa documentazione sono conservate per il tempo necessario al trattamento della segnalazione e comunque non oltre 5 anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione, nel rispetto degli obblighi di riservatezza di cui alla normativa europea e nazionale in materia di protezione di dati personali.

Per le organizzazioni che necessitino di predisporre un “canale di segnalazione interno”, raccomandiamo di non adottare soluzioni raffazzonate dell’umtimo minuto o ancora peggio illecite, proposte dai soliti tuttologi che ieri riparavano PC ed oggi sono esperti di soluzioni whistleblowing; lo strumento informativo per predisporre le segnalazioni interne deve essere dotato di tutte le caratteristiche richieste dalla normativa, ed occorre una visione ad ampio spettro, non solo quella relativa al mero aspetto informatico, che caratterizza spesso chi si occupa solo di Information Tecnology.

QUINDI – con buona pace dei soliti consulenti aziendali tuttologi – NON è possibile usare una casella di posta elettronica e nemmeno la PEC per il canale di segnalazione interno.

Noi abbiamo competenze ed esperienza in ambito informatico, giuridico, normativo e di protezione dei dati personali per progettare e realizzare una infrastruttura informativa compliant alla normativa whistleblowing.

In tale ambito, abbiamo scelto la soluzione open-source GlobaLeaks, peraltro adottato anche dalla Autorità Nazionale Anticorruzione; a scopo dimostrativo – ma non solo – abbiamo una nostra installazione di test, la quale potrà essere usata per valutazioni oppure se vorrete inviarci segnalazioni anonime (lo strumento non registra alcun dato personale che non sia volutamente inserito dal segnalante).

L’indirizzo dell’applicativo è: http://nfrop3cuhyoou4h7jdej5sfu24nfivzjbbpkvxriwpkwkyxcgpcsjuad.onion .
Per accedervi occorre necessariamente utilizzare Tor Browser (vi si accede esclusivamente tramite la rete anonimizzante TOR – The Onion Routing proprio per non registrare i dati di connessione, quali indirizzi IP ed altri identificativi tecnici).

Ricordiamo anche che la piattaforma deve essere dotata di una specifica informativa privacy, e che essa deve essere predisposta in modo che le persone comprendano esattamente come funzionano le procedure e le misure di sicurezza adottate per proteggere la confidenzialità. Se necessita, siamo in grado di predisporre la vostra specifica informativa privacy relativa al canale whistleblower (o whistleblowing).

Da ultimo, abbiamo la possibilità, le competenze e le caratteristiche adeguate e richieste dalla normativa per rivestire il ruolo esterno di gestore o gestione della segnalazione whistleblowing (gestore o gestione delle segnalazione di illeciti, anche identificato come whistleblowing manager), ed informiamo che stiamo già rivestendo tale ruolo per alcune selezionate organizzazioni italiane.