Si sente sempre più spesso parlare della Direttiva Europea sul whistleblowing, ed in particolare della scadenza del 17 Dicembre 2023 per l’adeguamento agli obblighi in materia da parte delle aziende tra 50 e 250 dipendenti. Chi non ha ricevuto una e-mail con offerte di piattaforme di gestione dei processi di whistleblowing, e/o offerte di consulenze sulla messa a norma della propria azienda? Di tutto questo molto si sente, molto si parla, ma in realtà poco si sa e si capisce. In Italia, fino all’entrata in vigore della Direttiva Europea, la materia era disciplinata dal D.Lgs. n. 165/2001 (settore pubblico), e dal D.Lgs. n. 231/2001 (settore privato) in materia di prevenzione dei crimini d’impresa, nonché dalla L. 179/2017.
Cosa è il whistleblowing?
Con il D.Lgs 24/2023 del 10/03/2023 l’Italia ha recepito i principi comunitari espressi nella Direttiva UE 2019/1937 del Parlamento Europeo e del Consiglio dell’Unione Europea riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione.
Il whistleblowing si riferisce in pratica all’atto di segnalare o rendere pubbliche informazioni confidenziali o illegali riguardanti un’organizzazione, solitamente per esporre frodi, corruzione o altre pratiche illecite. I “whistleblowers” (termine inglese che significa letteralmente “coloro che suonano il fischietto”) sono quindi degli informatori fondamentali per mantenere una società aperta e trasparente, poiché denunciano comportamenti scorretti o minacce nascoste. Per garantire che siano meglio tutelati dalle conseguenze negative, il 16 dicembre 2019 è quindi entrata in vigore la Direttiva UE 2019/1937 sulla protezione degli informatori.
Obiettivi della direttiva e misure di protezione
Gli obiettivi della Direttiva europea sul Whistleblowing sono:
– Individuare e prevenire comportamenti scorretti e violazioni di leggi e regolamenti in Europa, attraverso segnalazioni da parte di cittadini responsabili,
– Migliorare l’applicazione della legge stabilendo canali di segnalazione efficaci, riservati e sicuri per proteggere efficacemente gli informatori da eventuali ritorsioni,
– Proteggere e supportare gli informatori aiutandoli ad esprimere i propri dubbi e preoccupazioni con sicurezza senza timore di ritorsioni, garantendo l’anonimato.
La caratteristica principale di questa direttiva è quindi la protezione degli informatori (whistleblowers). I punti essenziali sono:
La protezione non esiste solo per i dipendenti che segnalano le loro preoccupazioni, ma anche per i candidati ad una posizione lavorativa, gli ex dipendenti, chi sostiene/aiuta/fornisce dati ad un informatore e ai giornalisti.
Queste persone sono protette dal licenziamento, da pressioni, minacce ed atti di degrado e da altre forme di discriminazione.
La protezione si applica solo alle segnalazioni di illeciti relativi al diritto dell’UE, come frode fiscale, riciclaggio di denaro o reati in materia di appalti pubblici, sicurezza dei prodotti e stradale, protezione dell’ambiente, salute pubblica e protezione dei consumatori e dei dati.
Il whistleblower può scegliere se segnalare una preoccupazione con meccanismi interni all’azienda o direttamente all’autorità di controllo competente. Se non succede nulla in risposta a tale segnalazione, o se il whistleblower ha motivo di credere che quanto segnalato sia di interesse pubblico, può anche rivolgersi direttamente al pubblico. Viene tutelato in entrambi i casi.
Con queste tutele, l’UE sta inviando un messaggio chiaro agli informatori sul fatto che non hanno nulla da temere, e sta incoraggiando al contempo le persone a segnalare violazioni aziendali.
Quali sono i soggetti interessati dalla Direttiva?
Le aziende con più di 50 dipendenti, le istituzioni del settore pubblico, le autorità nonché i comuni con 10.000 o più abitanti sono tenuti a istituire adeguati canali di segnalazione interna. Le aziende con 250 o più dipendenti dovevano adeguarsi entro due anni dall’entrata in vigore della Direttiva (quindi entro Dicembre 2021), mentre le aziende con dipendenti tra 50 e 250 hanno avuto altri due anni dopo l’entrata in vigore (quindi entro dicembre 2023) per conformarsi.
Gli informatori dovrebbero essere in grado di presentare segnalazioni per iscritto tramite un sistema online, una casella di posta o per posta e/o oralmente tramite una hotline telefonica o un sistema di segreteria telefonica.
Quali sono gli obblighi per le aziende della Direttiva europea?
Protezione dati.-
Tutti i dati personali, sia quelli del segnalatore che delle persone eventualmente oggetto della segnalazione, devono essere trattati in conformità al GDPR (la legge europea sulla protezione dei dati personali).
Responsabilità.-
Le aziende devono determinare la persona “più adatta” per ricevere e dare seguito alle segnalazioni internamente. Secondo l’UE, questo potrebbe essere un:
– Responsabile della conformità, responsabile delle risorse umane, consulente legale, direttore finanziario (CFO), membro del Consiglio di Amministrazione o della Direzione operativa;
– Delegato esterno: le aziende possono anche esternalizzare il trattamento delle segnalazioni, ad esempio ad un difensore civico esterno.
Tempi di elaborazione.-
L’azienda è tenuta a confermare al segnalatore il ricevimento della segnalazione entro sette giorni. Il segnalatore deve essere informato entro tre mesi di ogni azione intrapresa, dello stato dell’indagine interna e del suo esito.
Obbligo di informare.-
Le aziende sono tenute a fornire informazioni sul processo di segnalazione interno all’azienda e sui canali di segnalazione all’autorità competente. Queste informazioni devono essere facilmente comprensibili e accessibili, non solo ai dipendenti, ma anche ai fornitori, ai prestatori di servizi e ai partner commerciali.
Archivio dati.-
Tutte le segnalazioni ricevute dovranno essere conservate in luogo sicuro affinché possano essere utilizzate come prova, se necessario.
Eccezioni.-
Le aziende con un numero di dipendenti compreso tra 50 e 250 possono utilizzare un canale di segnalazione condiviso (ad es. una piattaforma online) per ottenere e identificare prove, a condizione che tutti gli obblighi delineati siano rispettati.
Sanzioni.-
La direttiva UE include anche dettagli sulle sanzioni. Le aziende che ostacolano o tentano di ostacolare le segnalazioni saranno soggette a sanzioni. Lo stesso vale se le aziende non mantengono riservata l’identità del segnalante. Saranno punite anche le misure di ritorsione nei confronti dei segnalanti. È compito dei legislatori nazionali determinare queste sanzioni. In Italia, il mancato adeguamento alle normative sulla protezione dei whistleblowers può comportare sanzioni amministrative fino a 30.000 euro per le persone giuridiche e fino a 6.000 euro per le persone fisiche. Inoltre, in caso di violazioni gravi, possono essere previste sanzioni penali come l’arresto fino a 3 anni o l’ammenda fino a 50.000 euro.
Calendario e scadenze
16 dicembre 2019.- Entrata in vigore a livello Europeo della Direttiva sulla protezione dei “whistleblowers”. Ciò segna l’inizio del periodo di due anni durante il quale gli Stati membri dell’UE devono recepire i requisiti nella propria legislazione nazionale. In primo luogo, le aziende con più di 250 dipendenti devono adempiere ai propri obblighi e due anni dopo ciò varrà anche per le aziende con 50-250 dipendenti.
31 dicembre 2021.- Ultima scadenza in Europa per le aziende con oltre 250 dipendenti e per i Comuni con oltre 10.000 abitanti.
10 Marzo 2023.- In Italia il Decreto Legislativo n. 24 del 10/03/2023 recante “Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019” determina che le aziende che hanno impiegato nell’ultimo anno una media di lavoratori subordinati tra i 50 e i 249 devono conformarsi, entro il 17 dicembre 2023, agli obblighi in materia di whistleblowing.
17 dicembre 2023.- Ultima scadenza in Italia per le aziende tra i 50 e i 249 dipendenti ed i Comuni al di sotto dei 10.000 abitanti per implementare sistemi di segnalazione delle irregolarità.
31 Dicembre 2025.- Ultima scadenza in Italia per le aziende con meno di 50 dipendenti per implementare sistemi di segnalazione delle irregolarità.
I vantaggi e la buona pratica
Sebbene la Direttiva avvantaggi chiaramente i segnalatori, vi sono vantaggi significativi anche per le aziende. Garantendo che siano in atto efficaci meccanismi di segnalazione e di denuncia, i dipendenti e le altre parti interessate sono incoraggiati ad effettuare segnalazioni internamente. In questo modo le aziende hanno l’opportunità di identificare e gestire i rischi in una fase iniziale, evitando o limitando i danni finanziari e reputazionali.
L’aspetto della libertà di scelta per gli informatori è qualcosa a cui le aziende devono prestare particolare attenzione. Se un segnalatore non riesce a trovare canali adeguati e sicuri interni all’azienda, può contattare l’autorità competente o addirittura renderlo una segnalazione pubblica – il risultato peggiore per le aziende. È pertanto fondamentale che all’interno dell’azienda siano disponibili e conosciuti idonei canali di segnalazione protetti.
Per garantire che i dipendenti si sentano a proprio agio nel riferire internamente, i canali dovrebbero essere disponibili 24 ore su 24, 7 giorni su 7, offrire l’anonimato, essere disponibili nelle lingue pertinenti, avere testi esplicativi comprensibili ed essere accompagnati da un’efficace strategia di comunicazione interna.
Articolo e traduzione a cura di E.P.
Fonte: integrityline.com