Riforma Whistleblowing: sulla via dell’adeguamento

Dopo lunga attesa rispetto alle scadenze comunitarie, in primavera è stato definitivamente approvato il decreto legislativo 10 marzo 2023, n. 24, attuativo della Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione (c.d. Whistleblowing).

Il provvedimento in parola prevede l’obbligo per gli enti pubblici e quelli privati con più di 50 dipendenti, salve minime eccezioni e a prescindere dall’adozione o meno di un modello organizzativo ex d.lgs. 231/2001, di attivare canali interni per la segnalazione di violazioni apprese nel contesto lavorativo e di istituire un apposito sistema procedurale per la loro effettuazione e gestione, prescrivendo a tal fine determinati requisiti e adempimenti la cui inosservanza è punita con sanzioni amministrative pecuniarie.

Con particolare riferimento al d.lgs. 231/2001, è disposta l’abrogazione dei commi 2-ter e 2-quater dell’art. 6 e la riformulazione del relativo comma 2-bis, introducendo un rinvio de plano alla disciplina prevista dallo stesso provvedimento attuativo. Ciò significa che la medesima trova applicazione nei confronti di tutti gli enti che abbiano adottato un modello organizzativo, a prescindere dal numero di lavoratori impiegati.

L’adeguamento alla nuova normativa impone diversi adempimenti, sia sul fronte 231 che sul fronte privacy, tra cui:

1. Individuazione del/i canale/i di segnalazione interna/i da parte dell’ente;
2. Predisposizione di una “Procedura Whistleblowing”, ovvero revisione ed eventuale aggiornamento di quella esistente, diretta a disciplinare presupposti e modalità di effettuazione e gestione delle segnalazioni all’interno dell’ente in conformità a quanto previsto dal d.lgs. 24/2023;
3. Consultazione con le rappresentanze sindacali sul canale di segnalazione interna individuato;
4. “Valutazione d’impatto- DPIA”  sulla protezione dei dati;
5. “Aggiornamento del Modello 231”, ove presente, e relativa approvazione, unitamente alla Procedura Whistleblowing, con apposita “delibera dell’organo amministrativo”;
6. “Autorizzazione / incarico al trattamento” in caso di gestione interna del canale, stipula del “contratto con il responsabile del trattamento” in caso di gestione esterna del medesimo e comunque con l’eventuale fornitore del canale, anche se gestito da soggetto interno, nonché stipula di apposito “accordo interno” in caso di condivisione del canale di segnalazione;
7. Aggiornamento dell’“Organigramma Privacy” aziendale;
8. Aggiornamento del “registro delle attività di trattamento”;
9. Pubblicazione di adeguata “informativa sul sito web aziendale” su canali, procedure e presupposti per effettuare le segnalazioni, compresa l’“informativa sul trattamento dei dati personali”, da rendere disponibile al personale già in fase di assunzione;
10. Aggiornamento, ove presente, del “Manuale Privacy”, contenente le procedure aziendali sul trattamento dati;
11. “Comunicazione al personale” di intervenuto aggiornamento del Modello 231 e adozione della Procedura Whistleblowing, ed erogazione di adeguata “formazione” in materia;
12. Inserimento di “clausole standard” nei contratti con i fornitori che li impegnino a rispettare la Procedura Whistleblowing adottata dall’ente e prevedano meccanismi sanzionatori in caso di inosservanza (es. segnalazione mediante canale interno in mala fede o mediante canale esterno in assenza dei presupposti).

L’entrata in vigore della nuova normativa, per i soggetti del settore privato, è differenziata a seconda del livello occupazionale:

Fino a tali date, continueranno a trovare applicazione le disposizioni attualmente vigenti.