Whistleblowing: parte l’obbligo di piattaforme sicure per le segnalazioni

Avevamo anticipato l’introduzione delle nuove normative sul whistleblowing in un articolo pubblicato il 29 aprile scorso

Ricordiamo ora che mancano pochi giorni alla prima tappa applicativa per le imprese chiamate ad attuare le nuove regole contenute nel Dlgs 24/2023. Con questo decreto il legislatore, in attuazione di alcuni principi comunitari espressi nella direttiva Ue 2019/1937, ha rafforzato le regole già esistenti, ampliando la portata delle norme che impongono l’adozione di sistemi di segnalazione aziendale degli illeciti.

Ma quali sono gli obblighi che entrano in vigore in queste scadenze? Il primo è quello di dotarsi di una piattaforma di segnalazione sicura, che protegga la riservatezza dell’identità e i dati personali di chi denuncia condotte illecite. Le imprese dovranno, quindi, gestire le segnalazioni tramite software che utilizzano sistemi crittografici, capaci di garantire la riservatezza dell’identità di chi segnala, della persona coinvolta e del contenuto della segnalazione stessa.

Cliccate qui per scaricare la normativa aggiornata.

Un complesso regime di obblighi e tutele

La nuova normativa, che racchiude in un unico testo la disciplina del settore pubblico e privato, ha definito in maniera organica un complesso regime di obblighi e tutele che ampliano le garanzie per i «segnalanti» (e le persone legate al whistleblower da stabili rapporti affettivi o di parentela entro il quarto grado, nonché ai c.d. «facilitatori» e agli enti di proprietà di tutti questi soggetti), al fine di incentivare il sistema di segnalazione che pregiudichi l’integrità dell’ente o l’interesse pubblico.

In questo scenario si colloca l’iniziativa dell’Autorità garante della concorrenza e del mercato che ha introdotto una propria piattaforma di Whistleblowing da dove le persone in possesso di informazioni riservate su violazioni della concorrenza potranno interfacciarsi con gli uffici istruttori senza dover rivelare la propria identità. La piattaforma, attraverso un sistema criptato, garantisce al segnalante che voglia rimanere anonimo la possibilità di instaurare un filo diretto con l’Autorità inviando informazioni in merito a una condotta anticoncorrenziale, alle circostanze che l’hanno prodotta e alle persone coinvolte.

“I gruppi multinazionali si stanno predisponendo ad aggiornare i propri sistemi whistleblowing conciliando la nuova normativa con esigenze interne di efficienza e temi cross-border; l’affinamento dei sistemi di segnalazione elettronici richiede conoscenza accurata delle tecnologie disponibili sul mercato – tema al momento prioritario per le aziende – e di quali soluzioni siano migliori e più adatte per l’organizzazione aziendale di riferimento; è in corso di formazione una best practice su come ottimizzare la scelta di chi debba essere costituito destinatario delle segnalazioni”, spiega Federico Busatta, partner del dipartimento contenzioso e arbitrati dello studio legale Gianni & Origoni, sul sito www.federprivacy.org “Le sanzioni per definizione fanno paura ma le società italiane sono resilienti e si sono predisposte o si stanno predisponendo ad attrezzare i propri sistemi di compliance in ragione della nuova disciplina in tema di Whistleblowing (che ha tra l’altro avuto una lunga incubazione e una più che significativa copertura stampa). Tutto ciò incoraggia a pensare che l’applicazione di sanzioni in questo settore sia destinata a essere una eccezione. Si tratta di uno strumento che ha lo scopo di elevare le garanzie nell’applicazione di una normativa, provvedendo una definizione preventiva di ciò che è rilevante, ma il limite della rigidità, soprattutto in un ambito (quale la compliance) dove i rischi e le condotte rilevanti sono in continua evoluzione.”

Secondo Alessandro Musella, partner e leader del Focus Team corporate compliance & investigations di BonelliErede, “gli adempimenti a carico delle aziende sono significativi e molte non sembrano avere una struttura interna adeguata a farvi fronte. I più complessi da attuare, soprattutto per le aziende di minori dimensioni, sono la necessità di attivare canali di segnalazione che devono garantire il requisito di protezione dell’identità del segnalante e di avere una persona o ufficio interno che sia autonomo, dedicato, con personale specificamente formato oppure affidare la gestione a una persona o un ufficio esterno che garantisca i medesimi requisiti”.