IL FOCUS

Whistleblowing “rafforzato”, cosa cambia per le aziende con la direttiva Ue

Scatta il countdown per il recepimento delle nuove misure approvate dal Consiglio europeo. Che alzano il livello di protezione dei “segnalatori” di comportamenti illeciti. E indicano le corrette procedure da adottare per garantire segretezza e confidenzialità di chi denuncia. Efficacia e punti critici

24 Apr 2020
Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Marco Roberto Vecchiato

Senior consultant Hermes Bay

secret-3650080_1280

Estende e rafforza le tutele per chi segnala illeciti la direttiva europea sul whistleblowing che gli Stati dovranno recepire a partire da dicembre 2021. Al centro la difesa della privacy e della data protection. Il quadro complessivo e l’impatto che le nuove norme avranno su tutte le realtà lavorative: dagli impieghi pubblici a quelli privati fino al mondo dei free lance.

Whistleblowing, normativa sovranazionale

La Direttiva (UE) 2019/1937 del Parlamento Europeo e del Consiglio emanata il 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, si pone lo scopo di “rafforzare l’applicazione del diritto e delle politiche dell’Unione…” “…stabilendo norme minime comuni volte a garantire un elevato livello di protezione delle persone che segnalano violazioni del diritto dell’Unione” (Art. 1 Scopo).

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Dai contenuti della Direttiva traspaiono due tipi di obiettivi: uno implicito, relativo alla promozione di un aggiornamento delle normative nazionali, l’altro, maggiormente evidente, è quello di guidare gli enti nel processo di applicazione di misure tecniche volte a garantire un elevato livello di protezione dei soggetti segnalanti. La Direttiva, altresì, risponde all’esigenza di fornire ai segnalatori (whistleblowers) una tutela sovranazionale uniforme e armonizzata introducendo principi comuni.

La Direttiva Europea in esame ha un campo di applicazione nazionale molto esteso rispetto all’attuale normativa. Questo perché l’articolo 4, comma 1, recita testualmente: “La presente Direttiva si applica alle persone segnalanti che lavorano nel settore privato o pubblico…”. Tale comma asserisce, quindi, che le tutele espresse dalla Direttiva dovranno essere garantite anche ai lavoratori dipendenti, ai lavoratori autonomi, ai freelance, ai consulenti, agli appaltatori, nonché ai fornitori ed anche volontari, tirocinanti e richiedenti lavoro. La protezione dovrà essere estesa anche ai membri della famiglia e ai colleghi degli informatori, con l’unico limite che il soggetto giuridico deve avere almeno 50 dipendenti.

Fulcro della nostra analisi è l’articolo 16 (Obbligo di riservatezza) della Direttiva, che sancisce: “Gli Stati membri provvedono affinché l’identità della persona segnalante non sia divulgata, senza il suo consenso esplicito, a nessuno che non faccia parte del personale autorizzato competente a ricevere o a dare seguito alle segnalazioni. Altrettanto vale per qualsiasi altra informazione da cui si possa dedurre direttamente o indirettamente l’identità della persona segnalante”.

Dati identificativi del whistleblower

Quanto sopra enunciato nell’articolo 16 si ricollega con il delicato tema delle segnalazioni anonime. Quando si ha a che fare con casi di corruzione (o presunta corruzione) i soggetti che ne sono venuti a conoscenza sono spesso reticenti a segnalare eventi di questo tipo, soprattutto per timore di eventuali ritorsioni. Per prevenire nocumenti nei confronti del whistleblower i soggetti giuridici dovranno porre in essere tutta una serie di garanzie che possano tutelarli. Tali garanzie dovranno concretizzarsi in processi di segnalazione interni ed esterni (articoli 8 e 11 della Direttiva UE) che possano garantire l’anonimato del whistleblower in tutte le sue fasi, sino all’eventuale processo innanzi all’autorità giudiziaria. È chiaro che nel momento in cui la segnalazione dovesse portare a un vero e proprio processo, i dati identificativi del whistleblower dovranno essere comunicati all’autorità giudiziaria competente nell’osservanza di esplicite norme di legge. Questo però non esime il soggetto giuridico dal dover tutelare tali dati fino al verificarsi o meno del processo.

È evidente come la criticità di maggiore rilevanza stia nel trovare un equilibrio tra il combinare la tutela e la riservatezza del segnalatore con la necessità di comunicare dati identificati, o riferiti a quest’ultimo, nell’osservanza di un obbligo “necessario” e “proporzionato”, “imposto dal diritto dell’Unione o nazionale” (articolo 16, comma 2). Se la faccenda, da un punto di vista dottrinale, trova una soluzione logica e lineare, non è altrettanto logico come questi dati debbano essere trattati in un’ottica di tutela della privacy e della data protection del whistleblower.

Le tutele di cui la Direttiva UE parla vengono ulteriormente ampliate dalle disposizioni degli articoli 19 (Divieto di ritorsione) e 20 (Misure di sostegno) della stessa. Il primo dei due articoli asserisce alla responsabilità degli Stati di porre in essere le “misure necessarie” affinché il whistleblower non incorra in minacce o in tentativi di ritorsione. Le misure asserite nell’articolo 19, però, non sono intese in ottica “esterna” al soggetto giuridico ma bensì “interna”. Ossia sono volte e tutelare il soggetto segnalante da nocumenti che potrebbe provenire dallo stesso soggetto giuridico a cui il whistleblower ha presentato la segnalazione.

Se il rischio arriva dall’interno dell’azienda

Tra questi vi sono, infatti: il divieto di licenziamento, di retrocessione di grado, di sospensione della formazione, di coercizione e di discriminazione. L’articolo 20, invece, provvede a fornire una serie di supporti al segnalatore, come il fornire informazioni e offrire consulenze gratuite e facilmente accessibili, nonché il patrocinio gratuito a carico dello Stato.

La direttiva, quindi, pone l’attenzione non solo sulle conseguenze che il segnalatore potrebbe subire una volta che i suoi dati siano stati pubblicati (perché necessari per il processo) ma sottolinea come il segnalatore può essere “colpito” anche dallo stesso soggetto giuridico a cui ha comunicato la segnalazione. Quindi, alla luce di quanto sopra esposto, è evidente come la delicatezza delle segnalazioni sia una tematica molto complessa e che l’organo legislativo italiano non mancherà di recepire le disposizioni della Direttiva UE.

Il disposto degli articoli 19 e 20 asserisce che sono “gli Stati”, ovviamente, a dover garantire tali tutele, ma dovendo contestualizzare queste ultime all’interno delle realtà imprenditoriali private è lecito aspettarsi un forte coinvolgimento delle imprese (in qualità di soggetti attivi) per tutelare i dipendenti all’interno delle loro strutture.

Al fine di garantire la tutela dei segnalatori, i soggetti giuridici (infatti) saranno obbligati a strutturare (come accennato in precedenza) procedure di gestione interna ed esterna che riescano a garantire la segretezza e la confidenzialità delle segnalazioni e del loro contenuto e a darne “relativo seguito” (articoli 9 e 13 della Direttiva).

Le procedure corrette da seguire

Queste procedure, da un punto di vista interno, si concretizzano in una serie di azioni che devono essere strutturate in modo da tutelare il whistleblower in tutte le fasi del processo di segnalazione al fine di:

  • Garantire la segregazione delle informazioni comunicate
  • Identificare ruoli e responsabilità dei soggetti coinvolti nei processi di segnalazione
  • Effettuare controlli sugli accessi
  • Garantire la sicurezza delle informazioni

Più nel dettaglio, i soggetti giuridici dovranno:

  • Creare software per effettuare le segnalazioni tramite moduli online (proprietari o di outsourcer)
  • Avere a disposizione archivi (cartacei o digitali) per conservare le segnalazioni e la relativa documentazione
  • Individuare e incaricare appositi dipendenti affinché gestiscano le segnalazioni e diano supporto ai whistleblower
  • Assicurarsi che solo i soggetti autorizzati possano accedere ai dati contenuti nelle segnalazioni
  • Garantire la data protection dei dati personali del whistleblower e di terze parti nominate nella segnalazione
  • Svolgere corsi di formazione interna sui rischi e sulle best practice in tema di gestione delle segnalazioni per i dipendenti incaricati
  • Formare e istruire i dipendenti quali potenziali segnalatori
  • Istaurazione di canali di comunicazione dedicati (verbale e non) sia interni che esterni
  • Testare l’efficacia e la sicurezza delle procedure di segnalazione interne ed esterne
  • Utilizzare tecniche di criptazione
  • Porre in essere processi di risk assessment

Le sopracitate attività devono essere applicate sia per i processi di segnalazione interni, sia per quelli esterni. Questo lascia supporre che le singole persone giuridiche potranno strutturare tali processi in base alle rispettive caratteristiche e disponibilità, ma è altrettanto vero che sarà necessario un intervento a livello nazionale per creare uno o più sistemi che mettano in contatto i singoli soggetti giuridici con gli enti pubblici competenti.

In base a quanto sopra esposto è evidente che la Direttiva in analisi avrà un effetto significativo sulle imprese e il relativo personale. Questa infatti si applicherà a tutte le realtà lavorative dello Stato, a prescindere dalla loro area di attività e dalle dimensioni. Tutte queste attività si concretizzeranno in costi da dover affrontare.

Il tempo per conformarsi c’è, dato che la Direttiva dovrà trovare applicazione in tutti gli Stati membri entro il 17 dicembre del 2021. Tale termine potrà slittare al 17 dicembre del 2023 per i soggetti giuridici con più di 50 dipendenti e meno di 250, secondo quanto previsto dall’art. 26, Recepimento e periodo transitorio.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati