Il whistleblowing è lo strumento che introduce la possibilità per un dipendente, sia pubblico che privato, di segnalare un’irregolarità commessa dall’organizzazione per cui lavora, in sicurezza e senza subire ripercussioni.
La normativa europea (Direttiva UE 2019/1937), recepita in Italia con il Decreto Legislativo n. 24 del 2023, ha armonizzato la procedura per garantire un sistema di segnalazioni efficaci e protette, non solo per i dipendenti, ma anche per liberi professionisti, tirocinanti, volontari e consulenti.
Per approfondire la grande tematica connessa alla consulenza privacy e GDPR, abbiamo creato questa guida dedicata al whistleblowing: dalla definizione, alla normativa e le sanzioni, fino ai dettagli su oggetto e canali di segnalazione.
Cos’è il whistleblowing?
Il whistleblowing è un termine anglosassone che deriva dall’espressione “to blow the whistle”, letteralmente “soffiare nel fischietto”.
Consiste nella segnalazione di illeciti, frodi o comportamenti scorretti all’interno di un’organizzazione, sia essa pubblica o privata, da parte di una persona che ne è venuta a conoscenza nel proprio contesto lavorativo. Con la finalità di prevenire o interrompere un comportamento dannoso per l’azienda, i dipendenti o la collettività.
L’articolo 1, comma 1, del D.Lgs. 24/2023 specifica che “il decreto disciplina la protezione delle persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato”.
Quando nasce il whistleblowing?
L’idea di proteggere chi segnala irregolarità all’interno del contesto lavorativo nasce negli Stati Uniti, con il Whistleblower Protection Act del 1989, che tutela i dipendenti pubblici che denunciano condotte illecite all’interno dell’amministrazione federale.
In Europa, il concetto ha iniziato a prendere forma con la Direttiva UE 2019/1937, che ha stabilito obblighi precisi per gli stati membri in materia di whistleblowing, al fine di garantire una protezione uniforme a livello europeo per coloro che segnalano violazioni.
In Italia, il primo riferimento normativo è la Legge 190/2012 (detta anche Legge Severino), che ha introdotto una prima forma di tutela per i whistleblower nel settore pubblico. Successivamente, con la Legge 179/2017, la protezione è stata estesa anche al settore privato, con l’obbligo per le aziende con modelli 231/2001 di dotarsi di un sistema di segnalazione.
L’ultima e più completa normativa è il D.Lgs. 24/2023, entrato in vigore il 30 marzo 2023, che ha recepito la Direttiva UE (UE) 2019/1937 e ha introdotto obblighi chiari per aziende ed enti pubblici, garantendo protezioni rafforzate per i segnalanti.
Principali novità introdotte rispetto alla normativa precedente
● Estensione dell’ambito di applicazione: la nuova normativa amplia la protezione a una vasta gamma di soggetti, includendo non solo i lavoratori subordinati, ma anche liberi professionisti, consulenti, volontari e tirocinanti.
● Obbligo di istituzione di canali di segnalazione interni: alcune organizzazioni (tutte quelle pubbliche e quelle private che presentano alcune caratteristiche) devono predisporre canali interni per la ricezione e gestione delle segnalazioni, garantendo la riservatezza dell’identità del segnalante.
● Introduzione di canali di segnalazione esterni: oltre ai canali interni, è previsto l’accesso a canali esterni gestiti da autorità competenti, come l’Autorità Nazionale Anticorruzione (ANAC), per garantire ulteriori livelli di protezione.
● Divieto di ritorsioni: sono previste misure specifiche per proteggere i segnalanti da qualsiasi forma di ritorsione, assicurando loro tutela legale e supporto adeguato.
Direttiva UE e decreto whistleblowing: normativa in Italia
La normativa italiana sul whistleblowing è regolata dal Decreto Legislativo 10 marzo 2023, n. 24, che recepisce la Direttiva (UE) 2019/1937 e introduce misure specifiche per proteggere le persone che segnalano violazioni.
Ecco una prima sintesi dei punti principali previsti dalla legge:
1. Chi è obbligato ad adottare un sistema di whistleblowing?
● Settore pubblico: tutti gli enti pubblici, senza limiti di dipendenti.
● Settore privato: obbligo per aziende con almeno 50 dipendenti, per quelle operanti in settori sensibili regolamentati a livello europeo, per aziende che adottano modelli di organizzazione e gestione ai sensi del D.Lgs. 231/2001.
2. Canali di segnalazione obbligatori
● Le aziende sopracitate e gli enti pubblici devono predisporre almeno un canale interno, sicuro e riservato, che può essere gestito: internamente da un’unità organizzativa autonoma oppure da un soggetto terzo specializzato nella gestione delle segnalazioni.
● Deve essere previsto anche un canale di segnalazione esterno, gestito da organizzazioni come l’ANAC (Autorità Nazionale Anticorruzione).
● Divulgazione pubblica e denuncia all’autorità giudiziaria o contabile.
3. Protezione della persona segnalante
● La riservatezza dell’identità del segnalante deve essere garantita.
● Il segnalante è protetto da ritorsioni, come licenziamento, demansionamento, trasferimenti punitivi o altre discriminazioni.
● Sono previste sanzioni per chi ostacola o tenta di scoprire l’identità del whistleblower.
4. Quali illeciti possono essere segnalati?
● Violazioni delle disposizioni normative nazionali o del diritto dell’Unione Europea in settori specifici.
● Frodi, corruzione, abuso di potere, violazioni sulla sicurezza sul lavoro, illeciti in ambito finanziario, ambientale e sanitario.
● Violazioni delle normative sulla privacy e protezione dei dati personali (GDPR).
5. Modalità di segnalazione e divulgazione pubblica
● Il whistleblower può segnalare internamente all’azienda o esternamente all’ANAC.
● In alcuni casi, se la segnalazione non viene presa in carico o se c’è un pericolo imminente per l’interesse pubblico, è consentita la divulgazione pubblica e la denuncia alle autorità.
6. Sanzioni per chi non si adegua
● Multe fino a 50.000 euro per aziende ed enti che non attivano un sistema di segnalazione o che ostacolano il whistleblowing.
● Ulteriori sanzioni per chi adotta misure ritorsive nei confronti del segnalante.
Quali aziende ed enti pubblici sono obbligati ad adeguarsi al whistleblowing?
In seguito all’entrata in vigore del decreto il 30 marzo 2023, le disposizioni sono diventate efficaci a partire dal 15 luglio 2023. Con una distinzione nella regolamentazione tra soggetti del settore pubblico e privato, sottolineata chiaramente nella sezione dedicata dell’ANAC.
Aziende del settore privato
Nelle aziende l’obbligo di adottare sistemi di whistleblowing con canali interni, a protezione dei segnalanti, riguarda le aziende che soddisfano almeno una delle seguenti condizioni:
● Hanno impiegato, nell’ultimo anno, una media di almeno 50 lavoratori subordinati, con contratti a tempo indeterminato o determinato.
● Indipendentemente dal numero di dipendenti, operano in settori specifici e sensibili: “servizi, prodotti e mercati finanziari, prevenzione del riciclaggio o del finanziamento al terrorismo, sicurezza dei trasporti e tutela dell’ambiente”.
● Indipendentemente dal numero di dipendenti, adottano modelli di organizzazione e gestione ai sensi del decreto legislativo 231/2001.
Enti del settore pubblico
Tutti gli enti pubblici, senza limiti di dipendenti, sono tenuti ad adeguarsi alla normativa sul whistleblowing. Questo include le amministrazioni statali, regionali e locali, gli enti pubblici non economici e gli organismi di diritto pubblico e altri enti pubblici.
Modalità e canali di segnalazione
La normativa di riferimento ha delineato la procedura di segnalazione, ossia le modalità e i canali attraverso i quali la persona segnalante, definita whistleblower, può denunciare violazioni mantenendo intatta la sua riservatezza e sicurezza.
Come anticipato i canali di segnalazione sono:
● Interno al contesto lavorativo (per aziende che hanno l’obbligo e gli enti pubblici)
● Esterni al contesto lavorativo
● In casi di particolare gravità che necessitano un intervento tempestivo: divulgazione pubblica e denuncia all’autorità giudiziaria o contabile.
Segnalazione interna
Nel caso della segnalazione interna l’ente è tenuto a predisporre un canale interno capace di garantire: riservatezza, accessibilità e sicurezza. Questo canale deve assicurare la protezione dell’identità della persona segnalante e prevenire accessi non autorizzati alle informazioni fornite. L’obiettivo è incoraggiare le segnalazioni, favorendo una gestione tempestiva delle problematiche all’interno dell’organizzazione stessa.
Le modalità per effettuare una segnalazione interna sono specificate all’articolo 4, comma 5 del decreto di riferimento. Questo comma prevede che le segnalazioni possano essere presentate:
● In forma scritta: attraverso piattaforme informatiche o altri strumenti elettronici
● In forma orale: mediante linee telefoniche o sistemi di messaggistica vocale.
● Attraverso incontro diretto: su richiesta del segnalante, da effettuarsi entro un termine ragionevole.
Segnalazione esterna
Nel caso della segnalazione esterna, il segnalante può rivolgersi a un’autorità competente al di fuori della sua organizzazione. Il Decreto Legislativo 10 marzo 2023, n. 24, identifica l’ANAC come il principale ente di riferimento per la gestione delle segnalazioni esterne.
Questo canale è stato istituito per garantire la riservatezza del segnalante e può essere utilizzato nei seguenti casi:
● Il canale interno non è disponibile o non è conforme alla legge: ad esempio, l’ente o l’azienda non ha attivato un sistema di segnalazione o il sistema esistente non rispetta i requisiti normativi.
● La segnalazione interna non ha avuto seguito: il segnalante ha già utilizzato il canale interno senza ottenere risposta o senza che siano state adottate misure adeguate.
● Sussiste il rischio di ritorsioni: il segnalante ha fondati motivi di temere conseguenze negative (licenziamento, demansionamento, discriminazione) nel caso in cui effettui una segnalazione internamente.
● La violazione costituisce un pericolo imminente per l’interesse pubblico: la gravità della situazione richiede un intervento rapido per prevenire danni maggiori.
I segnalanti possono presentare la segnalazione attraverso le seguenti modalità:
● Piattaforma informatica dedicata dell’ANAC: garantisce anonimato e protezione dei dati personali.
● Linea telefonica dedicata: consente la segnalazione orale in modalità riservata.
● Incontro diretto con un funzionario su richiesta del segnalante.
Segnalazione con divulgazione pubblica
Nel caso della divulgazione pubblica, regolamentata dall’articolo 15 del decreto, il segnalante decide di rendere noto un illecito direttamente ai media o ai social network. Questa modalità è ammessa dalla normativa in circostanze specifiche:
● Hanno già effettuato una segnalazione interna ed esterna (o solo esterna) e non hanno ricevuto risposta nei tempi previsti.
● L’illecito rappresenta un pericolo imminente o palese per l’interesse pubblico.
● Temono ritorsioni o la segnalazione potrebbe non avere efficace seguito: se esiste un rischio concreto che il responsabile dell’illecito possa occultare o distruggere prove, oppure se l’ente destinatario della segnalazione è corrotto o coinvolto nella violazione stessa.
Il segnalante gode delle stesse protezioni previste per le segnalazioni esterne e interne. In questa casistica risulta particolarmente importante che la divulgazione pubblica sia supportata da prove concrete, in modo da evitare accuse di diffamazione o calunnia.
Cosa può essere oggetto della segnalazione del whistleblower?
Il whistleblower può segnalare diverse tipologie di violazioni, in base anche al settore in cui è inserito.
Violazioni segnalabili nel settore privato
● Frodi aziendali, corruzione e abusi di potere: comportamenti illeciti che compromettono l’integrità e la trasparenza dell’azienda.
● Violazioni delle normative sulla sicurezza e salute dei lavoratori: inosservanza delle disposizioni che garantiscono ambienti di lavoro sicuri e salubri.
● Illeciti relativi alla protezione dei dati personali (GDPR): trattamenti di dati non conformi al Regolamento Generale sulla Protezione dei Dati.
● Violazioni nel settore finanziario, antiriciclaggio e sicurezza informatico
● Condotte illecite rilevanti ai sensi del D.Lgs. 231/2001
Violazioni segnalabili nel settore pubblico
● Appalti irregolari e cattiva gestione dei fondi pubblici: pratiche che compromettono l’efficienza e l’efficacia dell’amministrazione pubblica.
● Conflitti di interesse e abuso di potere: situazioni in cui l’interesse personale prevale su quello pubblico, compromettendo l’integrità dell’amministrazione.
● Corruzione e mancata trasparenza amministrativa: comportamenti che minano la fiducia dei cittadini nelle istituzioni pubbliche.
● Illeciti amministrativi, contabili, civili o penali
Il ruolo del whistleblower e la sua tutela
Il whistleblower è la persona che, nel proprio contesto lavorativo, segnala violazioni di disposizioni normative nazionali o dell’Unione Europea che possono compromettere l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato.
Il suo ruolo è essenziale per garantire trasparenza, legalità e correttezza nelle organizzazioni, contribuendo a prevenire corruzione, frodi, abuso di potere e mancato rispetto delle normative.
La segnalazione di un illecito può esporre il whistleblower a ritorsioni come licenziamenti, demansionamenti, discriminazioni salariali o altre misure punitive. Per questa ragione, il Decreto Legislativo 10 marzo 2023, n. 24 prevede specifiche tutele per proteggere il segnalante e incentivare la denuncia di illeciti:
● Riservatezza dell’identità: l’identità del segnalante non può essere divulgata senza il suo consenso, tranne nei casi previsti dalla legge. Inoltre, le informazioni contenute nella segnalazione devono essere trattate in modo strettamente confidenziale.
● Divieto di ritorsione: qualsiasi provvedimento che penalizzi il whistleblower è vietato e considerato nullo se adottato in conseguenza della segnalazione.
● Canali di segnalazione sicuri: attraverso la predisposizione di strumenti di segnalazione protetti e riservati, come piattaforme informatiche sicure, linee telefoniche dedicate o incontri diretti programmati.
● Tutela legale e onere della prova: se un whistleblower subisce ritorsioni, può denunciare il comportamento scorretto alle autorità competenti. La legge prevede che sia l’ente a dover dimostrare che eventuali provvedimenti adottati nei confronti del segnalante non siano ritorsivi.
● Esclusione di responsabilità per la segnalazione: il whistleblower non può essere perseguito per aver divulgato informazioni riservate se la segnalazione è stata effettuata in conformità alla legge. Il segnalante resta responsabile a livello penale e civile se la denuncia è diffamatoria o calunniosa.
● Modelli organizzativi e sanzioni per chi non rispetta la normativa: le aziende e gli enti pubblici devono adottare modelli di organizzazione e gestione conformi alla normativa, garantendo procedure trasparenti per la gestione delle segnalazioni. La mancata attuazione delle misure previste può comportare sanzioni fino a 50.000 euro.
Quali sono le sanzioni previste per il mancato rispetto della normativa?
Le aziende e gli enti pubblici che non rispettano le disposizioni della normativa sul whistleblowing o che attuano ritorsioni nei confronti di chi ha effettuato una segnalazione rischiano sanzioni amministrative significative.
Le sanzioni previste riguardano due principali ambiti di violazione. Da un lato, le aziende e gli enti pubblici possono essere sanzionati se non istituiscono correttamente un sistema di segnalazione interna o se adottano procedure non conformi alla legge. Dall’altro, le sanzioni colpiscono anche chi ostacola le segnalazioni, chi non garantisce la riservatezza del segnalante e, in particolare, chi attua ritorsioni nei suoi confronti.
Le multe per la mancata istituzione dei canali interni di segnalazione o per la gestione non conforme delle segnalazioni vanno da 10.000 a 50.000 euro, a seconda della gravità dell’inadempienza.
Ancora più severe sono le sanzioni per chi compie ritorsioni contro il whistleblower. La legge vieta qualsiasi forma di penalizzazione nei confronti di chi segnala un illecito, compresi licenziamenti, demansionamenti, discriminazioni salariali, trasferimenti punitivi e minacce sul posto di lavoro. Qualsiasi provvedimento ritorsivo può essere annullato, e il datore di lavoro è chiamato a dimostrare che eventuali azioni intraprese contro il segnalante non siano una conseguenza della denuncia. Anche in questo caso, le sanzioni variano tra 10.000 e 50.000 euro.
Per evitare questi provvedimenti, le aziende e gli enti pubblici devono adeguarsi pienamente alla normativa, predisponendo canali di segnalazione sicuri e accessibili, garantendo la tutela del segnalante e adottando procedure conformi alle linee guida.
La mancata adozione di queste misure non solo espone l’ente a multe significative, ma può anche compromettere la credibilità e la trasparenza dell’organizzazione.
Domande frequenti sul whistleblowing
Quali aziende ed enti sono obbligati ad adeguarsi alla normativa sul whistleblowing?
La normativa sul whistleblowing si applica a tutte le aziende private con almeno 50 dipendenti, alle aziende che operano in settori regolamentati come finanza, sicurezza, trasporti, sanità e tutela ambientale, indipendentemente dal numero di dipendenti, e alle aziende che adottano modelli di organizzazione e gestione ai sensi del D.Lgs. 231/2001. Nel settore pubblico, l’obbligo riguarda tutti gli enti, senza limiti di dipendenti.
Quali sono i canali di segnalazione previsti dalla normativa?
La normativa prevede tre modalità di segnalazione: interna, esterna e pubblica. Le aziende e gli enti pubblici devono garantire un canale interno sicuro e riservato per la gestione delle segnalazioni. In alternativa, se il canale interno non è attivo, non è conforme o il segnalante teme ritorsioni, è possibile rivolgersi all’ANAC, che gestisce le segnalazioni esterne. In situazioni eccezionali, quando vi è un pericolo imminente per l’interesse pubblico o il rischio di perdita delle prove, la normativa consente anche la divulgazione pubblica dell’illecito.
Cosa può essere segnalato tramite il whistleblowing?
Attraverso il whistleblowing è possibile segnalare violazioni normative, frodi, corruzione, abuso di potere, illeciti finanziari, ambientali e relativi alla sicurezza sul lavoro. Inoltre, rientrano nelle segnalazioni le violazioni della normativa sulla protezione dei dati personali e le irregolarità negli appalti pubblici.
Il whistleblower è protetto da ritorsioni?
Sì, la normativa sul whistleblowing vieta qualsiasi forma di ritorsione nei confronti del segnalante, comprese azioni come licenziamento, demansionamento, discriminazioni salariali, trasferimenti punitivi e minacce sul posto di lavoro. In caso di ritorsione, il segnalante può presentare una denuncia all’ANAC, che ha il compito di vigilare sulla corretta applicazione delle tutele previste dalla legge.
La segnalazione può essere anonima?
Sì, la normativa consente la segnalazione anonima. Tuttavia, anche quando il segnalante fornisce le proprie generalità, l’ente o l’azienda è obbligato a garantire la massima riservatezza dei suoi dati e delle informazioni fornite.
Quali sanzioni sono previste per gli enti che non rispettano la normativa?
Le sanzioni amministrative sono comprese tra 10.000 e 50.000 euro nei casi in cui un’azienda o un ente pubblico non istituisca un sistema di segnalazione, adotti procedure non conformi alla normativa, compia atti di ritorsione contro il segnalante o violi l’obbligo di riservatezza.