Senza dubbio, due dei concetti più ricercati nel mondo legale/imprenditoriale nelle ultime settimane del 2021 e nelle prime settimane del 2022 sono e saranno il “canale whistleblowing” e il “whistleblowing”. La causa è una nuova direttiva che avrebbe dovuto essere recepita il 17 dicembre ed è pendente per il primo trimestre del 2022.
In questo articolo cercheremo di fare un riassunto per arrivare da zero a cento su questo argomento in 5 minuti. Lo faremo sotto forma di domande e risposte.
Che cos’è la direttiva europea sugli informatori o l’UE 2019/1937?
La direttiva UE 2019/1937 o il whistleblower è una direttiva europea che colpisce le organizzazioni che operano all’interno dell’UE e il suo obiettivo principale è proteggere i whistleblower che segnalano qualsiasi irregolarità che sta accadendo in un’organizzazione. Inizialmente, le irregolarità interessate sono quelle che hanno un impatto sulle casse del sindacato, come corruzione, ambiente, riciclaggio di denaro, salute pubblica, sicurezza, tra le altre.
La direttiva doveva essere recepita dai diversi paesi entro il 17/12/21. Pochi paesi, Danimarca, Svezia o Portogallo lo hanno fatto, il resto, inclusa la Spagna, lo ha in sospeso ed è previsto per il primo trimestre del 2022. Il recepimento potrebbe apportare alcune modifiche al campo di applicazione iniziale della direttiva rendendolo più restrittivo, ma al momento non si sa come sarà in Spagna.
Il punto chiave della direttiva è la protezione del denunciante, ma hanno un requisito legale che avrà un impatto su molte organizzazioni. Tutte le aziende con 50 o più dipendenti devono disporre obbligatoriamente di un canale interno per i reclami. Allo stesso modo, anche gli enti pubblici con più di 10.000 cittadini devono avere un canale.
Sebbene quando si parla di direttiva ci si concentri spesso sul canale degli informatori, questa non è la cosa più importante, ma potrebbe essere obbligatorio attuarla a seconda delle dimensioni dell’organizzazione.
Che cos’è un canale per i reclami?
È un sistema informativo che consente lo scambio di informazioni tra una persona/informatore e l’organizzazione in modo confidenziale e anche anonimo. Il nome del canale di denuncia non è dei migliori, in inglese si parla di “Whitleblowing” che potrebbe essere tradotto come whistleblower. Sono sinonimo di canale di segnalazione e forse con un significato più neutro: canale etico, canale di allerta, canale di compliance o canale di whistleblowing.
In Spagna si è tentato di non parlare di canale reclami, ma con la traduzione della direttiva riferita a canale reclami, sarà difficile cambiare il concetto in qualcosa di meno “negativo”.
A cosa serve un canale di segnalazione?
Grazie ai canali di segnalazione, chiunque individui un’irregolarità dispone di un semplice meccanismo per segnalarla e facilitarne l’identificazione e la correzione se necessario. Con i canali di segnalazione, la “polizia” sono gli stessi dipendenti, clienti e/o fornitori. Con la polizza, l’informatore è protetto da potenziali ritorsioni.
Esistono diverse normative che richiedono l’implementazione di un canale…
- riciclaggio di denaro
- Direttiva Europea 2019/1937
- Conformità penale
- ISO37301
- piani di uguaglianza
Chi dovrebbe gestire un canale di segnalazione?
Il canale deve essere gestito da qualcuno indipendente che possa lavorare senza pressioni per poter svolgere diligentemente gli sforzi del canale. Non è obbligatorio che si tratti di una persona esterna all’organizzazione, ma nelle organizzazioni con meno di 250 dipendenti la direttiva parla esplicitamente di poter avere un canale condiviso da più organizzazioni.
È importante che il channel manager abbia chiaro i protocolli di gestione e il processo che deve essere eseguito. Per alcuni canali, come i canali molesti, potrebbe essere necessario che il channel manager disponga di una qualifica specifica.
I canali di segnalazione sono obbligatori?
I canali di segnalazione sono obbligatori per rispettare alcune normative. Pertanto, sebbene la compliance penale non sia obbligatoria, se viene attuata, è obbligatorio implementare un canale di segnalazione.
Con la nuova direttiva e in assenza del dettaglio del recepimento in Spagna, sarà obbligatoria nel corso del 2022 per le aziende con 250 o più dipendenti e la pubblica amministrazione. Sarà anche per le aziende con più di 50 dipendenti, ma tutto indica che il termine sarà fino al 2023.
Prestare attenzione anche ad alcuni settori interessati dalla Legge Antiriciclaggio, che devono avere un canale indipendentemente dal numero dei dipendenti.
Qual è l’informatore?
Il whistleblower è il termine anglosassone usato per riferirsi al whistleblower o al denunciante, la persona che avvia la denuncia.
Qual è la differenza tra un canale di segnalazione interno ed esterno?
A seconda di chi chiedi, ti spiegheranno una cosa o l’altra. Noi, seguendo la descrizione della direttiva europea, comprendiamo che il canale interno è quello che deve essere implementato dall’organizzazione (azienda o ente pubblico) per risolvere i reclami in prima istanza, come indicato nella direttiva, all’interno dell’organizzazione stessa. Il canale interno può a sua volta essere “esternalizzato” sia dal software che dal gestionale. Si raccomanda infatti di esternalizzare almeno il software, per evitare possibili manipolazioni da parte del personale dell’organizzazione stessa.
Il canale esterno è quello che deve essere attuato da un ente pubblico per dare continuità alle denunce che sono state comunicate attraverso un canale interno, ma non sono state adeguatamente risolte.
Quali sono gli elementi chiave per implementare correttamente un canale di whistleblowing?
I tre elementi chiave per una corretta implementazione di un canale reclami sono:
- Definire il protocollo del canale e la protezione dei dati. È molto importante definire l’ambito specifico del canale, poiché lo stesso strumento può essere utilizzato per scopi diversi e gli utenti devono essere preventivamente informati di ciò che può e non può essere segnalato da esso.
- Implementare uno strumento con garanzie di sicurezza. Si consiglia, anche se non essenziale, di essere certificato ISO27001 e di disporre di un meccanismo per potersi integrare con i sistemi di autenticazione utente dell’azienda, azureAD, Google o simili.
- Formazione e diffusione dell’esistenza del canale per promuoverne l’utilizzo.
Cosa dice la protezione dei dati sui canali di reclamo?
Secondo la Legge Organica 3/2018, del 5 dicembre, sulla protezione dei dati personali e la garanzia dei diritti digitali, art. 24 della norma specifica:
1. La realizzazione e manutenzione di sistemi informativi attraverso i quali un ente di diritto privato possa venire a conoscenza, anche in forma anonima, della commissione al suo interno o negli atti di terzi che con esso contraenti, saranno leciti di atti o comportamenti che potrebbero essere contrari alle normative generali o settoriali eventualmente applicabili. I dipendenti e le terze parti devono essere informati dell’esistenza di tali sistemi informativi.
2. L’accesso ai dati contenuti in tali sistemi sarà limitato esclusivamente a coloro che, iscritti o meno all’ente, svolgono funzioni di controllo interno e di compliance, ovvero agli incaricati del trattamento all’uopo designati. Tuttavia, il suo accesso da parte di altre persone, o anche la sua comunicazione a terzi, sarà lecito quando sia necessario per l’adozione di provvedimenti disciplinari o per l’espletamento di procedimenti giudiziari che, se del caso, procedono.
Ferma restando la notifica all’autorità competente di atti costituenti illecito penale o amministrativo, solo quando potrebbero essere adottati provvedimenti disciplinari nei confronti di un lavoratore, tale accesso sarà consentito al personale con funzioni di gestione e controllo delle risorse umane.
3. Devono essere adottate le misure necessarie per preservare l’identità e garantire la riservatezza dei dati corrispondenti alle persone interessate dalle informazioni fornite, in particolare quella della persona che avrebbe portato i fatti a conoscenza dell’ente, nel caso in cui che fosse stato individuato.
4. I dati del soggetto che effettua la comunicazione e dei dipendenti e dei terzi devono essere conservati nel sistema dei reclami solo per il tempo necessario a valutare l’opportunità di avviare un’indagine sui fatti denunciati.
In ogni caso, trascorsi tre mesi dall’introduzione dei dati, questi devono essere cancellati dal sistema dei reclami, a meno che la finalità della conservazione non sia quella di lasciare evidenza del funzionamento del modello atto a prevenire la commissione di reati da parte dell’autorità giudiziaria entità. I reclami che non sono stati trattati possono essere registrati solo in forma anonima, senza che sia applicabile l’obbligo di blocco previsto dall’articolo 32 della presente legge organica.
Trascorso il termine di cui al comma precedente, i dati potranno continuare ad essere trattati, dall’organismo competente, ai sensi del comma 2 del presente articolo, all’istruttoria dei fatti denunciati, non essendo conservati nel sistema informativo interno dei reclami.
5. I principi di cui ai paragrafi precedenti saranno applicabili ai sistemi di reclamo interni che potrebbero essere creati nelle Pubbliche Amministrazioni.
Riceverò molti reclami attraverso il canale?
Non aver paura di implementare un canale per i reclami. Il volume dei reclami è correlato alle dimensioni dell’azienda e alla sua cultura. Un canale è inteso come strumento preventivo e per identificare e correggere le cattive pratiche. La cultura non favorisce la rendicontazione, quindi fintanto che la cultura non cambia a livello generale e nell’organizzazione, non è normale ricevere troppe lamentele.
