Whistleblowing: i canali per la segnalazione anonima di illeciti
Il presupposto normativo alla base della segnalazione di illeciti è rinvenibile nel dovere di lealtà al proprio datore di lavoro di cui all'art. 2105 c.c., da cui consegue, per via interpretativa, un generale obbligo per il prestatore di lavoro di tenere un comportamento leale e, quindi, anche di dover segnalare eventuali illeciti, non solo penali.
L'istituto del whistleblowing consiste nella segnalazione da parte del lavoratore di condotte illecite tenute da altri all'interno del proprio ente o società di appartenenza. L'espressione significa letteralmente "soffiare il fischietto", quasi a ricordare l'azione compiuta da un arbitro a fronte di un'irregolarità; grazie a questa normativa, di origine anglosassone, anche ai "giocatori" è attribuita la prerogativa di vigilare sulla correttezza dei comportamenti degli altri.
Il presupposto normativo alla base della segnalazione di illeciti è rinvenibile nel dovere di lealtà al proprio datore di lavoro di cui all'art. 2105 c.c., da cui consegue, per via interpretativa, un generale obbligo per il prestatore di lavoro di tenere un comportamento leale e, quindi, anche di dover segnalare eventuali illeciti, non solo penali.
Il whistleblowing negli enti privati: l'art. 6 del D. Lgs. 231/2001
L'istituto del whistleblowing negli enti privati è disciplinato dall'art. 6 del D. Lgs. n. 231/2001, come modificato dalla L. n. 179/2017. Prima di tale modifica, non era previsto un esplicito obbligo di istituire un sistema di whistleblowing; tuttavia, questo istituto non era sconosciuto alle società dotate di Modello 231, dal momento che una lettura particolarmente attenta dell'art. 6, comma 2, del Decreto 231, ai sensi del quale l'ente non risponde se, tra le altre cose, sono stati previsti «obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli», ha da sempre suggerito la necessità di prevedere un adeguato sistema di segnalazione all'interno dell'ente.
A seguito delle modifiche introdotte, è ora esplicitamente previsto dal comma 2-bis che il modello di organizzazione e gestione preveda uno o più canali che consentano ai vertici o ai subordinati di presentare, a tutela dell'integrità dell'ente, segnalazioni circostanziate di condotte illecite, rilevanti ai sensi del decreto 231 e fondate su elementi di fatto precisi e concordanti, o di violazioni del modello di organizzazione e gestione dell'ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte; tali canali devono garantire la riservatezza dell'identità del segnalante nelle attività di gestione della segnalazione. Il modello deve inoltre garantire almeno un canale alternativo di segnalazione idoneo ad assicurare, con modalità informatiche, la riservatezza dell'identità del segnalante; viene, altresì, postulato il divieto di atti di ritorsione o discriminatori, diretti o indiretti, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione. Vi sono poi delle prescrizioni specifiche che riguardano il sistema disciplinare: quest'ultimo, infatti, deve prevedere delle sanzioni nei confronti di chi viola le misure di tutela del segnalante, nonché di chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.
Ai sensi del comma 2-ter, nel caso di misure ritorsive, queste possono essere segnalate all'ispettorato nazionale del lavoro per i provvedimenti di propria competenza, dal denunciante stesso o dall'organizzazione sindacale da quest'ultimo scelta.
Infine, il comma 2-quater prevede la nullità del licenziamento ritorsivo o discriminatorio, del demansionamento ex articolo 2103 c.c. e di qualsiasi altra misura ritorsiva o discriminatoria. In aggiunta, la norma pone a carico del datore la dimostrazione che tali misure sono fondate su ragioni estranee alla segnalazione stessa.
La norma non si premura di indicare chi sia il soggetto destinatario di tali segnalazioni. Sul punto, Confindustria, con nota illustrativa del gennaio 2018, ha sottolineato come sia opportuno, per ogni modello, individuare il soggetto destinatario delle denunce, alla luce della natura, delle caratteristiche dimensionali, della struttura di eventuali gruppi societari di riferimento e dell'eventuale esigenza di applicare ulteriori regolamentazioni riguardanti lo specifico settore di attività.
A titolo esemplificativo, a parere di Confindustria, il destinatario delle segnalazioni potrebbe essere l'Organismo di Vigilanza, ovvero un altro soggetto, comitato, struttura specificamente individuati; il Responsabile della funzione Compliance; un comitato rappresentato da soggetti appartenenti a varie funzioni (ad esempio la funzione legale, HR, internal audit, compliance); un ente o un soggetto esterno dotato di comprovata professionalità, che si occupi di gestire la prima fase di ricezione della segnalazione e di coordinamento con l'ente; il datore di lavoro nelle PMI. Vengono così estesi il ruolo e le funzioni dell'Organismo di Vigilanza il quale, oltre all'adeguatezza e all'aggiornamento dei modelli, dovrà assicurarsi che il whistleblowing funzioni. Inoltre, anzi soprattutto, dovrà valutare e nel caso approfondire il contenuto di tale segnalazione, assicurando tutte le garanzie previste dalla norma. Va, però, segnalato come ciò non implichi la trasformazione dell'O.d.V. in una Procura della Repubblica all'interno dell'ente, non possedendo questi alcun potere istruttorio anche solo lontanamente assimilabile a quello dell'Autorità giudiziaria.
La riservatezza dell'identità del segnalante ed il profilo dell'anonimato
Figura centrale di un sistema di whistleblowing è il soggetto segnalante. Spesso, è l'unico testimone del fatto segnalato o, quantomeno, l'unico in grado di fornire un apporto informativo utile per poter accertate in maniera oggettiva condotte ovvero comportamenti illeciti.Si tratta di una posizione di certo non facile né comoda, ed è per questo che la normativa richiede che i canali destinati a veicolare le segnalazioni garantiscano la riservatezza dell'identità del denunciante nelle diverse fasi di gestione della denuncia e che, almeno uno di essi, provveda a tali garanzie con modalità informatiche.
Come evidenziato anche nelle ultime Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del Decreto Legislativo 8 giugno 2001, n. 231 adottate da Confindustria ed aggiornate a giugno 2021, il profilo della riservatezza va distinto dal profilo dell'anonimato: garantire la riservatezza dell'identità del segnalante richiede che questo sia riconoscibile e non anonimo.
L'anonimato, infatti, potrebbe rendere molto più complessa, se non addirittura vanificare, la verifica circa la fondatezza della segnalazione.
Poter risalire all'identità del segnalante da parte di chi riceve la segnalazione è elemento indefettibile laddove si renda necessario rivelare le sue generalità nel caso in cui la segnalazione assurga a vera e propria dichiarazione accusatoria in ambito penale e l'individuazione del whistleblower sia assolutamente indispensabile per consentire l'accusa e, al tempo stesso, la difesa dell'incolpato.
Parimenti, il totale anonimato non consentirebbe, sul piano disciplinare, l'accertamento di eventuali abusi del canale di segnalazione volti a screditare, attraverso l'esposizione di fatti non corrispondenti al vero, l'operato di colleghi o superiori.
I possibili canali di segnalazione di illeciti
Tracciate le indicazioni di cui sopra, la norma non si premura, tuttavia, di specificare quali possano essere tali canali. Confindustria, quale associazione di categoria maggiormente rappresentativa, ha individuato nelle linee guida precedentemente menzionate alcune possibili opzioni di gestione delle segnalazioni, con diverse potenzialità e differenti limiti, da tarare sull'effettiva organizzazione e dimensionamento dell'ente e sempre a patto di garantire la riservatezza dell'identità del segnalante, come impone la normativa.
In linea generale l'efficacia di un canale di segnalazione può essere "misurata" secondo i seguenti indicatori: minor numero di intermediari tra il segnalante ed il destinatario della segnalazione, possibilità di attivare una interlocuzione diretta tra segnalante e destinatario, riduzione ovvero esclusione del rischio che soggetti terzi possano accedere ai contenuti della segnalazione.
Il primo canale che occorre prendere in considerazione, di norma già esistente e attivo, è costituito dalla casella di posta elettronica dell'Organismo di Vigilanza ovvero, in alternativa, l'attivazione di una apposita casella dedicata alla ricezione delle segnalazioni.
Questa prima opzione è il canale che in assoluto assicura maggiormente la possibilità di instaurazione di un rapporto diretto tra segnalante e destinatario, consentendo altresì una possibilità di interlocuzione diretta.
Parimenti, si tratta però di uno strumento che, da un punto di vista tecnico-informatico, non garantisce - in via assoluta – la riservatezza della comunicazione. In primo luogo, alle caselle di posta elettronica aziendali può accedere l'amministratore di sistema che, per quanto soggetto appositamente individuato per assicurare la sicurezza del sistema informatico interno, potrebbe in tal modo accedere a delle informazioni di natura riservata. In secondo luogo, potrebbe essere problematico il fatto che spesso le caselle di posta elettronica non siano direttamente "movimentate" ma prevedono l'attivazione di inoltri automatici sulle caselle personali dei componenti, i quali, oltre a succedersi nel tempo, potrebbero portare tali informazioni al di fuori del circuito delle comunicazioni aziendali.
Una prassi recente è quella di attivare caselle di posta elettronica al di fuori del dominio aziendale e che possano quindi essere gestite in totale autonomia da parte del destinatario.In alternativa, ovvero in parallelo, al canale della posta elettronica, l'ente può ricorrere all'attivazione di piattaforme informatiche, eventualmente anche gestite da terze parti indipendenti e specializzate.
Il vantaggio dell'adozione di una piattaforma risiede certamente nella gestione accentrata e sistematica delle segnalazioni, potendo ricorrere a un sistema uniforme di segnalazione con form predefiniti. Ma soprattutto la piattaforma, qualora dotata di un protocollo di crittografia, può assicurare che la segnalazione registrata sul portale sia effettuata e trattata in modo anonimizzato. Tutte le segnalazioni sono visualizzate dall'organo di controllo in modo da garantire la riservatezza del segnalante e sono archiviate digitalmente.A prima vista, la piattaforma garantisce in maniera più efficiente la tracciabilità del processo e ne assicura in maniera più forte la riservatezza delle comunicazioni.
Sono però d'obbligo alcuni nota bene: in primis, molte piattaforme sono settate in modo da assicurare solo e soltanto il totale anonimato del segnalante, standard non previsto dalla norma e che comporta le problematiche sopra citate. Se, pertanto, vi è l'intenzione di ricorrere ad una piattaforma di segnalazione, affinché la stessa sia compliant con la normativa, occorre che il sistema di crittografia possa essere decrittografato, consentendo – laddove necessario e attivando una apposita procedura – di risalire alla effettiva identità del segnalante.
Altra puntualizzazione inerente a questa tipologia di canale, riguarda il fatto che, spesso, il primo destinatario della segnalazione non sia l'organo deputato al controllo, bensì altro soggetto o funzione cui è demandato il compito di filtrare e smistare le segnalazioni, in modo tale che solo quelle che abbiano effettivamente "rilevanza 231" siano poste all'attenzione dell'OdV. Si tratta di soggetti intermediari tenuti a loro volta a doveri di discrezione e riservatezza, ma risulta evidente come l'aggiunta di intermediari tra segnalante e destinatario aumenti potenzialmente il rischio che il contenuto della segnalazione sia conosciuto da più persone in via anticipata e magari possa circolare per altre vie all'interno dell'ente.
Tale problematica potrebbe in particolare verificarsi nei casi in cui sia attivata una piattaforma in uso a più legal entities facenti parte del medesimo gruppo societario, comportando la necessità di smistarle a diversi destinatari.
Si tenga infine presente che le piattaforme, per ragioni sinergiche, sono spesso implementate per consentire non solo la segnalazione di fatti rilevanti ai fini 231 ma anche di altri comportamenti considerati non compliant. In tali casi, dovranno essere definite le modalità di selezione e scrematura che consentano di enucleare quelle effettivamente rilevanti ai fini della 231, senza il rischio che segnalazioni potenzialmente significative vengano incanalate verso altri destinatari (Resp. Compliance, Resp. Antiriciclaggio).
Tali difficoltà potrebbero essere arginate mediante l'adozione di una specifica procedura che disciplini in maniera chiara e precisa a quale destinatario debba essere fatta recapitare la singola segnalazione.
Da ultimo, è doveroso menzionare la possibilità che la segnalazione sia inviata in modalità cartacea tramite servizio postale ordinario o tramite deposito fisico in cassette ad hoc presso la sede dell'ente. Risulta evidente come, nonostante una siffatta modalità di segnalazione permetta di garantire assoluta discrezione circa il contenuto della segnalazione stessa e una immediata ricezione da parte del destinatario, nel caso in cui il segnalante non consentisse la propria identificazione, sarebbe preclusa la possibilità di gestire propriamente la segnalazione a causa di tale mancata identificazione: non potrebbero, ad esempio, essere richieste delle integrazioni documentali ovvero dei chiarimenti volti ad approfondire e verificare il fatto segnalato.
Si tratta di prime e sintetiche considerazioni che meritano un maggiore approfondimento, tenendo conto del settore economico di riferimento, delle effettive caratteristiche dimensionali nonché dell'organizzazione interna dell'ente.
L'esigenza di garantire la riservatezza del segnalante e la normativa in materia di protezione dei dati personali.
Oltre alle considerazioni finora esposte, è necessario affrontare il tema anche alla luce delle prescrizioni del Regolamento UE n. 679/2016 in materia di protezione dei dati personali.
L'acquisizione e la gestione delle segnalazioni danno luogo a trattamenti di dati personali, anche appartenenti a categorie particolari o relativi a condanne penali e reati, eventualmente contenuti nella segnalazione o in atti e documenti ad essa allegati, riferiti alle persone fisiche (identificate o identificabili) che inoltrano una segnalazione o a quelle indicate come possibili responsabili delle condotte illecite o a quelle a vario titolo coinvolte nelle vicende segnalate.
In un recente provvedimento (n. 235 del 2021) il Garante per la protezione dei dati personali ha definito le caratteristiche che un sistema di gestione delle segnalazioni deve possedere affinché i dati ivi trattati siano protetti da adeguate garanzie.
In particolare, viene richiesto di definire una policy di gestione delle segnalazioni, in conformità ai principi di privacy by design e privacy by default, tenuto conto anche delle osservazioni presentate al riguardo dal DPO, se nominato, la cui funzione sia, principalmente, quella di individuare i ruoli e le responsabilità dei soggetti coinvolti, elemento considerato imprescindibile dal Garante. In secondo luogo, sarà opportuno dare evidenza della gestione delle segnalazioni nel Registro dei trattamenti ex art. 30 Reg. UE n. 679/2016, nonché consegnare apposita informativa ai segnalanti ex art. 13 Reg. UE n. 679/2016, la cui presa visione è necessaria per l'invio della segnalazione. Da ultimo, il Garante considera necessario lo svolgimento di una valutazione d'impatto sui dati personali (c.d. data protection impact assessment) al fine di individuare i rischi coinvolti in un trattamento di tale specie e le conseguenti misure volte a ridurli o quantomeno minimizzarli.
Dal punto di vista tecnico, le misure di sicurezza possono distinguersi a seconda dello strumento utilizzato per la gestione delle segnalazioni whistleblowing: piattaforme ad hoc o caselle e-mail.
Nel caso in cui si ricorra all'utilizzo di una piattaforma, il Garante suggerisce di istituire un controllo degli accessi, affinché questi siano consentiti ai soli soggetti autorizzati, dotati di credenziali di autenticazione e di uno specifico profilo di autorizzazione. Sarebbe, altresì, preferibile prevedere dei meccanismi di autenticazione a doppio fattore, al fine di assicurare una maggiore sicurezza negli accessi.
Tuttavia, non possono essere in alcun modo previsti dei sistemi di registrazione e conservazione di log di accesso alla piattaforma, che possano rivelare le azioni compiute sull'applicativo; il trattamento di tali dati, infatti, non è necessario per perseguire le finalità del trattamento, che coincidono, invece, con la gestione della segnalazione.
All'interno della piattaforma dovrebbero essere, altresì, previsti dei sistemi di profilazione e di accesso selettivo, che consentano di prendere visione delle segnalazioni, di documenti ad essa allegati o di parti di questi solamente a specifici soggetti dotati di adeguati poteri autorizzativi, al fine di garantire il massimo rispetto del principio di minimizzazione del trattamento dei dati di cui all'articolo 5 Reg. UE n. 679/2016.
Per la medesima finalità, i dati identificativi del segnalante dovranno essere separati dai dati relativi alla segnalazione: in questo modo, eventuali soggetti coinvolti nella gestione e nella valutazione della segnalazione non potranno accedere all'identità del segnalante e sarà garantita, quindi, la sua riservatezza.
Il segnalante deve essere, altresì, in grado di monitorare costantemente lo stato della segnalazione ed essere, quindi, informato della sua eventuale archiviazione.
Il Garante richiede, inoltre, l'utilizzo di strumenti di crittografia nonché del protocollo di rete https per il trasporto e la conservazione dei dati. Dalla piattaforma, in maniera automatica o manualmente, dovrà essere possibile estrarre un registro delle segnalazioni, così da avere costantemente a disposizione un quadro d'insieme delle segnalazioni ricevute e dei relativi esiti.
Da ultimo, il Garante richiede alle imprese di adottare degli applicativi che possano essere personalizzati, così da progettare e strutturare il trattamento garantendo la sicurezza di questo.
Nel caso in cui si opti per l'utilizzo di e-mail, sarebbe opportuno – come detto - non utilizzare delle caselle di posta elettronica del dominio aziendale: in questo modo, eventuali amministratori di sistema della società non potrebbero avere accesso all'identità del segnalante e al contenuto della segnalazione. In merito alla conservazione dei messaggi di posta, sarebbe opportuno impostare una cancellazione automatica e contestuale salvataggio dei messaggi di posta in un server criptato; sarebbe, così, possibile proteggere la segnalazione da eventuali accessi abusivi alle caselle e-mail. Sarebbe, altresì, necessario ricorrere a dei sistemi di crittografazione delle caselle di posta.
Rimane inteso come sia necessario definire un tempo di conservazione anche laddove i dati vengano archiviati sul server, in ottemperanza al principio di limitazione nella conservazione: non può definirsi a priori un tempo di conservazione ideale; questo, piuttosto, deve essere definito contemperando l'esigenza di conservare il dato per dare seguito alla segnalazione e sostenere un'eventuale difesa in giudizio con le esigenze imposte dalla normativa in materia di protezione dei dati personali.
Da ultimo, è preferibile ridurre al minimo necessario le comunicazioni via e-mail con il segnalante, adottando quantomeno dei protocolli di invio confidenziali.
Il whistleblowing alla luce della Direttiva UE n. 1937/2019 del Parlamento europeo e del Consiglio
Ulteriori indicazioni in materia di whistleblowing sono fornite dalla recente a Direttiva UE n. 1937/2019 che stabilisce norme minime comuni volte a garantire la protezione dei cc.dd. whistleblowers negli ordinamenti dei Paesi Membri, e costituirà il punto di riferimento normativo per quei Paesi dove non sussiste alcuna regolamentazione del fenomeno, oltre che la base di partenza per un processo di implementazione delle tutele per quei Paesi, come l'Italia, dove il fenomeno era già stato oggetto di una normazione. La Direttiva deve essere stata recepita dagli Stati Membri entro il 17 dicembre 2021.
In primo luogo, la Direttiva impone l'obbligo di istituzione di canali di segnalazione per tutti i soggetti giuridici del settore privato con almeno cinquanta lavoratori. In secondo luogo, si rivolge indistintamente ai lavoratori privati facendo propria una qualificazione molto più ampia tale da ricomprendere tutti i soggetti che in un modo o nell'altro orbitano intorno alla organizzazione in cui l'illecito si è consumato. Citando testualmente il considerando n. 37:
La protezione dovrebbe essere concessa al maggior numero possibile di categorie di persone che, cittadini dell'Unione o di Paesi terzi, per le loro attività professionali, indipendentemente dal tipo e se si tratti di attività remunerate o meno, hanno un accesso privilegiato a informazioni sulle violazioni che è nell'interesse del pubblico segnalare e che sono a rischio di ritorsioni in caso di segnalazione. A conferma di questa tendenza all'inclusione, il considerando n. 55 fa menzione di lavoratori di soggetti giuridici privati, nonché di loro affiliati e di tutti gli agenti e i fornitori del gruppo e di chiunque ottenga informazioni attraverso le proprie attività personali.
Vi rientrano pure i tirocinanti ed i volontari, anche non retribuiti, nonché coloro il cui rapporto di lavoro non è stato ancora avviato ma hanno acquisito le informazioni riguardanti la violazione durante il processo di selezione o altre fasi delle trattative precontrattuali.
Dal punto di vista soggettivo, dunque, la direttiva prevede una tutela molto più estesa rispetto a quella contemplata dalla disciplina nazionale.
Da ultimo, la Direttiva impone di integrare le regolamentazioni dei canali di segnalazione con indicazione di tempi entro cui il segnalante dovrà ricevere un riscontro. Se la segnalazione non riceverà un riscontro nei termini di cui sopra, così come nei casi in cui la violazione possa costituire un pericolo imminente o palese per il pubblico interesse, o nel caso di situazioni di emergenza o di rischio di danno irreversibile, il segnalante sarà autorizzato a segnalare direttamente ai media (la c.d. divulgazione pubblica).
Il whistleblowing alla luce della Direttiva UE n. 1937/2019 del Parlamento europeo e del Consiglio
Ulteriori indicazioni in materia di whistleblowing sono fornite dalla recente a Direttiva UE n. 1937/2019 che stabilisce norme minime comuni volte a garantire la protezione dei cc.dd. whistleblowers negli ordinamenti dei Paesi Membri, e costituirà il punto di riferimento normativo per quei Paesi dove non sussiste alcuna regolamentazione del fenomeno, oltre che la base di partenza per un processo di implementazione delle tutele per quei Paesi, come l'Italia, dove il fenomeno era già stato oggetto di una normazione. La Direttiva deve essere stata recepita dagli Stati Membri entro il 17 dicembre 2021.
In primo luogo, la Direttiva impone l'obbligo di istituzione di canali di segnalazione per tutti i soggetti giuridici del settore privato con almeno cinquanta lavoratori. In secondo luogo, si rivolge indistintamente ai lavoratori privati facendo propria una qualificazione molto più ampia tale da ricomprendere tutti i soggetti che in un modo o nell'altro orbitano intorno alla organizzazione in cui l'illecito si è consumato. Citando testualmente il considerando n. 37:
La protezione dovrebbe essere concessa al maggior numero possibile di categorie di persone che, cittadini dell'Unione o di Paesi terzi, per le loro attività professionali, indipendentemente dal tipo e se si tratti di attività remunerate o meno, hanno un accesso privilegiato a informazioni sulle violazioni che è nell'interesse del pubblico segnalare e che sono a rischio di ritorsioni in caso di segnalazione. A conferma di questa tendenza all'inclusione, il considerando n. 55 fa menzione di lavoratori di soggetti giuridici privati, nonché di loro affiliati e di tutti gli agenti e i fornitori del gruppo e di chiunque ottenga informazioni attraverso le proprie attività personali.
Vi rientrano pure i tirocinanti ed i volontari, anche non retribuiti, nonché coloro il cui rapporto di lavoro non è stato ancora avviato ma hanno acquisito le informazioni riguardanti la violazione durante il processo di selezione o altre fasi delle trattative precontrattuali. Dal punto di vista soggettivo, dunque, la direttiva prevede una tutela molto più estesa rispetto a quella contemplata dalla disciplina nazionale.
Da ultimo, la Direttiva impone di integrare le regolamentazioni dei canali di segnalazione con indicazione di tempi entro cui il segnalante dovrà ricevere un riscontro. Se la segnalazione non riceverà un riscontro nei termini di cui sopra, così come nei casi in cui la violazione possa costituire un pericolo imminente o palese per il pubblico interesse, o nel caso di situazioni di emergenza o di rischio di danno irreversibile, il segnalante sarà autorizzato a segnalare direttamente ai media (la c.d. divulgazione pubblica).
Conclusioni
Alla luce di quanto sopra esposto, si rendono necessarie alcune considerazioni. A prima vista il dettato normativo non sembra porre requisiti particolarmente complessi nella definizione e nell'implementazione dei canali di gestione delle segnalazioni whistleblowing (uno o più canali, di cui uno informatico e che assicuri riservatezza). Tuttavia, la concreta realizzazione di questi fa emergere la necessità di effettuare molteplici valutazioni tecnico-operative che tengano conto delle implicazioni privacy, 231-penalistiche, nonché giuslavoristiche.
Attualmente, la tutela del whistleblower è limitata agli enti destinatari del D. Lgs. n. 231/2001 che abbiano scelto di dotarsi di un modello di organizzazione e gestione; la tutela del whistleblower è poi limitata alle segnalazioni che abbiano ad oggetto condotte riguardanti i reati presupposto o violazioni del Modello e/o del Codice Etico.
È chiaro, dunque, che l'inserimento di una disciplina a carattere generale, come quella del whistleblowing, in un sistema normativo "speciale", come quello descritto dal D. Lgs. 231/2001 ha creato non poche discrasie a causa della facoltatività del modello.
Tuttavia il recepimento della Dir. n. 1937/2019 impone degli obblighi in materia di whistleblowing che sembrano andare oltre il definito perimetro della normativa 231, imponendo l'obbligatorietà di sistemi di gestione delle segnalazioni whistleblowing per tutte le imprese che abbiano più di cinquanta lavoratori e prevedendo un ambito di applicazione oggettivo molto più ampio in merito alla tipologia di condotte che possono essere segnalate.
*a cura dell'avv. Giuseppe Massimo Cannella - Partner 24 ORE Avvocati
