Whistleblowing: l’ANAC ridefinisce gli standard
Pubblicate le nuove Linee Guida sui canali interni di segnalazione
A oltre due anni dall’entrata in vigore del D. Lgs. 24/2023, l’Autorità Nazionale Anti-Corruzione (ANAC) interviene nuovamente sulla disciplina del whistleblowing con delle Linee Guida che rivedono in modo sostanziale l’impostazione complessiva del sistema. Pur non sostituendo le indicazioni già fornite in precedenza, le nuove Linee Guida ne rafforzano l’impianto operativo e chiariscono come i canali di segnalazione debbano essere progettati, gestiti e integrati nell’organizzazione.
Muovendo dalla prassi operativa e dalle criticità emerse in concreto, le Linee Guida offrono infatti un’occasione per ripensare il coordinamento tra il sistema interno di whistleblowing e gli altri presidi dell’ente in materia di compliance, al fine di inserire a tutti gli effetti il canale di segnalazione all’interno di un sistema unitario di gestione e prevenzione dei rischi.
Innanzitutto, il coinvolgimento delle rappresentanze sindacali è divenuto un adempimento sostanziale anziché una mera formalità. Se prima l’obbligo di “sentire” le rappresentanze sindacali era infatti spesso assolto con informative generiche, le nuove Linee Guida chiariscono che il coinvolgimento delle associazioni sindacali è un obbligo in assenza del quale la procedura whistleblowing non risulterà conforme al dettato normativo, esponendo così l’ente al potere sanzionatorio dell’ANAC.
Vengono poi ridefiniti gli assetti di governance del canale interno di segnalazione, con particolare riferimento al ruolo del gestore. Nell’ottica di evitare interferenze da parte degli organi apicali, l’Autorità chiarisce che la gestione del canale e delle segnalazioni deve essere affidata a un soggetto autonomo e dedicato, inserito in un contesto organizzativo nel quale siano espressamente disciplinati i flussi decisionali e i potenziali conflitti di interesse.
Sono stati poi tradotti in termini operativi alcuni requisiti facenti capo al gestore, anche con riferimento alle attività di formazione in materia di dati personali. Giova segnalare che anche il Garante Privacy è intervenuto in materia, insistendo sulla necessità di adottare specifiche misure in materia di protezione dei dati personali con riferimento alla disciplina del whistleblowing. In particolare, con parere n. 581/2025, condividendo la necessità di dotarsi di piattaforme informatiche idonee a garantire la crittografia dei dati e la corretta gestione degli accessi, il Garante ha chiarito che è necessario non soltanto integrare una specifica informativa dedicata sul canale whistleblowing, ma anche effettuare una previa valutazione di impatto con l’eventuale supporto dei fornitori di tecnologia.
In linea con il dettato normativo, le Linee Guida ribadiscono poi la possibilità di esternalizzare la gestione del canale di segnalazione, precisando tuttavia che tale scelta non può tradursi in una soluzione meramente formale. Occorre infatti distinguere tra l’esternalizzazione della sola piattaforma tecnologica e quella dell’intera gestione del canale (comprensiva delle attività di ricezione, interlocuzione e istruttoria), anche al fine di permettere all’ente di qualificare correttamente il modello adottato.
In questo contesto, l’ANAC fornisce importanti indicazioni anche in merito alla gestione dei canali di segnalazione all’interno dei gruppi societari. Se la condivisione del canale di segnalazione è sempre possibile per le società con meno di 249 dipendenti, viene espressamente ribadita la possibilità per tutte le società (a prescindere dal numero dei dipendenti) di affidare la gestione del canale di segnalazione a una società del gruppo, in ossequio alle regole generali in materia di esternalizzazione. In entrambi i casi, sarà necessario concludere un contratto intragruppo che disciplini le modalità di funzionamento del canale di segnalazione, le misure tecniche e organizzative adottate per garantire la riservatezza nell’ambito della gestione delle segnalazioni, le misure volte ad assicurare a ogni ente di avere accesso alle sole segnalazioni a esso relative e le finalità e i mezzi del trattamento dei dati personali.
Ciascuna società che rientra nell’ambito di applicazione del D. Lgs. 24/2023 è pertanto tenuta a verificare la necessità di adeguare i propri processi interni alle nuove indicazioni regolamentari, ed eventualmente aggiornare il proprio modello organizzativo ex D. Lgs. 231/2001 di conseguenza.
________
*Avv. Arnaldo Bernardi, Partner dello studio legale Dentons nell’ufficio di Milano. Membro della practice globale di Litigation and Dispute Resolution e del team di White-Collar Crime e Compliance dello Studio in Italia;
Avv. Marco Villani, Associate dello studio legale Dentons nell’ufficio di Milano. Membro della practice globale di Litigation and Dispute Resolution e del team di White-Collar Crime e Compliance dello Studio in Italia
