Il 16 dicembre 2019 è entrata in vigore la Direttiva UE Whistleblower sulla protezione delle persone che segnalano violazioni del diritto dell’Unione. Gli Stati membri devono recepire la direttiva nelle legislazioni nazionali entro il 17 dicembre 2021.
La portata della direttiva è immensa. Essa regolamenta la materia in tutto il continente, dove vivono 450 milioni di cittadini e 22,5 milioni di PMI, molte delle quali saranno direttamente interessate dalla direttiva.
La direttiva prevede che le persone giuridiche stabiliscano canali interni di segnalazione e procedure interne per ricevere e dare seguito alle segnalazioni. Ecco alcune delle principali indicazioni per gli operatori del settore.
Le soglie generali da considerare sono 50 lavoratori e/o 10.000 abitanti. La direttiva UE sugli informatori si applica alle persone giuridiche del settore privato con almeno 50 dipendenti. In alcuni settori questa soglia non si applica affatto e i canali interni sono obbligatori indipendentemente dalle dimensioni della forza lavoro.
Nel settore pubblico il requisito del canale di rendicontazione interno si applica a tutte le persone giuridiche. Tuttavia, è necessario fare riferimento anche al diritto nazionale, poiché gli Stati membri possono prevedere deroghe a questa regola generale. Cioè possono esentare i comuni con meno di 10.000 abitanti o 50 lavoratori, nonché altri enti del settore pubblico con meno di 50 lavoratori.
Il canale di segnalazione deve consentire la segnalazione per iscritto, oralmente o in entrambi i modi. Ogni segnalazione ricevuta deve essere registrata. In caso di segnalazione orale, il segnalante deve essere in grado di richiedere un incontro fisico con i membri del personale entro un lasso di tempo ragionevole. L’incontro può essere documentato sia con una registrazione della conversazione in forma durevole e recuperabile, sia con un accurato verbale dell’incontro redatto dai membri del personale responsabili della gestione del rapporto.
Il relatore deve avere la possibilità di controllare, rettificare e approvare il verbale della riunione firmandolo. Disposizioni analoghe si applicano alla registrazione di altri rapporti orali presentati per telefono o con altri sistemi di messaggistica vocale. Il periodo di tempo in cui un rapporto può essere conservato dipende da ciò che è necessario e proporzionato per conformarsi alla direttiva, al diritto dell’Unione o al diritto nazionale.
Il canale di segnalazione interno deve essere messo a disposizione dei lavoratori dell’ente.
La stessa direttiva UE sugli informatori non richiede che il portale di whistleblowing sia pubblico anche ad altri soggetti (ad esempio, fornitori, subappaltatori…) per segnalare informazioni sulle violazioni. Tuttavia, questi ultimi possono in qualsiasi momento presentare i loro rapporti attraverso canali di segnalazione esterni. Il loro utilizzo non è subordinato al previo utilizzo dei canali di segnalazione interni.
La legge sugli informatori non prevede l’obbligo generale di accettare e dare seguito alle segnalazioni anonime di violazioni. Gli Stati membri sono liberi di decidere se introdurre o meno tale requisito nella loro legislazione nazionale. Tuttavia, la decisione di accettare e dare seguito solo alle segnalazioni con l’identità rivelata dei segnalanti può rivelarsi impegnativa. In particolare, i metodi di conferma dell’identificazione sono limitati e rappresentano un’ulteriore barriera per un whistleblower. Inoltre, tale approccio non è in linea con le migliori pratiche. Non accettare una segnalazione solo perché è stata fatta in forma anonima e a prescindere dal suo contenuto ha poco senso. Spesso l’anonimato può essere la migliore e in effetti l’unica protezione per il segnalante contro le punizioni.
L’identità della persona segnalante può essere divulgata solo con il suo esplicito consenso o quando tale divulgazione è necessaria e proporzionata ai sensi del diritto dell’Unione o nazionale.
Il canale di segnalazione è tenuto a garantire la tutela della riservatezza dell’identità del segnalante e di qualsiasi terzo menzionato nella segnalazione e a impedirne l’accesso da parte di personale non autorizzato.
L’identità della persona che effettua la segnalazione non può essere rivelata a nessuno al di fuori del personale autorizzato senza il consenso esplicito di questa persona, o quando tale divulgazione è necessaria e proporzionata ai sensi del diritto dell’Unione o nazionale. La persona segnalante deve essere informata di quest’ultima prima della divulgazione, a meno che tali informazioni non compromettano le relative indagini o i procedimenti giudiziari. Lo stesso dovere di riservatezza si applica anche a qualsiasi altra informazione da cui si possa dedurre, direttamente o indirettamente, l’identità del soggetto segnalante.
Le persone giuridiche devono stabilire procedure per la rendicontazione interna e per il loro diligente follow-up. Le informazioni devono essere chiare e facilmente accessibili.
Le procedure devono quindi disciplinare la segnalazione stessa, nonché qualsiasi azione che sarà intrapresa dal destinatario di una segnalazione per valutare l’accuratezza delle accuse formulate nella segnalazione e, se del caso, per affrontare la violazione segnalata, anche attraverso azioni quali un’indagine interna, un’inchiesta, un’azione penale, un’azione per il recupero di fondi o la chiusura della procedura.
Ai sensi della legge sul Whistleblowing, le informazioni sull’utilizzo dei canali di segnalazione interni e sulle procedure di segnalazione esterna alle autorità competenti devono essere chiare e facilmente accessibili.
Secondo la direttiva UE sugli informatori, le segnalazioni possono essere gestite internamente o da un fornitore terzo. deve essere garantita l’indipendenza e l’assenza di conflitti di interesse. È necessario designare una persona o un dipartimento per la gestione dei canali di segnalazione interni.
Quest’ultimo comprende la ricezione delle segnalazioni e il mantenimento della comunicazione con il segnalante, nonché la richiesta di ulteriori informazioni e la fornitura di feedback al segnalante stesso. Questo compito può essere esternalizzato a fornitori terzi, come consulenti esterni, fornitori di piattaforme di reporting esterne, studi legali, revisori, rappresentanti dei dipendenti e simili. Anche i fornitori di servizi terzi dovrebbero disporre di garanzie e salvaguardie efficaci in materia di indipendenza, riservatezza, protezione dei dati e segretezza. Il follow-up della segnalazione può essere condotto da una persona o da un dipartimento designato, competente e imparziale. Questa persona o reparto può essere lo stesso che gestisce il canale di segnalazione. Chi sia questa persona o questo dipartimento dipende dalle dimensioni e dalla struttura di ogni singola organizzazione. Tuttavia, la persona o il dipartimento più appropriato dovrebbe avere tale funzione all’interno dell’organizzazione, in modo da garantire l’indipendenza e l’assenza di conflitti di interesse. Di solito tali compiti sono svolti da un chief compliance o da un HR officer, da un integrity officer, da un legal o privacy officer, da un chief financial officer, da un chief audit executive o da un membro del consiglio di amministrazione. Le persone giuridiche private con un numero di lavoratori compreso tra 50 e 249 sono autorizzate a condividere le risorse per la ricezione delle segnalazioni e per lo svolgimento di eventuali indagini successive.
Ai sensi della direttiva UE sugli informatori, il segnalante deve essere informato del ricevimento della segnalazione entro 7 giorni e deve ricevere un riscontro entro 3 mesi. La ricezione della segnalazione deve essere confermata al segnalante entro sette giorni dal ricevimento della stessa. Non è prevista alcuna esenzione a tale obbligo, mentre in caso di segnalazione esterna l’autorità competente può omettere tale riconoscimento se il segnalante lo richiede esplicitamente o se ritiene ragionevolmente che ciò possa mettere a rischio la protezione dell’identità del segnalante.
Le procedure interne devono definire un periodo di tempo ragionevole per fornire un feedback al segnalante. Il termine non può superare i tre mesi dalla conferma di ricezione o dalla scadenza del suddetto periodo di sette giorni.
Il riscontro è tenuto a informare il segnalante dell’azione prevista o intrapresa come follow-up e dei motivi di tale follow-up. Se non viene intrapresa alcuna azione appropriata entro questo periodo di tempo, il segnalante può divulgare pubblicamente la violazione e continuare a beneficiare della protezione contro le ritorsioni prevista dalla legge sul whistleblowing. Naturalmente, l’adeguatezza del follow-up è uno standard legale e la sua valutazione dipenderà dalle circostanze di ciascun caso e dalla natura delle norme che sono state segnalate come violate.
Non c’è un limite di tempo definito entro il quale le azioni di follow-up da parte dell’ente devono essere state completate. Tuttavia, più tempo ci vuole, più è probabile che le azioni, se ci sono, vengano considerate inappropriate, motivando quindi il segnalante a utilizzare canali di segnalazione esterni o a rendere pubblica la violazione.
A differenza delle segnalazioni esterne, non esiste un obbligo esplicito di comunicare al segnalante l’esito finale delle indagini avviate in seguito alla segnalazione.
Trusty è una piattaforma di compliance costruita da esperti di primo piano per supportare le aziende nel loro percorso di compliance. Offre soluzioni gratuite di whistleblowing per le PMI e un’ampia gamma di soluzioni istantanee e convenienti per la gestione della conformità. www.trusty.report
Per utilizzare Trusty per la vostra azienda gratuitamente gratuitamente, compilate il seguente modulo. Riceverete a breve il link per il vostro login personale e tutte le ulteriori informazioni.
Per utilizzare Trusty+ per la vostra azienda, compilate il seguente modulo. Vi contatteremo a breve per completare il processo di iscrizione.