Ai sensi della direttiva UE sugli informatori del 2019, le persone giuridiche sono tenute a stabilire canali di segnalazione interni e procedure interne per ricevere e dare seguito alle segnalazioni di violazioni. Ecco alcune delle principali indicazioni per gli operatori del settore.
Le soglie generali da considerare sono 50 lavoratori e/o 10.000 abitanti. Il requisito si applica alle persone giuridiche del settore privato che hanno almeno 50 lavoratori. In alcuni settori questa soglia non si applica affatto.
Nel settore pubblico il requisito si applica a tutte le persone giuridiche. Tuttavia, è necessario fare riferimento al diritto nazionale, in quanto gli Stati membri sono autorizzati a prevedere deroghe a questa regola generale. Possono essere esentati i comuni con meno di 10.000 abitanti o 50 lavoratori, nonché altri enti del settore pubblico con meno di 50 lavoratori.
Il canale di segnalazione interno deve essere messo a disposizione dei lavoratori dell’ente. La stessa legge sul whistleblowing non richiede che il canale interno sia reso disponibile anche ad altri soggetti (ad esempio, fornitori, subappaltatori…) per segnalare informazioni sulle violazioni. Tuttavia, a questi ultimi non è impedito di presentare le proprie segnalazioni attraverso i canali di rendicontazione esterni, poiché l’utilizzo di questi ultimi non è subordinato al previo utilizzo dei canali di rendicontazione interni.
Non è previsto l’obbligo di accettare e dare seguito a segnalazioni anonime di violazioni.
Gli Stati membri sono liberi di decidere se imporre o meno tale requisito. Tuttavia, la decisione di accettare e dare seguito solo alle segnalazioni con l’identità rivelata dei segnalanti può rivelarsi impegnativa. In particolare, i metodi di conferma dell’identificazione sono limitati e inoltre tale strategia non è in linea con le migliori pratiche. Non accettare una segnalazione, indipendentemente dal suo contenuto, solo perché è stata fatta in forma anonima non ha molto senso, soprattutto perché l’anonimato potrebbe essere la migliore protezione per la persona che segnala contro le punizioni.
L’identità della persona segnalante può essere divulgata solo con il suo esplicito consenso o quando tale divulgazione è necessaria e proporzionata ai sensi del diritto dell’Unione o nazionale.
Il canale di segnalazione è tenuto a garantire la tutela della riservatezza dell’identità del segnalante e di qualsiasi terzo menzionato nella segnalazione e a impedirne l’accesso da parte di personale non autorizzato. L’identità della persona che effettua la segnalazione non può essere rivelata a nessuno al di fuori del personale autorizzato senza il consenso esplicito di questa persona, o quando tale divulgazione è necessaria e proporzionata ai sensi del diritto dell’Unione o nazionale. La persona segnalante deve essere informata di quest’ultima prima della divulgazione, a meno che tali informazioni non compromettano le relative indagini o i procedimenti giudiziari. Lo stesso dovere di riservatezza si applica anche a qualsiasi altra informazione da cui si possa dedurre, direttamente o indirettamente, l’identità del soggetto segnalante.
Il canale di segnalazione deve consentire la segnalazione per iscritto, oralmente o in entrambi i modi. Ogni segnalazione ricevuta deve essere registrata.
Ai fini della segnalazione orale, il segnalante può anche richiedere un incontro fisico con i membri del personale entro un termine ragionevole. L’incontro può essere documentato sia con una registrazione della conversazione in forma durevole e recuperabile, sia con un accurato verbale dell’incontro redatto dai membri del personale responsabili della gestione del rapporto. Il relatore deve avere la possibilità di controllare, rettificare e approvare il verbale della riunione firmandolo. Disposizioni analoghe si applicano alla registrazione di altri rapporti orali, forniti tramite linee telefoniche o altri sistemi di messaggistica vocale. Il periodo di tempo in cui un rapporto può essere conservato dipende da quanto è necessario e proporzionato per soddisfare i requisiti della direttiva, del diritto dell’Unione o del diritto nazionale.
Le persone giuridiche devono stabilire procedure per la rendicontazione interna e per il loro diligente follow-up. Le informazioni devono essere chiare e facilmente accessibili.
Le procedure devono quindi disciplinare la segnalazione stessa, nonché qualsiasi azione che sarà intrapresa dal destinatario di una segnalazione per valutare l’accuratezza delle accuse formulate nella segnalazione e, se del caso, per affrontare la violazione segnalata, anche attraverso azioni quali un’indagine interna, un’inchiesta, un’azione penale, un’azione per il recupero di fondi o la chiusura della procedura. Le informazioni sull’uso dei canali di segnalazione interni e sulle procedure di segnalazione esterna alle autorità competenti devono essere chiare e facilmente accessibili.
I rapporti possono essere gestiti internamente o da un fornitore terzo.
È necessario designare una persona o un dipartimento per la gestione dei canali di segnalazione interni. Quest’ultimo comprende la ricezione delle segnalazioni e il mantenimento della comunicazione con il segnalante, nonché la richiesta di ulteriori informazioni e la fornitura di feedback al segnalante stesso.
Questo compito può essere affidato a fornitori terzi, come consulenti esterni, fornitori di piattaforme di reporting esterne, studi legali, revisori dei conti, rappresentanti dei dipendenti e simili. Anche i fornitori di servizi terzi dovrebbero disporre di garanzie e salvaguardie efficaci in materia di indipendenza, riservatezza, protezione dei dati e segretezza.
Il follow-up della segnalazione può essere condotto da una persona o da un dipartimento designato, competente e imparziale. Questa persona o reparto può essere lo stesso che gestisce il canale di segnalazione. Chi sia questa persona o questo dipartimento dipende dalle dimensioni e dalla struttura di ogni singola organizzazione. Tuttavia, la persona o il dipartimento più appropriato dovrebbe avere tale funzione all’interno dell’organizzazione, in modo da garantire l’indipendenza e l’assenza di conflitti di interesse. Di solito tali compiti sono svolti da un responsabile della compliance o delle risorse umane, da un responsabile dell’integrità, da un responsabile legale o della privacy, da un responsabile finanziario, da un responsabile della revisione contabile o da un membro del consiglio di amministrazione. Le persone giuridiche private con un numero di lavoratori compreso tra 50 e 249 sono autorizzate a condividere le risorse per la ricezione delle segnalazioni e per lo svolgimento di eventuali indagini successive.
Il segnalante deve essere informato del ricevimento del rapporto entro 7 giorni e deve ricevere un feedback entro 3 mesi.
La ricezione della segnalazione deve essere confermata al segnalante entro sette giorni dal ricevimento della stessa. Non è prevista alcuna esenzione a tale obbligo, mentre in caso di segnalazione esterna l’autorità competente può omettere tale riconoscimento se il segnalante lo richiede esplicitamente o se ritiene ragionevolmente che ciò possa mettere a rischio la protezione dell’identità del segnalante.
Le procedure interne devono definire un lasso di tempo ragionevole per fornire un feedback, che non può superare i tre mesi dall’avviso di ricevimento o dalla scadenza del suddetto periodo di sette giorni.
Il riscontro deve essere fornito alla persona segnalante, informandola sulle azioni previste o intraprese come follow-up e sui motivi di tale follow-up. Se non viene intrapresa alcuna azione appropriata entro questo periodo di tempo, il segnalante può decidere di divulgare pubblicamente la violazione, continuando a beneficiare della protezione contro le ritorsioni prevista dalla direttiva. Naturalmente, l’adeguatezza del follow-up è uno standard legale e la sua valutazione dipenderà dalle circostanze di ciascun caso e dalla natura delle norme violate.
Non è stato definito un termine entro il quale le azioni di follow-up devono essere state completate. Tuttavia, più tempo ci vuole, più è probabile che le azioni, se ci sono, vengano considerate inappropriate, motivando quindi il segnalante a utilizzare canali di segnalazione esterni o addirittura a rendere pubblica la violazione. A differenza delle segnalazioni esterne, non esiste un obbligo esplicito di comunicare al segnalante l’esito finale delle indagini avviate in seguito alla segnalazione.
To use Trusty for your company free of charge, please fill out the following form. You will receive the link to your personal login and all further information from us shortly.
Per utilizzare gratuitamente Trusty per la vostra azienda, compilate il seguente modulo.
Riceverete a breve il link per il vostro login personale e tutte le ulteriori informazioni.