Fino all’entrata in vigore del D.Lgs. 24/2023 (le cui disposizioni, con alcune eccezioni, hanno acquistato efficacia dal 15.7.2023) nel settore privato erano obbligati all’istituzione di una specifica tutela del whistleblower unicamente quelle società e quegli enti che avevano adottato modelli di organizzazione e gestione in base al D.Lgs. 231/2001. A questi si aggiungevano le società e gli enti “in controllo pubblico” tenuti all’applicazione della disciplina anticorruzione (L. 190/2012 e D.Lgs. 33/2013).
La nuova disciplina amplia di molto i soggetti obbligati nel settore privato includendo tutti quei datori di lavoro che:
- hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
- non hanno la dimensione sopra indicata ma rientrano tra quelli obbligati al rispetto della normativa in materia di mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo;
- rientrano nell’ambito di applicazione del D.Lgs. 231/2001 e adottano modelli di organizzazione e gestione ivi previsti, anche se hanno meno di 50 lavoratori.
Il “sistema 231” è dunque interessato dalle modifiche previste nel decreto in esame, sia in quanto queste toccano direttamente delle disposizioni inserite nel D.Lgs. 231/2001, sia in quanto i soggetti che hanno adottato i modelli 231 sono chiamati a conformarsi alla nuova disciplina anche dal punto di vista organizzativo.
In definitiva, i modelli organizzativi devono prevedere:
- canali di segnalazione interna;
- l’espresso divieto di ritorsione del segnalante;
- un sistema disciplinare che consenta la corretta applicazione della tutela del whistleblower.
Si tratta di elementi già richiesti dalla citata precedente disciplina che, tuttavia, andranno rimodulati alla luce della maggiore sistematicità che questo nuovo decreto offre, nonché coordinati con il ruolo dell’Autorità nazionale anticorruzione (ANAC).
A garanzia del rispetto degli obblighi in materia di whistleblowing, l’art. 21 del D.Lgs. 24/2023 prevede una serie di sanzioni amministrative pecuniarie che l’Autorità nazionale anticorruzione (ANAC) può applicare ai soggetti, pubblici o privati, in caso di violazione delle regole stabilite dal decreto.
Oltre a tali sanzioni, i soggetti del settore privato che hanno adottato un Modello organizzativo 231 dovranno prevedere, nel sistema disciplinare adottato ai sensi dell’art. 6 co. 2 lett. e) del D.Lgs. 231/2001, delle sanzioni specifiche nei confronti di coloro che accertano essere responsabili degli illeciti sopra elencati.
Nell’ambito del settore privato, il decreto dispone, infatti, che gli enti e le persone giuridiche con meno di 50 dipendenti, ma che abbiano istituito un “modello 231”, prevedano in esso sanzioni disciplinari tra l’altro nei confronti di coloro che accertano essere responsabili della violazione dell’obbligo di riservatezza nella gestione delle segnalazioni.
Con riferimento al trattamento dei dati in materia di Privacy, l’art. 13 del D.Lgs. 24/2023 stabilisce espressamente che il trattamento dei dati personali, compresa la comunicazione tra le autorità competenti deve essere effettuato a norma del regolamento (UE) 2016/679, del D.Lgs. 196/2003 e del D.Lgs. 51/2018.
I dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non devono essere raccolti o, se raccolti accidentalmente, devono essere cancellati immediatamente (principio di minimizzazione).
La stessa norma del decreto "whistleblowing" dettaglia poi alcuni riferimenti specifici ulteriori sulla normativa in materia di riservatezza dei dati personali.