itenfrdees

Promos Ricerche è un Consorzio senza fini di lucro. SCOPO: La promozione e l’introduzione dell’innovazione in qualsiasi forma e settore. Scopri di più.

News

Whistleblowing: il modello 231 deve codificare l’iter per le segnalazioni di illeciti

Whistleblowing: il modello 231 deve codificare l’iter per le segnalazioni di illeciti

Gran parte del dibattito sulla nuova legge dedicata al whistleblowing (la 179/2017) è stato polarizzato dalle questioni ideologiche che la legge pone. È arrivato il momento, però, di chiedersi che cosa debbano fare concretamente le imprese per rispettare la legge, orientandone l’applicazione all’effettiva tutela della trasparenza dei comportamenti, senza alzare i livelli di burocrazia aziendale.

Innanzitutto, va identificato l’ambito di applicazione della nuova norma nel settore privato: è un whistleblower, in base all’articolo 2 della legge, e gode di ampie tutele normative, colui che, operando in un’azienda del settore privato, effettua la segnalazione di un illecito che rientra nell’ambito dei reati indicati dal Dlgs 231/2001 e/o implica la violazione del Mog (modello di organizzazione ex articolo 6 del Dlgs 231/2001).

Deve trattarsi di illeciti compiuti nell’interesse e a beneficio dell’azienda. Altri casi di denuncia o segnalazione, palese o anonima che siano, sono al di fuori del perimetro della legge e si muovono in uno spazio di assoluta libertà sia dal lato dell’azienda (che potrà decidere di regolamentare, agevolando o meno, il fenomeno) sia da quello del lavoratore (cui continuano ad applicarsi le regole generali su segreto professionale, obbligo di fedeltà, diffamazione e così via).

Ogni impresa che abbia adottato un Mog 231 dovrà quindi integrarlo, pena l’inefficacia del modello, con le disposizioni sul whistleblowing. Si tratta di attivare almeno una porta d’accesso informatica (ma la legge parla anche di una possibile pluralità di porte) tramite cui un segnalante, non anonimo, presenti una denuncia, con modalità e strumenti tali che la sua identità resti riservata.

Il sistema dovrà essere strutturato in modo da condurre il segnalante a effettuare solo denunce pertinenti – cioè riconducibili alle violazioni del modello 231 – circostanziate e sufficientemente precise da consentire indagini e verifiche non meramente esplorative.

La legge non lo dice, ma lo sottintende abbastanza chiaramente: il segnalante va guidato dalla piattaforma a fare una segnalazione responsabile e che presenti, quantomeno, le caratteristiche del fumus di fondatezza. È sul terreno della corretta e specifica costruzione del canale di presentazione della denuncia che si gioca la prima e fondamentale possibilità di veicolare alla fase successiva solo fattispecie rilevanti e non pretestuose.

Il modello dovrà individuare il soggetto o i soggetti deputati a ricevere ed esaminare la denuncia, dando poi eventualmente impulso alle indagini, fissando la procedura e, quindi, le modalità dell’esame e dei provvedimenti che ne conseguono: avvio dell’iter disciplinare o archiviazione.
Sulla scelta di questi soggetti la legge non dà indicazioni: sarà logicamente veicolata verso coloro che possono essere individuati come destinatari naturali delle denunce, cioè l’organismo di vigilanza, la funzione del personale o anche un soggetto terzo cui siano affidate l’imparzialità della valutazione sul fumus e le eventuali indagini.

Il modello dovrà identificare anche sanzioni per il segnalante che si riveli millantatore in mala fede (agendo con dolo o colpa grave) e che punisca eventuali comportamenti atti a violare il segreto sull’identità del segnalante. È opportuno, infine, che il funzionamento, le finalità e i sistemi di protezione previsti siano illustrati ai dipendenti, all’attivazione della piattaforma e della procedura.

AdA

Fonte Sole24Ore AB e FP

Leggi tutto...
Privacy. Gli adempimenti da mettere in campo in vista del debutto del nuovo regolamento Ue il 25 maggio

Privacy. Gli adempimenti da mettere in campo in vista del debutto del nuovo regolamento Ue il 25 maggio

Revisione dell’organigramma e ripartizione delle funzioni, valutazione dei rischi e individuazione degli strumenti per tutelare la riservatezza. La realizzazione del “modello organizzativo privacy” - con cui sono alle prese in questo periodo le imprese per prepararsi al debutto delle prescrizioni del regolamento Ue 679/2016, che entrerà in vigore il 25 maggio 2018 - presenta molti punti di contatto e somiglianze con le disposizioni del decreto legislativo 231/2001 in materia di responsabilità amministrativa delle persone giuridiche.

Il regolamento Ue 679/2016 rivoluziona la normativa sulla privacy, abrogando, tra l’altro, la direttiva 95/46, da cui “discende” l’attuale Codice italiano sulla privacy (decreto legislativo 196/2003). Per adeguarsi alle nuove norme, le imprese devono quindi rivedere la compliance interna finalizzata a garantire la protezione dei dati e delle informazioni personali che trattano e conservano.

Precisamente è il titolare del trattamento che ha il compito di attuare gli adempimenti previsti dalla normativa e a cui devono essere rimproverate eventuali violazioni o omissioni rispetto ai divieti e alle prescrizioni introdotte. Ed è sempre il titolare del trattamento a dover provare di aver posto in essere le iniziative necessarie per assicurare l’adeguamento delle policy interne alla nuova disciplina.

La necessità di provare l’avvenuto adeguamento della compliance aziendale alle nuove prescrizioni privacy ha portato le imprese a introdurre una sorta di “dossier privacy” o per alcuni altrimenti detto “modello organizzativo privacy”, che racchiuda tutti gli adempimenti necessari ad assicurare la riservatezza e il più elevato grado di tutela per i dati personali trattati nelle società. Un modello che ricorda da vicino quello che va predisposto (e aggiornato) per rispettare il decreto legislativo 231/2001.

Si parte con la revisione dell’organigramma, prestando cioè attenzione alla presenza delle nomine esistenti e alla descrizione dei nuovi compiti assegnati al titolare, al responsabile del trattamento, agli incaricati al trattamento. A ciò si accompagna la verifica circa l’obbligatorietà, per i casi espressamente indicati dalla normativa, o la mera opportunità, negli altri casi, di nominare un Data protection officer (Dpo).

Quanto detto sembra pienamente rispondere al criterio della segregation of duties (Sod) che già governa il sistema 231, secondo cui occorre individuare le distinte responsabilità in capo a ciascuna funzione descrivendone nel dettaglio i compiti affidati.

In questa chiave di lettura, di notevole impatto è l’obbligo di provvedere alla valutazione dei rischi privacy (una sorta di risk assessment privacy), destinata inevitabilmente a confluire in un documento riepilogativo delle analisi effettuate. In esso sono individuati i possibili rischi associati alle distinte attività svolte, passaggio che presuppone la previa disamina dei rispettivi processi aziendali nell’ambito dei quali sono trattati i dati.

In questa valutazione si deve tener conto dell’identità dei soggetti interessati al trattamento (ad esempio, dipendenti o fornitori), delle finalità del trattamento nonché delle tipologie (ad esempio, dati sanitari, anagrafici o altri) e delle categorie di trattamento entro le quali sono compresi i dati gestiti dall’azienda.

Sarà necessario, inoltre, garantire un costante aggiornamento a questo documento in occasione di possibili mutamenti sia organizzativi che normativi in grado di incidere sul trattamento dei dati messi a disposizione delle imprese.

Riecheggiando la recente normativa sul whistleblowing (legge 179/2017, in vigore dal 29 dicembre 2017), è infine richiesta l’introduzione di specifiche modalità di presentazione delle comunicazioni circa eventuali violazioni riscontrate sui dati personali (data breach): sarà utile predisporre moduli distinti a seconda della tipologia di violazione riscontrata, individuare un ufficio responsabile per ricevere le segnalazioni oltre che individuare le eventuali iniziative da intraprendere, a livello organizzativo e tecnico, capaci di porre rimedio alle irregolarità che si sono verificate.

Infine, allo scopo di sensibilizzare tutto il personale dipendente nonché le funzioni aziendali impiegate a ogni livello nell’assessment societario, è prevista l’implementazione di un codice di condotta per garantire la corretta osservanza delle prescrizioni del regolamento Ue, da elaborare tenuto conto delle peculiarità settoriali e delle esigenze specifiche delle micro, piccole e medie imprese.

AdA

fonte Sole24Ore 21/18 LF

Leggi tutto...
Il «whistleblowing» è legge: tutelato il dipendente che segnala illeciti

Il «whistleblowing» è legge: tutelato il dipendente che segnala illeciti

Pubblicata in Gazzetta Ufficiale la Legge 30 novembre 2017, n. 179 che reca disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato. Il provvedimento entrerà in vigore dal 29 dicembre 2017. La Legge n.179/2017 apporta modifiche al decreto legislativo 30 marzo 2001, n. 165 (norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche) e al D.Lgs. n. 231/2001 (per il settore privato).

Per la Pubblica amministrazione
L'articolo 1 modifica l'articolo 54-bis del Testo unico del pubblico impiego (Dlgs n. 165/01), introdotto dalla legge Severino che aveva già accordato un prima forma di tutela per il segnalante, prevedendo un vero e proprio sistema di garanzie per il dipendente. La nuova disciplina stabilisce, anzitutto, che colui il quale - nell'interesse dell'integrità della Pa - segnali al responsabile della prevenzione della corruzione dell'ente (di norma un dirigente amministrativo; negli enti locali il segretario) o all'Autorità nazionale anticorruzione o ancora all’autorità giudiziaria ordinaria o contabile le condotte illecite o di abuso di cui sia venuto a conoscenza in ragione del suo rapporto di lavoro, non possa essere - per motivi collegati alla segnalazione - soggetto a sanzioni, demansionato, licenziato, trasferito o sottoposto a altre misure organizzative che abbiano un effetto negativo sulle condizioni di lavoro.

L'eventuale adozione di misure discriminatorie va comunicata dall'interessato o dai sindacati all'Anac che a sua volta ne dà comunicazione al Dipartimento della funzione pubblica e agli altri organismi di garanzia. In questi casi l’Anac può irrogare una sanzione amministrativa pecuniaria a carico del responsabile da 5.000 a 30.000 euro, fermi restando gli altri profili di responsabilità. Inoltre, l’Anac applica la sanzione amministrativa da 10.000 a 50.000 euro a carico del responsabile che non svolga le attività di verifica e analisi delle segnalazioni ricevute. La misura della sanzione tiene conto delle dimensioni dell'amministrazione.

Spetta poi all'amministrazione l’onere di provare che le misure discriminatorie o ritorsive adottate nei confronti del segnalante sono motivate da ragioni estranee alla segnalazione. Gli atti discriminatori o ritorsivi adottati dall'amministrazione o dall'ente comunque sono nulli. Il segnalante licenziato ha diritto alla reintegra nel posto di lavoro e al risarcimento del danno. Le tutele invece non sono garantite nel caso in cui, anche con sentenza di primo grado, sia stata accertata la responsabilità penale del segnalante per i reati di calunnia o diffamazione o comunque reati commessi con la denuncia del medesimo segnalante ovvero la sua responsabilità civile, nei casi di dolo o colpa grave.

Per il settore privato
L'articolo 2 estende al settore privato la tutela del dipendente o collaboratore che segnali illeciti o violazioni relative al modello di organizzazione e gestione dell'ente di cui sia venuto a conoscenza per ragioni del suo ufficio. La disposizione dunque modifica l'articolo 6 del Dlgs 231/01 sulla “Responsabilità amministrativa degli enti”, con riguardo ai modelli di organizzazione e di gestione dell'ente idonei a prevenire reati. In particolare, sono aggiunti all'articolo 6 tre nuovi commi. Il comma 2-bis, relativo ai requisiti dei modelli di organizzazione e gestione dell'ente prevede uno o più canali che, a tutela dell'integrità dell'ente, consentano a coloro che a qualsiasi titolo rappresentino o dirigano l'ente, segnalazioni circostanziate di condotte costituenti reati o di violazioni del modello di organizzazione e gestione dell'ente, di cui siano venuti a conoscenza in ragione delle funzioni svolte. Tali canali debbono garantire la riservatezza dell'identità del segnalante nelle attività di gestione della segnalazione, e la modalità informatica è uno strumento necessario, e non eventuale, del canale a tutela della riservatezza dell'identità del segnalante.
Inoltre si chiarisce che le segnalazioni devono fondarsi su elementi di fatto che siano “precisi e concordanti”.

I modelli di organizzazione devono prevedere sanzioni disciplinari nei confronti di chi violi le misure di tutela del segnalante. Mentre si è previsto l'obbligo di sanzionare chi effettua, con dolo o colpa grave, segnalazioni che si rivelino infondate. Il comma 2-ter prevede che l'adozione di misure discriminatorie nei confronti dei soggetti segnalanti possa essere oggetto di denuncia all'ispettorato Nazionale del Lavoro. Il comma 2-quater sancisce la nullità del licenziamento ritorsivo o discriminatorio del segnalante. Sono altresì nulli il mutamento di mansioni o qualsiasi altra misura ritorsiva o discriminatoria adottata nei confronti del segnalante. Come nel settore pubblico è onere del datore di lavoro dimostrare che l'adozione di tali misure siano estranee alla segnalazione mossa dal dipendente.

La rivelazione del segreto
L'articolo 3, introdotto nel corso dell'esame al Senato, con riguardo alle ipotesi di segnalazione o denuncia effettuate nel settore pubblico o privato, introduce come giusta causa di rivelazione del segreto d'ufficio, professionale (art. 622 c.p.), scientifico e industriale, nonché di violazione dell'obbligo di fedeltà all'imprenditore, il perseguimento, da parte del dipendente pubblico o privato che segnali illeciti, dell'interesse all'integrità delle amministrazioni (sia pubbliche che private) nonché alla prevenzione e alla repressione delle malversazioni. La giusta causa opera dunque come scriminante, nel presupposto che vi sia un interesse preminente (in tal caso l'interesse all'integrità delle amministrazioni) che impone o consente tale rivelazione.
Costituisce invece violazione dell'obbligo di segreto la rivelazione con modalità eccedenti rispetto alle finalità dell'eliminazione dell'illecito. In questi casi non trova dunque più applicazione la giusta causa e sussiste la fattispecie di reato a tutela del segreto.

AdA

Scarica la Legge 30 novembre 2017, n. 179

Leggi tutto...
Sottoscrivi questo feed RSS