fbpx

Telefono

049 8668202

Titolo

Autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et dolore feugait

Whistleblowing: ecco il nostro servizio alle aziende "chiavi in mano"!

26

Ott

Privacy-GDPR

Cosa rischia un’azienda che non rispetta la normativa sul whistleblowing (e come mettersi in regola)

Di Studio Legale Calvello In , , , , , , , , ,
Indice dell'articolo completo
1 Whistleblowing aziendale: obblighi di legge e soggetti interessati
2 Cosa rischia davvero un’azienda che non si adegua alla normativa sul whistleblowing
3 Whistleblowing e obblighi privacy: cosa fare per evitare violazioni
4 Segnalazioni anonime, canali interni e ruolo dell’ANAC: cosa prevede la legge per le imprese
5 Quando un’azienda è considerata inadempiente secondo la normativa sul whistleblowing
6 Come mettersi in regola con il whistleblowing: cosa deve fare subito un’azienda
7 Esempio concreto: cosa accade a un’azienda che ignora il whistleblowing e viene sanzionata
8 Domande frequenti sul whistleblowing e sui rischi per le aziende
9 Hai dubbi sulla normativa whistleblowing? Adeguati ora ed evita sanzioni e danni reputazionali

Whistleblowing aziendale: obblighi di legge e soggetti interessati

Il termine “whistleblowing” si riferisce all’insieme delle procedure che consentono ai dipendenti di segnalare comportamenti illeciti, violazioni normative o gravi irregolarità interne in modo sicuro, riservato e, in determinati casi, anche anonimo. Dal 15 luglio 2023 per le aziende private con almeno 50 dipendenti (e dal 17 dicembre 2023 per quelle tra 50 e 249), l’obbligo di adottare un sistema interno di whistleblowing è diventato giuridicamente vincolante in Italia, con l’entrata in vigore del D.Lgs. 24/2023, che ha recepito la Direttiva UE 2019/1937.

Sono soggetti all’obbligo:

  • tutte le imprese con almeno 50 dipendenti, anche se non hanno adottato modelli 231;

  • le aziende che rientrano nel campo di applicazione di specifici atti dell’Unione Europea, anche con meno di 50 dipendenti (ad esempio nei settori finanziario, trasporti, ambiente);

  • enti del terzo settore e fondazioni che gestiscono fondi pubblici o svolgono attività d’interesse generale;

  • aziende che hanno adottato un Modello di Organizzazione e Gestione ex D.Lgs. 231/2001, indipendentemente dalla dimensione, se vogliono beneficiare dell’esimente in caso di reati commessi dai vertici o dai dipendenti.

Secondo l’ANAC, il canale interno rappresenta lo strumento primario per favorire le segnalazioni: è quindi fondamentale che l’azienda ne curi l’istituzione, la gestione, la documentazione, la formazione dei gestori, oltre che la pubblicazione chiara di tutte le informazioni sul sito web aziendale. In merito, abbiamo pubblicato un approfondimento operativo con esempi pratici su whistleblowing: le informazioni da inserire sul sito e sulla piattaforma.

Molte imprese, erroneamente, sottovalutano questi obblighi pensando che si tratti di un adempimento formale o destinato esclusivamente al settore pubblico. In realtà, l’assenza del canale di segnalazione conforme espone l’azienda a rischi gravi, sia in termini sanzionatori che reputazionali.

Tabella – Obblighi principali per le aziende soggette a whistleblowing (D.Lgs. 24/2023)

Obbligo Descrizione sintetica
Canale interno Deve garantire riservatezza, sicurezza e possibilità di anonimato
Informativa privacy Deve informare il segnalante sul trattamento dei dati
Formazione del personale Obbligatoria per i soggetti designati alla gestione delle segnalazioni
Nomina di gestori Devono essere autonomi e imparziali
Adozione di procedura scritta Procedura conforme da inserire in policy o atti organizzativi
Pubblicazione online Obbligo di pubblicare istruzioni chiare su sito web o intranet

Tutte queste attività devono essere documentate e dimostrabili in caso di verifica da parte dell’Autorità Nazionale Anticorruzione (ANAC) o di altri soggetti competenti.

Cosa rischia davvero un’azienda che non si adegua alla normativa sul whistleblowing

Ignorare la normativa sul whistleblowing non significa soltanto esporsi a una generica irregolarità, ma esporsi concretamente a una serie di conseguenze gravi, immediate e quantificabili, sia dal punto di vista sanzionatorio che sotto il profilo reputazionale, giuslavoristico e privacy. Ecco cosa può accadere.

Secondo quanto stabilito dall’art. 21 del D.Lgs. 24/2023, l’ANAC può irrogare sanzioni amministrative pecuniarie alle aziende private che:

  • non istituiscono un canale interno di segnalazione obbligatorio;

  • istituiscono un canale non conforme ai requisiti di legge (es. non riservato, gestito da soggetti non imparziali);

  • omettono di adottare procedure scritte o di fornire formazione ai gestori;

  • non rispettano l’obbligo di informazione trasparente sui propri siti web;

  • ostacolano o tentano di ostacolare le segnalazioni (anche con atteggiamenti ritorsivi);

  • violano l’obbligo di riservatezza o rivelano l’identità del segnalante senza giusta causa.

Abbiamo analizzato in dettaglio queste ipotesi nel nostro articolo dedicato alle sanzioni ANAC per il whistleblowing, dove illustriamo le casistiche già sanzionate e le interpretazioni applicative dell’Autorità.

Danni reputazionali e perdita di fiducia

Oltre alle multe, la perdita di fiducia da parte di dipendenti, partner commerciali e clienti può costare molto più del pagamento di una sanzione. In particolare:

  • i dipendenti possono diffidare del management, temendo di non essere tutelati in caso di irregolarità;

  • gli stakeholder (banche, clienti, fondi) possono valutare negativamente l’assenza di strumenti di trasparenza interna;

  • un’informazione pubblica sulla sanzione può macchiare l’immagine dell’impresa, con effetti a lungo termine.

Abbiamo visto questo accadere anche in settori scolastici e pubblici: ad esempio, una dirigente scolastica è stata sanzionata per ritorsione ai danni di un dipendente segnalatore, creando un caso mediatico su scala nazionale.

Rischi legati alla gestione dei dati personali e violazioni privacy

In moltissimi casi, la non conformità dell’azienda sul whistleblowing coincide con una violazione del GDPR. Il motivo è semplice: la gestione delle segnalazioni comporta il trattamento di dati personali, spesso sensibili (es. dati giudiziari o informazioni riservate sul luogo di lavoro).

Ecco alcuni rischi ricorrenti:

  • assenza di informativa privacy specifica sul canale di segnalazione;

  • mancata protezione dell’identità del segnalante, anche da parte dei soggetti riceventi (violazione art. 12, co. 7 del D.Lgs. 24/2023: approfondito qui);

  • mancata minimizzazione dei dati raccolti, ovvero conservazione eccessiva o ingiustificata di documenti (vedi l’articolo su minimizzazione e limitazione conservazione);

  • assenza di nomina a responsabile del trattamento per chi gestisce operativamente le segnalazioni;

  • canale non sicuro o tecnicamente inidoneo a proteggere la riservatezza.

In questi casi, oltre alla sanzione dell’ANAC, l’azienda può subire anche un provvedimento del Garante Privacy, soprattutto se non ha predisposto un sistema di gestione conforme anche sotto il profilo GDPR.

Azioni legali da parte del whistleblower

La tutela del whistleblower è oggi estremamente ampia e rafforzata: il segnalante ha diritto non solo alla protezione contro ogni forma di ritorsione, ma anche alla reintegrazione e al risarcimento in caso di licenziamento o demansionamento.

In caso di violazioni, l’azienda può trovarsi:

  • coinvolta in un procedimento giudiziario per comportamento ritorsivo, anche se la ritorsione è solo presunta;

  • condannata al pagamento di risarcimenti danni patrimoniali e morali;

  • vincolata al reintegro del lavoratore con effetto immediato.

Nel nostro articolo su whistleblowing e condotte ritorsive, illustriamo come l’ANAC abbia già applicato questa disciplina a casi concreti in contesti pubblici e privati.

Whistleblowing e obblighi privacy: cosa fare per evitare violazioni

Uno degli aspetti più critici e sottovalutati dell’intero sistema di whistleblowing è la gestione dei dati personali. La normativa impone agli enti privati non solo di creare canali sicuri per le segnalazioni, ma anche di garantire il pieno rispetto del Regolamento Europeo 2016/679 (GDPR). In caso contrario, le imprese rischiano doppie sanzioni: da parte dell’ANAC e del Garante Privacy.

L’azienda tratta dati sensibili: lo dice la legge

Ogni procedura di whistleblowing comporta, in modo inevitabile, il trattamento di dati personali, sia del segnalante (whistleblower) che della persona segnalata. In molti casi, si tratta di dati di natura particolarmente delicata, come:

  • dati relativi a condanne penali o reati;

  • dati idonei a rivelare opinioni, condotte o valutazioni disciplinari;

  • documenti aziendali riservati;

  • contenuti di email, allegati, conversazioni interne.

«Il trattamento dei dati personali nell’ambito del whistleblowing deve essere improntato ai principi di minimizzazione, integrità, riservatezza e limitazione della conservazione.»

Per evitare violazioni, le aziende devono adottare misure tecniche e organizzative ben precise.

Errori frequenti e rischi concreti (da evitare assolutamente)

Dalla nostra esperienza professionale, emergono errori ricorrenti che possono causare violazioni gravi del GDPR:

Errore frequente Conseguenza
Nessuna informativa sul trattamento dati in fase di segnalazione Violazione degli articoli 13 e 14 GDPR
Assenza di misure per proteggere l’anonimato del segnalante Violazione della riservatezza, sanzionabile da ANAC e Garante
Accesso illimitato ai dati da parte di soggetti non autorizzati Data breach, con obbligo di notifica al Garante
Conservazione illimitata o non giustificata dei documenti Violazione del principio di limitazione della conservazione
Mancata nomina a Responsabile del trattamento per il gestore esterno del canale Irregolarità formale e sostanziale

Abbiamo approfondito questi aspetti nel nostro articolo dedicato al principio di minimizzazione e limitazione della conservazione, fondamentale per evitare multe e diffide.

Cosa deve fare l’azienda per essere conforme a GDPR e whistleblowing

Di seguito riportiamo un elenco operativo con le azioni obbligatorie per una gestione corretta e sicura delle segnalazioni sotto il profilo privacy:

  • Redigere un’informativa privacy specifica per il sistema di whistleblowing, da pubblicare sul sito e accessibile all’interno della piattaforma;

  • Designare formalmente il gestore interno o esterno come responsabile del trattamento, mediante nomina ex art. 28 GDPR;

  • Limitare l’accesso ai dati ai soli soggetti autorizzati e tenuti alla riservatezza;

  • Garantire l’anonimato, ove previsto, attraverso canali tecnicamente idonei (es. piattaforme crittografate);

  • Evitare la raccolta eccessiva di dati: il sistema deve raccogliere solo le informazioni necessarie e pertinenti alla segnalazione;

  • Stabilire un tempo di conservazione massimo, coerente con la normativa e con le linee guida ANAC;

  • Conservare correttamente la documentazione relativa alle segnalazioni (vedi approfondimento su conservazione documentale nel whistleblowing).

La riservatezza non è facoltativa: è obbligo legale

Il D.Lgs. 24/2023 ha rafforzato significativamente gli obblighi di tutela dell’identità del segnalante. L’azienda deve impedire che l’identità possa essere rivelata anche indirettamente, e garantire che non vi siano trattamenti “a catena” o accessi impropri. La protezione dell’identità è oggi una garanzia giuridica piena, non solo un dovere morale.

Un altro errore frequente è dimenticare che anche i soggetti riceventi, come gli amministratori, i dirigenti o i consulenti esterni, devono essere vincolati alla riservatezza: su questo aspetto abbiamo approfondito in questo articolo specifico.

Ricapitolando: whistleblowing e privacy non sono ambiti separati

Whistleblowing conforme Anche privacy conforme?
Canale sicuro, accesso limitato, anonimato tutelato
Nessuna informativa privacy, accesso generico, dati non protetti No
Piattaforma con crittografia, log accessi, tempistiche chiare
Email generiche o canali non protetti No

Un sistema di whistleblowing non può prescindere da un corretto trattamento dei dati personali, pena l’invalidità dello stesso e la possibile responsabilità amministrativa dell’azienda.

Segnalazioni anonime, canali interni e ruolo dell’ANAC: cosa prevede la legge per le imprese

Uno degli errori più frequenti commessi dalle aziende è credere che il canale whistleblowing sia un mero strumento formale da attivare “pro forma”. In realtà, la normativa italiana prevede un sistema multilivello, che comprende obblighi ben precisi sul canale interno, garanzie sull’anonimato e, in caso di criticità, la possibilità per il segnalante di rivolgersi direttamente all’ANAC (Autorità Nazionale Anticorruzione).

Chi non istituisce un canale interno corre il rischio concreto di vedersi superare da segnalazioni esterne direttamente all’Autorità o — ancor peggio — divulgate pubblicamente (con gravi danni reputazionali e sanzioni).

Come deve essere strutturato il canale interno (obbligatorio per tutte le aziende con almeno 50 dipendenti)

Le imprese obbligate, come spiegato nel nostro articolo sulla mancata istituzione dei canali interni, devono predisporre un canale interno conforme a requisiti specifici, ovvero:

  • tutelare l’identità del segnalante in tutte le fasi;

  • consentire anche segnalazioni anonime, purché dettagliate e fondate;

  • prevedere strumenti digitali protetti, che garantiscano riservatezza e tracciabilità degli accessi;

  • essere gestito da soggetti interni imparziali oppure da un soggetto esterno appositamente nominato (ad esempio un avvocato o consulente esterno, come trattato nel nostro articolo su chi deve gestire le segnalazioni).

Non basta “attivare una mail dedicata”: serve una piattaforma sicura, istruzioni operative, una procedura scritta (da inserire ad esempio nel MOG 231 o nel codice etico), come abbiamo spiegato in questa guida operativa.

Il ruolo dell’ANAC e le condizioni per segnalare all’esterno

Il D.Lgs. 24/2023 consente al lavoratore di rivolgersi all’ANAC solo in presenza di determinate condizioni, come ad esempio:

  • assenza del canale interno (es. azienda inadempiente);

  • inefficacia del canale interno (es. nessun seguito dato alla segnalazione entro 3 mesi);

  • pericolo imminente per l’interesse pubblico;

  • fondato timore di ritorsione o mancata tutela dell’anonimato.

«La segnalazione all’ANAC è uno strumento straordinario, ma previsto dalla legge quando il sistema interno fallisce o è inaccessibile.»

Le imprese devono comprendere che la segnalazione all’ANAC rappresenta un fallimento della governance interna, con conseguenze importanti anche in termini di responsabilità amministrativa.

Non è un caso che in molte sanzioni già adottate — come quella descritta nell’articolo “insegnante whistleblower denuncia fatti illeciti nella scuola: sanzione ANAC di € 5.000,00 ad un dirigente scolastico” — l’assenza di canali interni adeguati o l’adozione di comportamenti ritorsivi abbiano portato alla condanna diretta dell’ente o dei suoi rappresentanti.

Le segnalazioni anonime sono valide? Sì, ma con cautele

Uno dei dubbi più diffusi tra i datori di lavoro riguarda la validità delle segnalazioni anonime. La risposta è sì, sono pienamente ammesse, purché:

  • riguardino fatti concreti e documentati;

  • contengano elementi utili per le indagini interne;

  • siano gestite tramite un canale tecnico idoneo, che protegga l’identità e impedisca accessi indebiti.

Sul tema abbiamo approfondito in modo tecnico e operativo nel nostro articolo dedicato a whistleblowing e anonimato, molto utile sia per le aziende che per i consulenti privacy.

Il sistema multilivello di segnalazione: interno, esterno, divulgazione pubblica

Livello di segnalazione Quando è ammesso Chi la riceve Rischi per l’azienda
Canale interno Sempre obbligatorio Gestore interno o esterno Nessuno, se conforme
Segnalazione all’ANAC In caso di irregolarità del canale interno Autorità nazionale Sanzione ANAC
Divulgazione pubblica (media) In caso di pericolo imminente o omissione dell’ANAC Opinione pubblica Danno reputazionale

Per evitare che il dipendente arrivi a divulgare pubblicamente il fatto illecito, è fondamentale garantire un ambiente sicuro, riservato e trasparente. Altrimenti, le imprese rischiano di perdere completamente il controllo della situazione.

Quando un’azienda è considerata inadempiente secondo la normativa sul whistleblowing

Nel panorama attuale, molte imprese si trovano a operare nell’incertezza, convinte — erroneamente — che basti attivare un indirizzo e-mail dedicato o pubblicare due righe nel proprio codice etico per ritenersi conformi alla normativa sul whistleblowing. Tuttavia, secondo quanto previsto dal D.Lgs. 24/2023, l’azienda è considerata inadempiente quando:

  • non ha istituito un canale di segnalazione interno conforme ai requisiti tecnici, organizzativi e giuridici previsti dalla normativa;

  • non ha definito una procedura formalizzata di gestione delle segnalazioni, da integrare nel proprio assetto organizzativo;

  • non ha garantito l’anonimato, la riservatezza e la sicurezza dei dati trattati;

  • non ha effettuato la formazione obbligatoria dei soggetti preposti alla ricezione e alla gestione delle segnalazioni;

  • non ha pubblicato sul sito aziendale le istruzioni operative per effettuare correttamente una segnalazione (vedi nostro articolo su quali informazioni devono essere pubblicate online).

Esempi concreti di inadempienze riscontrate dall’ANAC

Nel monitoraggio effettuato dall’ANAC nei mesi successivi all’entrata in vigore della disciplina, sono emerse numerose inadempienze che hanno comportato l’irrogazione di sanzioni pecuniarie, anche a dirigenti e rappresentanti legali. Alcune tra le casistiche più diffuse:

  • Canali attivati ma non funzionanti (es. link non accessibili, errori tecnici);

  • Piattaforme senza crittografia o log di accesso;

  • Mancata designazione dei soggetti gestori (nessuna delibera o nomina formale);

  • Procedura inserita nel MOG 231 ma non applicata concretamente;

  • Nessun riscontro alle segnalazioni pervenute, oltre i termini previsti;

  • Trattamento illecito di dati sensibili, come emerso in diverse verifiche in ambito scolastico e sanitario.

Tutti questi elementi non sono meri adempimenti formali. Al contrario, rappresentano indicatori concreti per l’ANAC nella valutazione di un eventuale comportamento omissivo o elusivo da parte dell’impresa. Su queste basi sono già state applicate sanzioni nei casi analizzati in articoli come quello sulla sanzione a un dirigente scolastico per ritorsione o nella casistica relativa ai superiori dell’Arma.

Inadempienza e responsabilità dell’organo amministrativo

È importante sapere che l’eventuale inadempienza non è solo in capo all’ente-azienda, ma coinvolge direttamente l’organo amministrativo e i soggetti apicali. In particolare:

  • Il legale rappresentante è responsabile dell’adozione del canale e della procedura;

  • I dirigenti e preposti possono essere ritenuti responsabili per omessa gestione o gestione impropria delle segnalazioni;

  • In caso di modello 231, la mancata istituzione del canale invalida il sistema di controllo interno e fa venir meno le esimenti penali.

Per questo motivo, è fondamentale che la procedura venga formalmente adottata tramite delibera, inserita nei documenti programmatici aziendali (come il PIAO, il PTPTC o il MOG 231), e attuata in modo effettivo e monitorabile, come approfondito nel nostro articolo su come integrare il whistleblowing nella governance interna.

Il mancato adeguamento è una condotta sanzionabile anche se non ci sono segnalazioni

Un errore molto diffuso tra imprenditori e responsabili HR è pensare che “tanto nessuno ha ancora segnalato nulla”, e che quindi non valga la pena attivare la procedura. Nulla di più sbagliato. Il mancato adeguamento è autonomamente sanzionabile, anche in assenza di segnalazioni.

Come chiarito dall’ANAC, infatti, l’obbligo è strutturale e prescinde dall’attivazione del canale: si tratta di un adempimento organizzativo, alla stregua del DVR o della Privacy Policy.

«L’obbligo di dotarsi di canali interni per la segnalazione di illeciti decorre in base alla soglia dimensionale dell’ente, indipendentemente dal numero o dalla frequenza delle segnalazioni ricevute.»

Come mettersi in regola con il whistleblowing: cosa deve fare subito un’azienda

Adeguarsi alla normativa sul whistleblowing non è solo un obbligo, ma una misura strategica di prevenzione, tutela e responsabilità aziendale. Troppe imprese si attivano solo dopo aver ricevuto una segnalazione, una sanzione o una diffida. In realtà, ci si deve adeguare prima, e farlo nel modo corretto.

Ecco quindi un quadro operativo concreto per mettersi in regola con la normativa sul whistleblowing aziendale in modo efficace, conforme al GDPR e senza inutili complicazioni.

1. Verificare se l’azienda è soggetta all’obbligo

La prima azione è chiarire se la tua impresa è tra quelle obbligate. Lo sono:

  • tutte le aziende private con almeno 50 dipendenti (compresi part-time, apprendisti, intermittenti);

  • aziende con meno di 50 dipendenti, ma che operano in ambiti regolati (servizi finanziari, ambiente, trasporti, sanità, alimentare, ecc.);

  • aziende che hanno adottato un Modello 231 e vogliono beneficiare dell’esimente;

  • enti del terzo settore, fondazioni, cooperative sociali che ricevono contributi pubblici o partecipano a bandi.

Per approfondire le casistiche particolari, rimandiamo all’articolo sulle indicazioni operative per enti pubblici e privati, applicabili anche nel privato.

2. Progettare un canale di segnalazione interno conforme

L’azienda deve attivare un canale interno, che consenta ai dipendenti e collaboratori di segnalare in modo:

  • sicuro: tramite piattaforma crittografata o gestita da soggetto terzo qualificato;

  • riservato: l’identità del segnalante non deve essere accessibile da soggetti non autorizzati;

  • anonimo: deve essere garantita la possibilità di segnalare senza rivelare la propria identità;

  • tracciabile: devono essere generati log di accesso, time-stamp e audit trail.

Attenzione: la semplice e-mail aziendale non è sufficiente. In molti casi si rende necessaria l’adozione di una piattaforma dedicata oppure l’esternalizzazione della gestione, con nomina del responsabile esterno del trattamento dati, come spieghiamo in questo articolo.

3. Redigere e formalizzare la procedura aziendale

La procedura deve essere scritta, approvata e tracciabile, contenente almeno:

  • chi può segnalare (dipendenti, collaboratori, consulenti, ex dipendenti);

  • cosa può essere segnalato (illeciti, frodi, rischi, violazioni normative);

  • in che modo effettuare la segnalazione (canale, tempistiche, allegati);

  • chi gestisce la segnalazione e come si garantisce la riservatezza;

  • tempi e modalità di riscontro;

  • garanzie contro le ritorsioni.

Questa procedura va allegata al MOG 231, al codice etico o al regolamento aziendale.

4. Predisporre l’informativa privacy e i documenti correlati

L’azienda deve redigere un’informativa privacy dedicata al whistleblowing, distinta da quella generale per i dipendenti. Deve includere:

  • base giuridica del trattamento;

  • categorie di dati trattati (anche sensibili o giudiziari);

  • modalità di trattamento;

  • tempi di conservazione;

  • diritti dell’interessato;

  • soggetti autorizzati al trattamento;

  • misure di sicurezza implementate.

Va predisposta anche la nomina del gestore come responsabile del trattamento, con specifica disciplina sull’accesso ai dati, modalità di conservazione e obblighi di riservatezza.

5. Formare chi gestisce le segnalazioni

La normativa impone che i soggetti incaricati siano formati, competenti, imparziali e autonomi. Il titolare del trattamento deve organizzare corsi specifici, documentare la formazione e conservare il materiale didattico.

Se l’azienda si avvale di un soggetto esterno, è necessario formalizzare l’incarico, indicare le modalità operative, firmare la nomina ex art. 28 GDPR e verificare che siano rispettati i requisiti tecnici.

6. Pubblicare tutto nella sezione dedicata del sito web aziendale

Infine, le aziende devono pubblicare sul proprio sito o intranet (per le realtà senza sito pubblico):

  • una pagina dedicata al whistleblowing;

  • la procedura in formato accessibile;

  • l’informativa privacy;

  • il link diretto al canale di segnalazione interno.

Abbiamo dedicato un articolo completo a quali informazioni devono essere pubblicate sul sito, utile anche per chi gestisce siti aziendali o piattaforme compliance.

Tabella di riepilogo: attività minime obbligatorie per essere in regola

Attività Obbligatoria per legge? Sanzionabile se assente?
Verifica soglia e ambito applicativo
Istituzione del canale interno
Procedura scritta e formalizzata
Nomina responsabile del trattamento
Informativa privacy dedicata
Formazione dei gestori
Pubblicazione sul sito

Mettersi in regola con la normativa sul whistleblowing non è un’opzione. È un dovere giuridico e un’opportunità organizzativa. Farlo nel modo giusto protegge l’impresa, i lavoratori e chi la dirige.

Esempio concreto: cosa accade a un’azienda che ignora il whistleblowing e viene sanzionata

Per comprendere cosa rischia davvero un’azienda che non si adegua alla normativa sul whistleblowing, è utile analizzare un caso concreto, simile a molti che abbiamo già assistito professionalmente nel nostro Studio.

Un’impresa privata operante nel settore dei servizi (oltre 50 dipendenti, con alcune partecipazioni in gare pubbliche) aveva attivato una mail generica come canale interno, senza predisporre alcuna procedura formale, informativa privacy o designazione dei soggetti gestori. Nessuna formazione era stata erogata e nessuna pagina web dedicata era presente sul sito aziendale.

Un dipendente, dopo aver segnalato il comportamento illecito di un dirigente (uso improprio di fondi), ha subito demansionamento e trasferimento punitivo. Non avendo ricevuto alcun riscontro interno entro i termini, ha deciso di rivolgersi direttamente all’ANAC, come previsto dalla normativa in caso di inefficacia del canale aziendale.

L’ANAC, con istruttoria durata circa tre mesi, ha accertato quanto segue:

  • assenza di canale conforme (la semplice mail non rispettava le garanzie richieste);

  • mancanza di tutela dell’identità del segnalante;

  • procedura inesistente e non pubblicata sul sito;

  • misura ritorsiva adottata nei confronti del dipendente segnalante.

Risultato?

  • Sanzione amministrativa per condotta ritorsiva;

  • Ordine di adeguamento entro 60 giorni della procedura whistleblowing;

  • Obbligo di reintegro del dipendente, con danni reputazionali estesi (l’informazione è stata ripresa da portali di settore e social network).

Questo caso è simile a quanto accaduto nel settore scolastico, dove l’ANAC ha sanzionato con 5.000 euro una dirigente scolastica responsabile di ritorsioni ai danni di un whistleblower, come riportato nel nostro articolo su Whistleblowing: sanzione di 5.000 euro a carico della Dirigente scolastica.

Perché questo caso è emblematico?

Perché mostra cosa accade nella realtà aziendale quando:

  • non si attiva un canale interno conforme;

  • si sottovaluta il rischio delle ritorsioni contro il segnalante;

  • si ignorano gli obblighi di riservatezza e protezione dell’identità;

  • si crede che “nessuno segnalerà mai nulla”.

In un contesto normativo sempre più sensibile alla trasparenza, alla prevenzione della corruzione e alla protezione dei diritti dei lavoratori, non adeguarsi equivale a esporsi consapevolmente a rischi legali, sanzionatori e d’immagine.

Domande frequenti sul whistleblowing e sui rischi per le aziende

1. Cosa succede se un’azienda non ha il canale whistleblowing obbligatorio?
L’assenza del canale comporta una sanzione amministrativa fino a 50.000 euro, oltre al rischio che il segnalante si rivolga all’ANAC o renda pubblica la segnalazione. La mancanza del canale è considerata una grave inadempienza, anche in assenza di segnalazioni attive.

2. Quali aziende devono adeguarsi alla normativa sul whistleblowing?
Tutte le aziende private con almeno 50 dipendenti, quelle che operano in settori regolati dall’UE (es. ambiente, finanza, sanità), e le imprese che hanno adottato un Modello 231. Anche enti no profit, fondazioni e cooperative sono spesso obbligati.

3. Quali sono le sanzioni previste per chi ignora il whistleblowing?
L’ANAC può sanzionare con importi da 10.000 a 50.000 euro, sia per assenza del canale che per comportamenti ritorsivi. Il Garante Privacy può irrogare ulteriori sanzioni per violazioni del GDPR. Il dipendente può inoltre ottenere un risarcimento danni.

4. Il whistleblowing è obbligatorio anche per aziende sotto i 50 dipendenti?
Sì, in alcuni casi specifici: ad esempio, se operano in ambiti regolati (D.Lgs. 231/2001, direttive UE) o se partecipano a bandi pubblici. Il numero di dipendenti non è sempre l’unico criterio per l’obbligo.

5. Cosa si intende per segnalazione anonima e quando è valida?
È una segnalazione in cui l’identità del segnalante non è conosciuta. Deve essere dettagliata, circostanziata e fondata. È considerata valida se l’azienda ha un canale tecnicamente idoneo a riceverla, come spiegato nel nostro articolo su whistleblowing e anonimato.

6. È legittimo licenziare un dipendente che ha fatto una segnalazione interna?
No. Il licenziamento legato alla segnalazione è nullo per legge. Il lavoratore ha diritto alla reintegrazione, al risarcimento e alla tutela integrale. Anche il demansionamento o il trasferimento punitivo sono considerati condotte ritorsive.

7. Come si gestisce il trattamento dei dati personali in una segnalazione whistleblowing?
È necessario predisporre un’informativa privacy specifica, minimizzare i dati raccolti, nominare un responsabile del trattamento e proteggere riservatezza e anonimato. L’azienda deve rispettare integralmente il GDPR.

8. Cosa deve contenere la procedura whistleblowing?
La procedura deve indicare: chi può segnalare, cosa segnalare, come farlo, chi riceve la segnalazione, tempi di risposta, garanzie per il segnalante, misure contro le ritorsioni e modalità di conservazione dei dati.

9. Dove devono essere pubblicate le informazioni sul canale whistleblowing?
Sul sito internet aziendale o su una intranet accessibile ai dipendenti. Le informazioni devono essere complete, facilmente accessibili, aggiornate, e devono includere link, informativa e istruzioni operative. Approfondimento: quali informazioni inserire sul sito.

10. Chi può aiutarmi ad adeguare correttamente l’azienda alla normativa?
Lo Stuio Legale Calvello si occupa da molti anni di privacy aziendale e compliance normativa e può assisterti nella progettazione, attuazione e verifica del sistema di whistleblowing, garantendo piena conformità al D.Lgs. 24/2023 e al GDPR.

Hai dubbi sulla normativa whistleblowing? Adeguati ora ed evita sanzioni e danni reputazionali

Se sei un imprenditore, un amministratore o un responsabile del personale e ti stai chiedendo se la tua azienda è in regola con il whistleblowing, la risposta non può essere lasciata al caso. Ignorare gli obblighi previsti dal D.Lgs. 24/2023 non solo espone l’impresa a sanzioni fino a 50.000 euro, ma può compromettere gravemente la fiducia di dipendenti, stakeholder e clienti.

Nel nostro Studio Legale ci occupiamo quotidianamente di:

  • consulenza legale personalizzata per l’adeguamento alla normativa whistleblowing;

  • redazione e aggiornamento della procedura interna di segnalazione;

  • integrazione delle misure GDPR nella gestione delle segnalazioni;

  • supporto nella scelta del canale interno più sicuro e conforme.

Non aspettare di ricevere una segnalazione o una diffida per agire. Adeguarsi oggi è il miglior modo per proteggere la tua impresa domani.

Richiedi una consulenza legale dedicata ora

Condividi l'articolo su:
Studio Legale Calvello