fbpx

Telefono

049 8668202

Titolo

Autem vel eum iriure dolor in hendrerit in vulputate velit esse molestie consequat, vel illum dolore eu feugiat nulla facilisis at vero eros et dolore feugait

Whistleblowing

5

Feb

Whistleblowing

Whistleblowing aziendale: 5 cose da fare subito per mettersi in regola

Di Studio Legale Calvello In , , , , , ,
Indice dell'articolo completo
1 1) Verificare subito se siete obbligati e qual è il perimetro corretto
2 2) Istituire un canale di segnalazione interno realmente conforme (non solo “formalmente esistente”)
3 3) Definire una procedura di gestione delle segnalazioni chiara, tracciabile e difendibile
4 4) Garantire tutela, anonimato e protezione da ogni forma di ritorsione
5 5) Informare correttamente, formare le persone e rendere il sistema realmente utilizzabile
6 Whistleblowing per aziende: servizio completo “chiavi in mano”

1) Verificare subito se siete obbligati e qual è il perimetro corretto

La prima decisione, e spesso anche il primo errore che vediamo in pratica, è partire “dalla piattaforma” senza aver chiarito chi è tenuto agli obblighi, quali segnalazioni rientrano nel whistleblowing e quali tutele devono essere garantite. Il risultato tipico è un canale formalmente esistente ma sostanzialmente non conforme, con un rischio concreto di contestazioni e, soprattutto, con un sistema che non viene usato perché non genera fiducia.

La disciplina italiana si fonda sul D.Lgs. 24/2023, attuativo della Direttiva UE 2019/1937, e punta a proteggere le persone che segnalano violazioni apprese nel contesto lavorativo, prevedendo canali e procedure idonee e tutele contro le ritorsioni.

Chi deve attivare un canale interno (e chi deve farlo “bene”, non solo “farlo”)

Nel settore privato, l’obbligo di attivare un canale interno di segnalazione riguarda in modo centrale le organizzazioni che rientrano nelle soglie e nei presupposti previsti dalla normativa. In sintesi, l’adempimento non è una scelta “di opportunità”, ma un vero e proprio presidio di compliance: non basta dichiarare che esiste una mail o una procedura, serve un sistema che rispetti requisiti di riservatezza, gestione corretta e protezione del segnalante. L’impianto è confermato e dettagliato anche dalle indicazioni di ANAC, autorità di riferimento sul tema.

Per dare un riferimento pratico, riportiamo una griglia orientativa (che poi va calata sulla vostra realtà societaria, anche in presenza di gruppi, sedi multiple, modelli 231 e funzioni condivise):

Profilo aziendale Cosa conviene verificare subito Perché è critico
Aziende con struttura organizzata (HR, compliance, audit, 231) Se avete già un canale “storico” e se è adeguato ai requisiti attuali Molti canali esistenti non rispettano riservatezza, tracciabilità e indipendenza
Aziende in crescita / PMI strutturate Se rientrate nelle soglie e se avete processi interni per gestire tempi e riscontri Il canale senza governance genera caos, archiviazioni improprie e rischio ritorsioni
Aziende con Modello 231 Come integrare canale e procedura nel sistema 231 senza sovrapposizioni Il whistleblowing diventa un elemento coerente del presidio 231 e dei controlli interni
Gruppi societari Se e come gestire canali in modo coordinato, rispettando i requisiti Serve equilibrio tra efficienza e tutela effettiva del segnalante

Su alcuni punti operativi abbiamo già approfondito, ad esempio quando è più corretto orientarsi su un canale interno o esterno e come valutare la scelta in modo non improvvisato: qui trovate un approfondimento utile su whistleblowing interno o esterno in azienda.

Quali segnalazioni rientrano davvero nel whistleblowing

Un secondo errore frequente è trattare come whistleblowing “qualsiasi lamentela” o, al contrario, ridurre tutto a un tema disciplinare interno. La normativa, invece, ha un perimetro preciso: si parla di violazioni apprese nel contesto lavorativo che incidono su norme nazionali o UE e, nel concreto, su integrità e correttezza dell’organizzazione.

Per essere operativi, il criterio che consigliamo è questo: il canale deve essere costruito per ricevere e gestire segnalazioni circostanziate, con un minimo di elementi utili a verificare i fatti (non “opinioni”), e deve essere in grado di distinguere:

  • segnalazioni che attivano la procedura whistleblowing;

  • segnalazioni che vanno instradate su altri flussi (HR, reclami, qualità, sicurezza), senza però “scoprire” l’identità del segnalante né generare ritorsioni o esposizioni improprie.

In questo punto è determinante anche la parte informativa: le aziende devono spiegare in modo chiaro che cosa si può segnalare, come farlo, e soprattutto quali informazioni inserire per evitare errori del segnalante e dispersione di tempo nella gestione. Su questo tema, consigliamo di tenere come riferimento anche l’impostazione pratica descritta in le informazioni da inserire sul sito e sulla pagina della piattaforma.

Il punto che molte aziende sottovalutano: i “tempi” non sono un dettaglio

Il whistleblowing non è una casella email “da controllare quando si può”: la normativa e le indicazioni applicative insistono su tempistiche e tracciabilità. In particolare, le regole operative richiedono gestione strutturata della segnalazione, con passaggi e termini che rendono necessaria una governance (chi riceve, chi gestisce, chi risponde, come si documenta il seguito).

È proprio qui che si capisce se il sistema è “di facciata” o realmente conforme: senza ruoli chiari, senza un gestore designato e senza un processo che garantisca riservatezza e seguito, il canale si trasforma in un rischio. Per questo, prima ancora di scegliere lo strumento, va messo a fuoco l’assetto organizzativo e i presidi minimi.

Per orientarsi sui profili di obbligo e sulle conseguenze della mancata corretta istituzione del canale, può essere utile anche questo approfondimento: whistleblowing obbligatorio per le aziende: obblighi e sanzioni.

2) Istituire un canale di segnalazione interno realmente conforme (non solo “formalmente esistente”)

Una volta chiarito se l’azienda è obbligata e quale perimetro copre il whistleblowing, il passo successivo – e più delicato – è l’istituzione del canale di segnalazione interno. Qui si gioca gran parte della partita, perché nella pratica quotidiana è proprio su questo punto che emergono le non conformità più frequenti e, di conseguenza, i maggiori rischi.

Molte aziende credono di essere in regola perché hanno “attivato un canale”, spesso identificato con una casella email dedicata o con un modulo sul sito. In realtà, un canale whistleblowing non è un semplice strumento di raccolta, ma un sistema organizzato che deve garantire requisiti precisi: riservatezza dell’identità del segnalante, protezione dei dati personali, accesso limitato ai soggetti autorizzati, tracciabilità delle attività e corretto flusso di gestione delle segnalazioni.

Canale di segnalazione interno: cosa richiede davvero la normativa

Il canale interno di segnalazione deve essere progettato per consentire al segnalante di comunicare informazioni in modo sicuro, anche in forma scritta o orale, e, se previsto, in modalità anonima. Non si tratta di una scelta organizzativa “libera”: la normativa impone che il canale sia idoneo a prevenire accessi non autorizzati, a evitare la dispersione delle informazioni e a tutelare l’identità delle persone coinvolte, non solo del segnalante ma anche del segnalato.

Dal punto di vista operativo, questo significa che il canale deve:

  • garantire riservatezza assoluta dell’identità del segnalante;

  • limitare l’accesso alle segnalazioni a soggetti espressamente autorizzati;

  • consentire una gestione ordinata e documentata delle segnalazioni;

  • essere integrato in una procedura chiara e conoscibile all’interno dell’organizzazione.

Su questo aspetto abbiamo già evidenziato, in un approfondimento dedicato, come e perché la semplice esistenza di un canale non sia sufficiente se manca una struttura di gestione coerente: whistleblowing – i canali di segnalazione interni.

Canale interno e riservatezza: il punto più sensibile per le aziende

Quando parliamo di whistleblowing aziendale, la parola chiave che ritorna costantemente è fiducia. Un canale che non ispira fiducia non verrà utilizzato, oppure verrà usato in modo distorto, con segnalazioni incomplete o timorose. Per questo motivo, la riservatezza non è un requisito teorico, ma un elemento sostanziale.

La gestione impropria delle informazioni può esporre l’azienda a contestazioni su più fronti: whistleblowing, privacy, responsabilità organizzativa. È fondamentale che il canale sia progettato tenendo conto anche del trattamento dei dati personali, evitando soluzioni improvvisate che non garantiscono adeguati livelli di sicurezza. Su questo punto è utile tenere presente anche quanto già analizzato in tema di whistleblowing e trattamento dei dati personali.

Canale interno e piattaforma: attenzione agli errori più comuni

Un altro aspetto centrale, soprattutto per le PMI e per le aziende che si stanno adeguando per la prima volta, riguarda la scelta della piattaforma o dello strumento tecnico. La piattaforma di whistleblowing non è neutra: deve essere coerente con i requisiti normativi e con l’organizzazione interna.

Gli errori che riscontriamo più spesso sono:

  • piattaforme non configurate correttamente, accessibili a più soggetti del necessario;

  • mancanza di un sistema di tracciamento delle attività svolte sul canale;

  • assenza di istruzioni chiare per il segnalante, che non sa come compilare la segnalazione;

  • confusione tra canale whistleblowing e altri strumenti aziendali (HR, reclami, segnalazioni generiche).

Su questo aspetto, è importante chiarire fin da subito chi gestisce il canale e con quali poteri, evitando soluzioni “ibride” che generano incertezza e rischio. Se vuoi approfondire il tema della corretta individuazione dei soggetti competenti, rimandiamo all’analisi dedicata su i soggetti a cui va affidata la gestione delle segnalazioni. Lo Studio Legale Calvello offre questo servizio.

Canale interno e modello organizzativo: un passaggio strategico

Infine, il canale di segnalazione interno non dovrebbe essere visto come un corpo estraneo all’organizzazione, ma come parte integrante del sistema di compliance. Nelle aziende dotate di Modello 231 o di altri strumenti organizzativi, il whistleblowing deve dialogare con questi presidi, senza sovrapposizioni e senza vuoti di responsabilità.

È proprio in questa fase che molte aziende comprendono che il whistleblowing non è solo un adempimento, ma un’occasione per rafforzare i controlli interni, intercettare criticità prima che diventino problemi e dimostrare un approccio responsabile e strutturato alla gestione dei rischi.

3) Definire una procedura di gestione delle segnalazioni chiara, tracciabile e difendibile

Dopo l’istituzione del canale whistleblowing, il passaggio che distingue un’azienda realmente conforme da una solo “sulla carta” è la procedura di gestione delle segnalazioni. È qui che, nella pratica, si concentrano i maggiori rischi: segnalazioni lasciate senza riscontro, tempi non rispettati, accessi impropri alle informazioni, decisioni non documentate. Tutti elementi che possono trasformare un adempimento pensato per tutelare l’organizzazione in una fonte di esposizione.

La normativa sul whistleblowing non si limita a dire “attivate un canale”, ma impone che le segnalazioni siano ricevute, istruite e gestite secondo una procedura predefinita, coerente e conoscibile. Questo significa che l’azienda deve poter dimostrare, anche a distanza di tempo, come ha trattato una segnalazione, chi ha avuto accesso alle informazioni e quali valutazioni sono state effettuate.

Procedura whistleblowing: perché non può essere improvvisata

Uno degli errori più frequenti è pensare che la procedura possa essere “adattata caso per caso”. In realtà, la gestione delle segnalazioni deve seguire un percorso strutturato, che tuteli contemporaneamente il segnalante, il segnalato e l’azienda stessa.

Dal punto di vista operativo, una procedura corretta dovrebbe disciplinare almeno:

  • ricezione della segnalazione e modalità di registrazione;

  • valutazione preliminare di ammissibilità (è una segnalazione whistleblowing o altro?);

  • istruttoria e raccolta delle informazioni rilevanti;

  • interlocuzione con il segnalante, se necessaria, senza comprometterne l’identità;

  • chiusura della segnalazione e archiviazione motivata.

Questi passaggi non sono meri formalismi: servono a dimostrare che l’azienda ha agito in modo diligente e conforme. Su questo tema abbiamo già fornito indicazioni operative in una guida dedicata all’implementazione del whistleblowing in azienda, utile proprio per comprendere come strutturare il processo senza lasciare zone grigie.

Tempi, riscontri e documentazione: il cuore della compliance

Un aspetto spesso sottovalutato riguarda i tempi di gestione e la necessità di fornire un riscontro al segnalante. Il whistleblowing non è una comunicazione “a senso unico”: la procedura deve prevedere momenti di risposta e aggiornamento, compatibilmente con le esigenze istruttorie e con la tutela della riservatezza.

Dal punto di vista aziendale, questo comporta la necessità di:

  • monitorare le scadenze interne;

  • documentare le attività svolte;

  • conservare traccia delle decisioni assunte.

La tracciabilità non serve solo in caso di controllo, ma anche per evitare che le segnalazioni si perdano o vengano gestite in modo incoerente. È proprio l’assenza di una documentazione ordinata che, in molti casi, espone l’azienda a contestazioni sulla correttezza della gestione.

Su questo fronte, le indicazioni operative e le linee guida dell’ANAC hanno chiarito che la procedura deve essere effettiva e verificabile, non solo formalmente adottata.

Chi gestisce le segnalazioni e con quali garanzie

La procedura deve individuare in modo esplicito chi è responsabile della gestione delle segnalazioni. Questo punto è cruciale, perché l’accesso alle informazioni whistleblowing comporta responsabilità rilevanti sotto il profilo organizzativo e della protezione dei dati.

La gestione può essere affidata a soggetti interni o esterni, ma in ogni caso devono essere garantiti:

  • indipendenza rispetto ai fatti segnalati;

  • competenza nella valutazione delle segnalazioni;

  • obbligo di riservatezza rafforzato.

Quando questi presupposti non sono rispettati, il rischio è duplice: da un lato si compromette la tutela del segnalante, dall’altro si espone l’azienda a contestazioni sulla correttezza del sistema. Abbiamo affrontato questo punto in modo specifico nell’approfondimento su le attività cui è tenuto chi gestisce le segnalazioni e su i soggetti a cui va affidata la gestione delle segnalazioni.

Procedura e atti organizzativi: integrazione, non sovrapposizione

Un ultimo profilo strategico riguarda l’inserimento della procedura whistleblowing negli atti organizzativi aziendali. La procedura non dovrebbe vivere isolata, ma essere coerente con il sistema complessivo di governance e controllo.

L’integrazione consente di evitare conflitti di competenza, duplicazioni e vuoti decisionali, rafforzando l’efficacia complessiva del presidio whistleblowing. Su questo punto può essere utile anche il richiamo alla disciplina della procedura nei diversi atti organizzativi, come approfondito in questa analisi dedicata.

4) Garantire tutela, anonimato e protezione da ogni forma di ritorsione

Se il canale e la procedura sono la struttura del whistleblowing aziendale, la tutela del segnalante ne rappresenta la vera ragion d’essere. È su questo punto che imprenditori e aziende mostrano spesso le maggiori incertezze, temendo che il whistleblowing possa trasformarsi in uno strumento “contro” l’organizzazione. In realtà, accade esattamente il contrario: un sistema che tutela correttamente il segnalante protegge anche l’azienda, perché riduce il rischio di conflitti, contenziosi e interventi esterni.

La normativa sul whistleblowing insiste in modo chiaro su tre concetti chiave: riservatezza, anonimato e divieto di ritorsioni. Non si tratta di principi astratti, ma di obblighi concreti che devono essere tradotti in misure organizzative effettive.

Tutela del segnalante: cosa significa davvero per le aziende

La tutela del segnalante non si esaurisce nel “non licenziarlo”. Il divieto di ritorsioni comprende una serie molto ampia di comportamenti che, nella pratica quotidiana, possono assumere forme meno evidenti ma ugualmente rilevanti: demansionamenti, cambi di mansione punitivi, esclusioni da percorsi di crescita, valutazioni negative pretestuose, isolamento professionale.

Per questo motivo, l’azienda deve essere in grado di prevenire e intercettare tali comportamenti, dimostrando che eventuali decisioni organizzative successive alla segnalazione non sono collegate, direttamente o indirettamente, all’attività del whistleblower. È un punto cruciale anche sotto il profilo probatorio e difensivo.

Su questo tema, abbiamo già chiarito quali sono le garanzie previste e come vanno applicate in concreto nell’approfondimento dedicato alla tutela contro le eventuali ritorsioni.

Anonimato e protezione dell’identità: attenzione alle false sicurezze

Un altro profilo centrale riguarda l’anonimato del segnalante e la protezione della sua identità. Molte aziende ritengono che basti “non diffondere il nome”, ma la tutela richiesta è molto più ampia: l’identità deve essere protetta in ogni fase del processo e nei confronti di tutti i soggetti che, a vario titolo, entrano in contatto con la segnalazione.

Questo comporta scelte organizzative precise, ad esempio:

  • limitazione rigorosa degli accessi alle informazioni;

  • separazione tra dati identificativi e contenuto della segnalazione;

  • attenzione ai flussi informativi interni, anche informali;

  • formazione dei soggetti coinvolti nella gestione.

La protezione dell’identità non riguarda solo il segnalante, ma si estende anche al segnalato e ad eventuali terzi coinvolti, evitando diffusioni indebite che potrebbero generare responsabilità ulteriori. Su questi aspetti, può essere utile il richiamo agli approfondimenti su l’anonimato nel whistleblowing e sulla protezione dell’identità nei procedimenti connessi.

Ritorsioni e responsabilità aziendale: un rischio spesso sottovalutato

Dal punto di vista aziendale, il tema delle ritorsioni è uno dei più delicati anche perché può generare conseguenze rilevanti in caso di accertamento. La normativa attribuisce grande importanza alla prevenzione delle condotte ritorsive e prevede sanzioni significative quando tali comportamenti vengono riscontrati.

Il rischio maggiore, nella pratica, è quello di non riconoscere come ritorsione un comportamento che l’azienda percepisce come “neutro” o “organizzativo”. È per questo che il whistleblowing deve essere accompagnato da linee interne chiare, da una comunicazione trasparente e da un presidio costante nel tempo.

In quest’ottica, è fondamentale che il sistema whistleblowing non sia isolato, ma dialoghi con le funzioni HR e con i vertici aziendali, creando una cultura interna orientata alla segnalazione responsabile e alla gestione corretta delle criticità. Diversamente, il rischio è quello di trasformare un obbligo normativo in una fonte di tensioni e problemi.

Riservatezza e conservazione dei dati: il collegamento con la privacy

Infine, tutela e riservatezza non possono essere separate dal tema della conservazione della documentazione e del trattamento dei dati personali. Le informazioni raccolte attraverso il canale whistleblowing devono essere conservate solo per il tempo necessario e con modalità coerenti con le finalità perseguite, evitando accumuli inutili e accessi impropri.

Una gestione disordinata della documentazione non solo mina la fiducia nel sistema, ma espone l’azienda a ulteriori profili di rischio. Abbiamo affrontato questo tema anche sotto il profilo operativo nella trattazione dedicata alla conservazione della documentazione inerente alle segnalazioni.

5) Informare correttamente, formare le persone e rendere il sistema realmente utilizzabile

L’ultimo passaggio – spesso considerato secondario e invece decisivo – riguarda informazione e formazione. Un sistema di whistleblowing, anche tecnicamente perfetto, non funziona se le persone non sanno che esiste, come usarlo e quali tutele offre. È qui che molte aziende, pur avendo investito tempo e risorse, vedono il canale rimanere inutilizzato o, peggio, utilizzato in modo scorretto.

La normativa sul whistleblowing richiede espressamente che le informazioni sul canale e sulle modalità di segnalazione siano chiare, facilmente accessibili e comprensibili. Questo obbligo non ha una finalità meramente formale: serve a garantire che il segnalante sia messo nelle condizioni di effettuare una segnalazione consapevole, circostanziata e utile.

Informazione interna ed esterna: cosa deve sapere chi segnala

Dal punto di vista operativo, l’azienda deve comunicare in modo trasparente almeno:

  • chi può segnalare e in quali casi;

  • quali canali sono disponibili e come accedervi;

  • che tipo di informazioni inserire nella segnalazione;

  • quali tutele sono garantite al segnalante;

  • come viene gestita la segnalazione e quali sono i tempi indicativi.

Queste informazioni devono essere facilmente reperibili, ad esempio sul sito aziendale e sulla pagina della piattaforma whistleblowing, evitando linguaggi criptici o eccessivamente tecnici che scoraggiano l’utilizzo del canale. Su questo aspetto, abbiamo già evidenziato l’importanza di una comunicazione corretta e completa nell’approfondimento su le informazioni da inserire sul sito e sulla pagina della piattaforma.

Formazione: il vero investimento che riduce i rischi

Accanto all’informazione, la formazione rappresenta uno strumento fondamentale di prevenzione. Formare non significa solo “spiegare la legge”, ma aiutare le persone a comprendere quando e come utilizzare il canale, quali comportamenti rientrano nel whistleblowing e quali no, e quali sono le responsabilità connesse alla gestione delle segnalazioni.

La formazione è particolarmente rilevante per:

  • chi gestisce il canale e le segnalazioni;

  • i responsabili HR e i dirigenti;

  • i soggetti apicali, che devono dare un segnale chiaro di supporto al sistema.

Un’adeguata formazione riduce il rischio di segnalazioni improprie, migliora la qualità delle informazioni ricevute e rafforza la cultura della legalità e della trasparenza interna. In questo senso, il whistleblowing diventa uno strumento di governance aziendale, non un semplice adempimento normativo.

Rendere il sistema “vivente”, non statico

Un errore frequente è pensare che il whistleblowing sia un progetto “una tantum”. In realtà, il sistema deve essere monitorato nel tempo, aggiornato quando cambiano l’organizzazione o i processi interni, e verificato nella sua effettiva funzionalità.

Questo significa, ad esempio:

  • verificare periodicamente che il canale sia accessibile e funzionante;

  • aggiornare le informazioni pubblicate se cambiano procedure o soggetti competenti;

  • valutare se il sistema è effettivamente utilizzato e, in caso contrario, comprenderne le ragioni.

In alcuni casi, può essere utile anche affiancare momenti di comunicazione periodica o iniziative formative mirate, per mantenere alta l’attenzione sul tema e consolidare la fiducia nel sistema.

Whistleblowing come presidio di affidabilità aziendale

Quando correttamente informato e supportato, il whistleblowing non è percepito come una minaccia, ma come un segnale di maturità organizzativa. Le aziende che investono in informazione e formazione dimostrano di voler prevenire i problemi, intercettare le criticità interne e gestirle prima che diventino contenziosi o interventi esterni.

È in questa prospettiva che il whistleblowing diventa un elemento distintivo anche nei rapporti con partner, clienti e stakeholder, rafforzando l’immagine di un’organizzazione attenta alla compliance e alla responsabilità.

Whistleblowing per aziende: servizio completo “chiavi in mano”

Il whistleblowing non è un semplice adempimento formale, ma un sistema organizzativo delicato che, se implementato in modo scorretto, può esporre l’azienda a sanzioni ANAC, contenziosi interni e gravi criticità reputazionali.
Se invece viene progettato correttamente, diventa uno strumento concreto di tutela dell’impresa, prevenzione dei rischi e affidabilità organizzativa.

Lo Studio Legale Calvello offre alle aziende un servizio di whistleblowing “chiavi in mano”, pensato per garantire piena conformità normativa e massima serenità operativa:

  • forniamo una piattaforma di whistleblowing conforme ai requisiti ANAC

  • gestiamo esternamente le segnalazioni, assicurando indipendenza, riservatezza e correttezza procedurale

  • supportiamo l’azienda in tutte le fasi di implementazione, adeguamento e gestione continuativa del sistema

Scopri il servizio completo: https://www.studiolegalecalvello.it/whistleblowing-ecco-il-nostro-servizio-alle-aziende-chiavi-in-mano/

Se desideri una consulenza personalizzata sull’implementazione del whistleblowing, una verifica del sistema già adottato oppure un preventivo su misura per la tua azienda, puoi contattare direttamente lo Studio.

Richiedi ora una consulenza con lo Studio Legale Calvello https://www.studiolegalecalvello.it/consulenza-studio-legale/

Condividi l'articolo su:
Studio Legale Calvello