Attuazione della disciplina whistleblowing nella Pubblica Amministrazione: il primo bilancio e le sfide dopo il D.Lgs. 24/2023

Il 2023 ha rappresentato un anno di svolta per l’evoluzione della disciplina del whistleblowing in Italia, con l’introduzione di importanti novità normative per il settore pubblico e privato. Questo processo è culminato nell’approvazione del Decreto Legislativo n. 24 del 10 marzo 2023, con la prima scadenza normativa per le PA e le aziende fissata al 15 luglio 2023.

Cronologia delle principali tappe di attuazione del Decreto Whistleblowing:

• 30 marzo 2023 – Entrata in vigore del D.Lgs. 24/2023
• 12 luglio 2023 – Linee guida (Delibera n. 311/2023) e Regolamento (Delibera n. 301/2023) ANAC
• 15 luglio 2023 – Obbligo di istituire un canale informatico di segnalazione per le organizzazioni del settore pubblico e per le aziende con 250+ dipendenti

L’entrata in vigore del Decreto ha messo le organizzazioni di fronte al compito di adeguare i propri sistemi e procedure per garantire la piena conformità al rinnovato quadro normativo. Per affrontare queste sfide e condividere le migliori pratiche, DigitalPA ha organizzato un webinar gratuito in collaborazione con Studio Previti Associazione Professionale e con la partecipazione di Sogin, dal titolo “Whistleblowing Revolution: adempimenti e best practices a un anno dal Decreto 24/2023″, tenutosi lo scorso 9 luglio.

Approfondiamo i temi più rilevanti emersi dal webinar per il settore pubblico italiano, esaminando le principali sfide nell’implementazione dei sistemi di whistleblowing, le buone pratiche di gestione delle segnalazioni, e le soluzioni tecnologiche disponibili per garantire la conformità normativa.

Iscriviti per guardare la registrazione del webinar

Il Decreto Whistleblowing ha ampliato la platea di soggetti che devono attuare la disciplina non soltanto nel settore privato, ma anche nel pubblico.

Secondo l’art. 2, co. 1, lettera (p, nel novero dei soggetti del settore pubblico rientrano:

• Amministrazioni pubbliche di cui all’articolo 1, comma 2, del D.Lgs. n. 165/2001
• Enti pubblici economici
• Autorità amministrative indipendenti di garanzia, vigilanza e regolazione
• Organismi di diritto pubblico di cui all’articolo 3, comma 1, lettera d), del Decreto Legislativo 18 aprile 2016, n. 50
• Concessionari di pubblico servizio
• Società a controllo pubblico e società in house

Il Decreto non ha escluso dagli adempimenti i Comuni sotto i 10.000 abitanti, differenziandosi da altre attuazioni nazionali della Direttiva europea. Di conseguenza, l’obbligo di garantire la tutela ai whistleblower vale indistintamente per tutte le organizzazioni che appartengono al settore pubblico, a prescindere dal numero di dipendenti o dall’adozione del modello 231.

Nel raggio d’azione del Decreto sono ora inclusi non soltanto gli illeciti amministrativi e civili, ma anche quelli penali e contabili, oltre ai reati presupposto 231 e le violazioni che rientrano nell’ambito di applicazione degli atti dell’Unione europea in relazione a un nutrito elenco di settori sensibili, quali ad esempio gli appalti pubblici, i servizi, prodotti e mercati finanziari e la prevenzione del riciclaggio e del finanziamento del terrorismo, la sicurezza e la conformità dei prodotti, la sicurezza dei trasporti e la tutela dell’ambiente.

Il fulcro della normativa sul whistleblowing risiede nel tutelare la riservatezza dell’identità del segnalante e delle persone connesse alla segnalazione, con l’obiettivo di evitare qualsiasi forma di ritorsione. In altre parole, soltanto le persone autorizzate e opportunamente formate alla gestione delle segnalazioni devono poter accedere, se necessario, all’identità del whistleblower. Nel caso di richiesta di un incontro faccia a faccia, dove non è possibile occultare questa informazione, è il segnalante stesso che dà il suo benestare attraverso una richiesta specifica.

Questo significa che, almeno nelle fasi iniziali, il canale di segnalazione deve consentire l’anonimato dell’informatore: se nel corso dell’istruttoria si renderà necessario appurare l’autore della segnalazione, il responsabile procederà all’identificazione.

Le modalità di conservazione delle segnalazioni, inclusa la documentazione allegata, e il trattamento dei dati personali che contengono devono essere gestiti in conformità alla disciplina sulla data protection, ovvero il GDPR.

Il Decreto Whistleblowing rimanda esplicitamente al GDPR, con richiesta di adempimenti ulteriori che riguardano sia chi gestisce materialmente le segnalazioni che gli eventuali fornitori esterni,.

Tra gli adempimenti più importanti rientra l’obbligo di redigere una valutazione d’impatto della protezione dei dati (c.d. DPIA, art. 35 del GDPR), che aiuterà l’Ente o Società a individuare quali sono i canali più adatti in base alla realtà di riferimento, al tipo di dati trattati e alle modalità di gestione: non esiste una soluzione che vada bene per tutti, ma occorre valutare caso per caso.

Dato l’obbligo per gli enti del settore pubblico di predisporre un canale di segnalazione interno sicuro e riservato, l’art. 4, co. 1 del Decreto elenca le tipologie di canali attraverso i quali è possibile inoltrare una segnalazione in forma scritta o in forma orale.

Per essere conforme alla normativa, il canale di segnalazione deve infatti possedere i requisiti di riservatezza e di tutela dei dati personali descritti in precedenza, attraverso i necessari accorgimenti tecnico-informatici: soltanto un software dotato di sistemi di crittografia e segregato dagli altri applicativi in uso all’Organizzazione può soddisfare i requisiti normativi, mantenendo riservata l’identità degli informatori.

Un esempio significativo di best practice nell’adozione di soluzioni all’avanguardia per il whistleblowing è rappresentato da Sogin – Società Gestione Impianti Nucleari, una delle più importanti società pubbliche italiane. Il Dott. Alberto Colarusso, RPCT e Responsabile della Direzione di supporto al RPCT di Sogin, ha illustrato il percorso innovativo intrapreso dalla società, che include un protocollo di vigilanza collaborativa stipulato con ANAC nel 2023.

Questo protocollo, volto a rafforzare le strategie della società in materia di trasparenza e anticorruzione, ha portato Sogin a scegliere soluzioni tecnologiche all’avanguardia. In particolare, la società ha adottato la piattaforma Legality Whistleblowing di DigitalPA per la gestione delle segnalazioni, dimostrando così la fiducia riposta in una soluzione di riferimento nel settore, pienamente conforme alle novità introdotte dal D.Lgs. 24/2023.

Il protocollo con ANAC in materia di whistleblowing ha comportato:

• L’apertura di un tavolo tecnico sul sistema di segnalazione whistleblowing
• L’implementazione della piattaforma Legality Whistleblowing, garantendo massima sicurezza e conformità normativa
• La segregazione delle segnalazioni whistleblowing, in carico al RPCT, dalle segnalazioni 231, gestite dall’OdV
• L’aggiornamento del regolamento che disciplina le modalità di gestione delle segnalazioni, ora parte integrante del PTPCT 2024-2026

Il Dott. Colarusso ha inoltre evidenziato l’importanza della formazione per sensibilizzare la popolazione aziendale, in particolare i dipartimenti maggiormente esposti ai rischi corruttivi. L’approccio a 360 gradi, che combina tecnologia avanzata e formazione del personale, pone Sogin come un modello di riferimento per le organizzazioni del settore pubblico nell’adozione di sistemi di whistleblowing efficaci e conformi.

Adegua la tua PA agli obblighi di legge in modo rapido ed efficace con il software Legality Whistleblowing

Esplora i piani per Enti e Aziende