E’ oramai imminente l’obbligo, per una platea estesa di aziende e per gli enti della pubblica amministrazione, di dotarsi di un canale di segnalazione interno, questo perché finalmente, Il 10 marzo 2023, con il decreto legislativo n. 24 l’Italia ha recepito, seppur con un notevole ritardo e dopo mesi di confronti interni e richieste di pareri, la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, comunemente nota come “ direttiva whistleblowing”.
Il nuovo decreto conforma quindi la normativa nazionale a quella europea e fa confluire in un unico testo normativo la disciplina della tutela delle persone segnalanti e di tutti i soggetti ivi coinvolti.
Ma cosa comporta questa importante innovazione legislativa?
Innanzitutto, occorre dare alcune preliminari definizioni: Per whistleblowing si intende una situazione nella quale un individuo segnala attività illecite o fraudolente, potenzialmente dannose per la collettività, di cui è stato testimone nel contesto lavorativo pubblico o privato. Più specificamente, le violazioni oggetto di una segnalazione di whistleblowing, possono riguardare le disposizioni normative nazionali o dell’Unione europea e sono da ricondursi a comportamenti, atti o omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato.
Tale tema, tra l’altro, non è nuovo per il nostro ordinamento: di whistleblowing, infatti, si parlava già prima dell’entrata in vigore del nuovo decreto. Nel d.lgs. 20 marzo 2001, n. 165 per il settore pubblico, nel d. lgs. 8 giugno 2001, n. 231, nonché nella legge 30 novembre 2017, n. 179 per i soggetti del settore privato erano infatti già previste una serie di tutele per i soggetti che intendessero segnalare illeciti. Tuttavia, Il nuovo decreto, abrogando le precedenti disposizioni normative, giudicate spesso inadeguate, rafforza i principi di trasparenza, responsabilità e prevenzione della commissione di reati, potenzia le misure di protezione rivolte ai soggetti segnalanti, disciplinando il divieto di ritorsione e l’obbligo alla riservatezza.
Si comprende quindi l’importanza del puntuale rispetto della normativa con tutti relativi obblighi attinenti l’attivazione di un canale interno di segnalazioni sicuro, efficiente ed efficace nonché in grado di presentare tutte le garanzie richieste.
Questo canale può essere attivato dalle aziende attraverso diversi strumenti, oggi ci concentreremo sull’analizzare il perché utilizzare lo strumento dell’e-mail ordinaria o della posta elettronica certificata (PEC) non è considerato uno strumento né sicuro né tantomeno efficace e cercheremo di proporre, rivolgendoci a degli esperti del settore, un’alternativa che risponda i requisiti richiesti dalla normativa.
Le principali criticità di utilizzare questi strumenti come canale di segnalazione interno degli illeciti riguardano: la protezione e la sicurezza delle informazioni, dei dati trasmessi, così come la riservatezza dei soggetti coinvolti, ai sensi della normativa sul trattamento dei dati personali di riferimento (GDPR), ma anche elementi di contrasto con la normativa whistleblowing specifica, come sopra individuata.
Sebbene si possa pensare che utilizzare le e-mail o la PEC come canale di segnalazione interno, possa essere una soluzione legalmente efficace, in realtà si espone l’azienda a gravi rischi rispetto alla sicurezza delle informazioni, alla riservatezza dei soggetti coinvolti e a profili di compliance privacy.
La posta elettronica, infatti, non rappresenta una forma di comunicazione sicura. I dati contenuti nelle e-mail non sono criptati, le e-mail possono pertanto essere lette da un numero potenzialmente indistinto di soggetti; anche il loro contenuto, privo di qualsiasi vincolatività nell’immissione e nella gestione delle informazioni può essere modificato in maniera pressoché indiscriminata. Soggetti aziendali non autorizzati, quali ad esempio membri dell’IT, possono accedere facilmente a tutte le informazioni compromettendo gravemente l’integrità dei dati comunicati nonché la riservatezza dell’identità del whistleblower e di tutti gli altri soggetti coinvolti. Utilizzare le e-mail o la PEC come canale di segnalazione interno non permette poi di rispettare a pieno i principi di accountability e di privacy by design e by default previsti dalla normativa sulla privacy. Utilizzando questo canale infatti non si garantisce riservatezza dell’identità del segnalante, del contenuto della segnalazione e della relativa documentazione; non si riesce ad assicurare in maniera efficace che l’identità del segnalante non sia rivelata a persone diverse dagli individui specificatamente autorizzati, non si potranno sottrarre le segnalazioni alle richieste di accesso ai documenti amministrativi e di accesso civico (con particolare riferimento ai Titolari soggetti pubblici) per l’intrinseca natura dello strumento usato e non si potranno garantire tutti quegli efficaci presidi per tutte le altre persone eventualmente coinvolte/menzionate nella segnalazione. Inoltre, i documenti eventualmente inviati via e-mail relativi al caso segnalato non potranno essere archiviati in modo sicuro e idoneo a garantire adeguati livelli di sicurezza, esponendo l’azienda a facili, ma gravissimi data breach. Utilizzare l’e-mail o la PEC come canale di segnalazione interno espone infine anche a gravi rischi di violazione della riservatezza dei soggetti coinvolti, le e-mail o la PEC quasi sempre infatti permettono di indentificare direttamente o indirettamente il soggetto coinvolto, non garantiscono in alcun modo quel livello di anonimato indispensabile per far sì che lo strumento di whistleblowing non sia solo efficace, ma anche efficiente incentivandone l’utilizzo da parte dei propri dipendenti.
Alla luce di tutto ciò, come possono le aziende dotarsi di uno strumento di whistleblowing semplice, efficace ma soprattutto compliance rispetto alle normative di riferimento? Lo abbiamo chiesto ad Antonia Chiocchi, project manager in BE Innovazione .
Per molte imprese a partire dal 15 luglio 2023, scatterà l’obbligo di dotarsi di un canale di whistleblowing interno, attraverso cui gestire nel pieno rispetto del diritto alla riservatezza, le segnalazioni di illeciti pervenute presso l’azienda. Il tema è particolarmente attenzionato dalle imprese nell’ultimo periodo a causa dei termini di adeguamento stringenti previsti dal nuovo decreto n. 24/2023, a cui si aggiunge l’introduzione di un rilevante sistema sanzionatorio. La mancata istituzione di un canale di segnalazione o l’adozione di procedure non conformi, infatti, espongono le aziende al rischio di sanzioni che possono arrivare fino a 50.000 euro.
La soluzione migliore, che assicura all’impresa la piena compliance alla normativa in vigore, prevede l’adozione di un software di whistleblowing che possa, da un lato mettere al riparo l’azienda da possibili violazioni della normativa, e dall’altro semplificare il processo di gestione interno delle segnalazioni ricevute.
La piattaforma tecnologica da utilizzare in azienda per la gestione delle segnalazioni di whistleblowing deve rispettare rigorosi standard di sicurezza informatica ed implementare avanzate tecniche di crittografia per proteggere adeguatamente l’identità del whistleblower e il contenuto della segnalazione.
Un altro aspetto cruciale riguarda il controllo degli accessi. Considerando il valore delle informazioni gestite e l’obbligo dell’azienda o dell’ente pubblico di preservare la riservatezza dell’identità del segnalante e delle informazioni segnalate, è essenziale che il software di whistleblowing impieghi sistemi di strong authentication per evitare l’accesso alle informazioni a soggetti non autorizzati.
Nel caso specifico, poi, in cui l’accesso al canale di segnalazione sia mediato da dispositivi firewall o proxy, per assicurare l’anonimizzazione del segnalante al momento della connessione, è necessario utilizzare un protocollo di trasporto https e garantire l’accesso mediato dalla rete TOR.
Inoltre, è fondamentale adottare misure di prevenzione contro possibili attacchi denial-of-service che potrebbero causare interruzioni del sistema.
Il consiglio è di affidarsi a provider che possano assicurare il rispetto delle best practice sulla sicurezza dei dati, che possano al contempo guidare l’azienda verso la compliance in tema whistleblowing.
Vuoi saperne di più? Partecipa al nostro webinar dal titolo: Il whistleblowing in azienda alla luce del nuovo decreto n. 24/2023 Il canale di segnalazione interno e gli adempimenti privacy che si terrà il 30 maggio! Clicca qui sotto