Normative

Dlgs 24/2023, nuova norma sul whistleblowing: chi deve applicarla

La norma disciplina la protezione delle persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato, indicando alcune precise deroghe, ovvero casi in cui non si applica

Pubblicato il 12 Mag 2023

Il Decreto Legislativo 10 marzo 2023, n. 24, recante l’attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, disciplina la protezione delle persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato (indicando alcune precise deroghe, ovvero casi in cui non si applica), inteso come “le attività lavorative o professionali, presenti o passate, […] attraverso le quali, indipendentemente dalla natura di tali attività, una persona acquisisce informazioni sulle violazioni e nel cui ambito potrebbe rischiare di subire ritorsioni in caso di segnalazione o di divulgazione pubblica o di denuncia all’autorità giudiziaria o contabile” (Dlgs 24/2023, pubblicato nella GU n.63 del 15/03/2023).

Dlgs 24/2023: i criteri per i soggetti privati

Possiamo affermare che sia interesse di tutti quello di tutelare l’incolumità delle persone, anche senza tirare in ballo i principi costituzionali sui diritti alla salute e gli obblighi di fare in modo che le attività economiche non ledano le persone. Tuttavia, a una prima lettura, potrebbe sembrare che per i soggetti privati ci siano dei forti criteri che rendono obbligatorio adottare un sistema di tutela dei segnalanti solo in specifiche condizioni operative, in funzione della numerosità di lavoratori, secondo il seguente schema:

WHITEPAPER
Esplora i misteri dei File Log: scopri le soluzioni e gli strumenti per analizzarli al meglio!
Cybersecurity
Network Security
  • hanno impiegato, nell’ultimo anno, la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato;
  • rientrano nell’ambito di applicazione degli atti dell’unione di cui alle parti I.B e II dell’allegato al Dlgs 24/2023, anche se nell’ultimo anno non hanno raggiunto la media di 50 lavoratori subordinati;
  • sono diversi dai soggetti di cui punto precedente, rientrano nell’ambito di applicazione del Dlgs 231/2001, e adottano modelli di organizzazione e gestione ivi previsti, anche se nell’ultimo anno non hanno raggiunto la media di 50 lavoratori.

In pratica, semplificando anche troppo, sembrerebbe che si sia obbligati a tutelare i segnalanti solo se si hanno più di 50 lavoratori, oppure si rientra nell’ambito di applicazione di norme particolari di stampo nazionale o europeo, oppure si è adottato un MOG (Modello di Organizzazione, Gestione e Controllo).

Verrebbe da pensare che molte delle aziende e degli enti privati operativi nel tessuto economico e sociale italiano non ricadano in queste tre grandi categorie. Già non è così frequente imbattersi in realtà con più di 50 lavoratori subordinati (sono circa 11 milioni su un totale di circa 17, secondo l’ISTAT), figuriamoci trovare quelle che hanno adottato il MOG 231!

Ma c’è un “ma”… particolarmente insidioso e per nulla irrilevante.

Il TUSL, il Dlgs 81/2008, tra le mille caratteristiche ne ha due molto particolari:

  • si applica a tutti i fattori di rischio (quindi anche quelli legati alle ritorsioni, che possono causare danni sia sul piano fisico che su quello psicologico) e a tutti i settori di attività;
  • rende obbligatoria, (per tutti, vista la premessa del punto precedente) almeno per quanto riguarda i reati collegati alla sicurezza sul lavoro (cioè l’omicidio colposo e le lesioni personali colpose), l’adozione del modello di organizzazione e di gestione idoneo ad avere efficacia esimente della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica di cui al DLgs 231/2001.

Il che significa, sintetizzando il concetto, che tutti dovrebbero dotarsi di un MOG 231; ovvero, sintetizzando il concetto, che tutti dovrebbero dotarsi di un sistema di tutela dei segnalanti. Il problema è che, se per i MOG 231 (almeno per la sicurezza sul lavoro) sono già disponibili da tempo schemi semplificati, oltre a schemi derivanti da norme volontarie di portata internazionale (citerei per completezza d’informazione le Linee guida UNI INAIL del 2001, o la ISO 45001), lo stesso non si può dire per i sistemi di segnalazione “sicuri”, vista anche l’ovvia e intrinseca relazione con il piano della protezione dei dati personali, in ragione del fatto che, oltre a trattarsi informazioni relative a persone fisiche, è certamente innegabile che siano o possano essere anche relative a condanne penali o reati.

Excursus: il Dlgs 231/2001

Nel 2001 il panorama normativo italiano conosceva la nuova disciplina della responsabilità amministrativa degli enti non-pubblici aventi personalità giuridica, destinata a diventare, a giusto titolo, una delle principali colonne del principio di responsabilità che ormai permea molti atti normativi nazionali ed europei, come la norma in materia di antiriciclaggio e contrasto al finanziamento del terrorismo (Dlgs 231/2007), il testo unico in materia di salute e sicurezza sul lavoro (TUSL, Dlgs 81/2008) o regolamento generale sulla protezione dei dati personali (GDPR/RGPD, reg. UE 2016/679).

La principale caratteristica del Dlgs 231/2001 era, ed è tuttora, la possibilità di offrire una esimente, cioè, una carta da giocare, in sede di giudizio dinnanzi alle autorità competenti, per tutelare l’ente e salvaguardarlo da sanzioni amministrative o interdittive, lasciando inalterata la responsabilità penale delle persone fisiche (soggetti apicali dell’ente o che da questi dipende dono gerarchicamente) che materialmente e fattualmente commettono il fatto illecito che, almeno in prima apparenza, sembra essere suscettibile o in grado di portare un vantaggio o concretizzare un interesse dell’ente stesso. In pratica, se ci si organizza adeguatamente, con sistemi di controllo e prevenzione interni che risultano non solo efficaci, ma anche attuati e mantenuti nel tempo, risulta decisamente più agevole dimostrare l’estraneità dei fatti da parte dell’ente, ossia scardinare il nesso di causalità tra la volontà dell’ente e il fatto illecito accaduto o tentato. Il che si traduce nella “completa innocenza” della persona giuridica.

I meccanismi di tutela dell’identità del segnalante

Negli anni, sia le norme rivolte esclusivamente alla pubblica amministrazione, sia le modifiche apportate al Dlgs 231, hanno posto l’accento su un aspetto di primo piano: la sola condizione di essere una persona che segnala, è una situazione pericolosa. Il motivo dovrebbe essere ovvio: segnalare o denunciare comportamenti illeciti o sospetti tali, espone il soggetto al rischio di ritorsioni che possono giungere anche ad avere effetti mortali, soprattutto in alcuni àmbiti e in relazione a determinati reati.

Proprio per limitare questa eventualità, il legislatore ha fatto in modo che gli enti della PA e i privati adottassero, nell’ambito dei propri modelli organizzativi e di gestione, meccanismi di tutela dell’identità del segnalante (almeno). Esempi validi ne sono gli obblighi in capo ai c.d. “soggetti obbligati” dalla normativa in materia di antiriciclaggio e contrasto al finanziamento del terrorismo, che sono chiamati a tutelare la segretezza dell’identità di chi segnala le operazioni sospette, sia sul piano interno, ai propri superiori gerarchici, sia su quello esterno, attraverso i canali appositamente creati dalla UIF o dall’Ordine di appartenenza (come nel caso dei dottori commercialisti, per esempio); a questi casi esemplificativi, si possono aggiungere le disposizioni, già contenute nel Dlgs 231/2001, su questo specifico argomento. Tant’è vero che, ai sensi di quest’ultima norma, “l’adozione di misure discriminatorie nei confronti dei soggetti che effettuano le segnalazioni può essere denunciata all’Ispettorato nazionale del lavoro, per i provvedimenti di propria competenza, oltre che dal segnalante, anche dall’organizzazione sindacale indicata dal medesimo” e che, sempre secondo la stessa, “il licenziamento ritorsivo o discriminatorio del soggetto segnalante è nullo, così come sono altresì nulli il mutamento di mansioni ai sensi dell’articolo 2103 del codice civile, nonché qualsiasi altra misura ritorsiva o discriminatoria adottata nei confronti del segnalante”.

Come spesso accade, però, dove non arriva la capacità di essere responsabili interviene la Legge, che senza fare distinzione alcuna introduce obblighi e criteri che devono essere conosciuti da chiunque, quantomeno per escludere a priori di ricadere nell’ambito di applicazione oggettivo o soggettivo della norma di specie.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti trattati

Approfondimenti

R
risk management
S
sicurezza

Articolo 1 di 5