left-caret

Client Alert

Le Nuove Norme Sulle Segnalazioni Di Illeciti Estendono Il Whistleblowing Al Settore Privato

November 30, 2017

By Bruno Cova, Francesca Petronio & Marilena Hyeraci

I. La riforma del whistleblowing nel settore pubblico e l’introduzione del whistleblowing nel settore privato

Il 15 novembre scorso, dopo una lunga gestazione, il Parlamento italiano ha approvato il disegno di legge C 3365-B in materia di “tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato” (la “Legge sulle Segnalazioni”), attualmente in attesa di promulgazione da parte del Presidente della Repubblica e di successiva pubblicazione in Gazzetta Ufficiale.

La riforma si inserisce nel panorama normativo italiano che fino ad oggi disciplinava in modo frammentato la materia delle segnalazioni, limitandola alla pubblica amministrazione e nel settore privato a settori regolati (quali quello bancario e finanziario) o specifiche attività (quale la salute e sicurezza sul lavoro). Con la Legge sulle Segnalazioni viene completato il quadro normativo sul whistleblowing nel settore pubblico e viene introdotto una disciplina di carattere generale per il settore privato, per il quale l’introduzione di canali di segnalazione era obbligatoria solo per le imprese operanti nel settore bancario[1] e finanziario,[2] ed in tema di salute e sicurezza sui luoghi di lavoro,[3] mentre era raccomandata in via di autodisciplina per le maggiori società quotate.[4]

La riforma allinea la normativa italiana a quella introdotta in altri paesi, sia pure con alcune particolarità distintive.

Il testo appena approvato rappresenta un importante punto di svolta per il sistema italiano, creando un quadro omogeneo di tutela delle segnalazioni ed estendendo la normativa in via generale al settore privato, ponendo le premesse per un’accelerazione del percorso culturale che porti a vedere le segnalazioni come un importante elemento di rafforzamento dei sistemi di controllo interno nell’interesse generale, anziché come una forma moralmente riprovevole di denuncia anonima.

La riforma lascia tuttavia alcuni ambiti interpretativi aperti e scoperti alcuni contesti applicativi, uno per tutti il bilanciamento degli interessi contrapposti delle parti coinvolte, quali l’azienda e l’integrità da un lato e dall’altro il segnalato e il diritto all’esercizio delle garanzie in materia di tutela dei dati personali, anche alla luce di quanto previsto dal Regolamento UE 2016/679 (“GDPR”).[5] Detti aspetti sollecitano linee guida e provvedimenti di indirizzo da parte delle Autorità competenti.

II. Le novità introdotte con la Legge sulle Segnalazioni

A. L’introduzione generale delle segnalazioni nel settore privato

L’elemento di maggiore novità della Legge sulle Segnalazioni è quello dell’estensione a tutto il settore privato (e quindi non solo a quei soggetti che operano nel settore bancario e finanziario) di norme che – di fatto – obbligano all’introduzione di sistemi di segnalazione che tutelino il whistleblower.

Infatti la Legge sulle Segnalazioni disciplina la “tutela del dipendente o collaboratore che segnala illeciti nel settore privato[6] ed introduce una modifica di rilievo nel D. Lgs. n. 231/2001 (il “Decreto 231”)[7] nell’ambito dei modelli di organizzazione e gestione.[8]

La tecnica utilizzata dalla Legge sulle Segnalazioni è quella di disporre che i modelli di organizzazione e gestione di cui al Decreto 231, prevedano uno o più canali che consentano ai soggetti apicali o sottoposti[9] di presentare, “a tutela dell’integrità dell’ente”, “segnalazioni circostanziate di condotte illecite rilevanti” ai sensi del Decreto 231 e “fondate su elementi di fatto precisi e concordanti”, o “di violazioni del modello di organizzazione e gestione dell’ente”, di cui siano venuti a conoscenza in ragione delle funzioni svolte.[10]

La Legge sulle Segnalazioni disciplina altresì un sistema di tutele a favore del segnalante, tra cui l’espresso requisito che i canali delle segnalazioni siano posti in essere in modo tale da garantire la riservatezza dell’identità del segnalante[11] e che prevedano almeno “un canale alternativo di segnalazione idoneo a garantire, con modalità informatiche, la riservatezza del segnalante.”[12]

Nell’ambito del sistema disciplinare di cui al Decreto 231, la nuova norma richiede che il modello organizzativo contempli sanzioni anche nei confronti di “chi viola le misure di tutela del segnalante”, nonché di “chi effettua con dolo o colpa grave segnalazioni che si rivelano infondate.”[13]

A garanzia del segnalante, il modello organizzativo deve altresì prevedere il divieto di atti di ritorsione o discriminatori nei suoi confronti per motivi collegati, direttamente o indirettamente, alla segnalazione.[14] L’adozione di misure discriminatorie nei confronti dei soggetti che effettuano le segnalazioni può essere denunciata all’Ispettorato Nazionale del Lavoro, per i provvedimenti di propria competenza, sia dal segnalante sia dall’organizzazione sindacale indicata dal medesimo.[15]

Inoltre, la Legge sulle Segnalazioni introduce il regime della nullità del licenziamento ritorsivo o discriminatorio nei confronti del segnalante, cosi come del mutamento di mansioni, nonché di qualsiasi altra misura ritorsiva o discriminatoria adottata nei suoi confronti.[16] Nell’ambito di controversie legate a tali provvedimenti, è prevista l’inversione dell’onere della prova, nel senso che sarà onere del datore di lavoro dimostrare che tali misure sono fondate su ragioni estranee alla segnalazione stessa.[17]

B. La riforma delle segnalazioni nel settore pubblico

La Legge sulle Segnalazioni introduce importanti novità anche nell’ambito della disciplina delle segnalazioni  già prevista per il settore pubblico.[18]

Ai sensi della nuova disciplina, “iI pubblico dipendente che, nell’interesse dell’integrità della pubblica amministrazione, segnala al responsabile della prevenzione della corruzione e della trasparenza[19] ovvero all’Autorità Nazionale Anticorruzione [ndr. “ANAC”], o denuncia all’Autorità giudiziaria ordinaria o a quella contabile, condotte illecite di cui è venuto a conoscenza in ragione del proprio rapporto di lavoro non può essere sanzionato, demansionato, licenziato, trasferito, o sottoposto ad altra misura organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro determinata dalla segnalazione.[20]

La riforma chiarisce altresì l’ambito di applicazione della disciplina, che si applica al “dipendente delle amministrazioni pubbliche”, al “dipendente di un ente pubblico economico”, al “dipendente di un ente di diritto privato sottoposto a controllo pubblico,”[21] nonché ai “lavoratori e ai collaboratori delle imprese fornitrici di beni o servizi e che realizzano opere in favore dell’amministrazione pubblica.[22]

La nuova norma prevede delle conseguenze nel caso di adozione di misure  ritorsive nei confronti del segnalante, tra cui la comunicazione all’ANAC, al Dipartimento della funzione pubblica della Presidenza del Consiglio dei Ministri o agli altri organismi di garanzia o di disciplina per le attività ed i provvedimenti di competenza.[23]

Oltre a confermare quanto già previsto nella precedente disciplina e cioè che l’identità del segnalante non può essere rivelata, la Legge sulle Segnalazioni chiarisce i limiti temporali ed ambiti applicativi di detta previsione nell’ambito del procedimento penale, del procedimento dinanzi alla Corte dei Conti, nonché nell’ambito del procedimento disciplinare.[24]

Così come nel settore privato, anche nell’ambito delle segnalazioni nel settore pubblico la nuova norma prevede il divieto di misure discriminatorie o ritorsive nei confronti del segnalante, che sono nulle, nonché l’inversione dell’onere della prova, nel senso che è a carico dell’amministrazione pubblica o dell’ente che le misure discriminatorie o ritorsive, adottate nei confronti del segnalante, sono motivate da ragioni estranee alla segnalazione stessa.[25]

La riforma introduce delle sanzioni amministrative pecuniarie nel caso di adozione di misure discriminatorie nei confronti del segnalante,[26] dell’assenza di procedure per l’inoltro e la gestione delle segnalazioni o dell’adozione di procedure non conformi alla normativa[27] e nel caso di mancato svolgimento da parte del responsabile delle attività di verifica e analisi delle segnalazioni ricevute.[28]

La norma richiede che l’ANAC, sentito il Garante per la protezione dei dati personali, adotti apposite linee guida relative alle procedure per la presentazione e la gestione delle segnalazioni, che prevedano “l’utilizzo di modalità anche informatiche e promuovono il ricorso a strumenti di crittografia per garantire la riservatezza dell’identità del segnalante e per il contenuto delle segnalazioni e della relativa documentazione.”[29]

Infine, nell’ambito del bilanciamento di interessi contrapposti, il legislatore ha espressamente previsto[30] che la segnalazione sia sottratta all’accesso previsto dalla disciplina in materia di trasparenza dei procedimenti amministrativi.[31]

C. Le modifiche della disciplina dei segreti

La Legge sulle Segnalazioni contiene una deroga espressa alle normative in tema di obbligo di segreto d’ufficio,[32] aziendale[33] professionale,[34] scientifico ed industriale.[35]

Il legislatore ha previsto infatti che nelle ipotesi di segnalazione o denuncia effettuate nell’ambito di quanto ivi previsto per il settore pubblico[36] e per il settore privato[37] il perseguimento dell’interesse all’integrità delle amministrazioni, pubbliche e private, nonché alla prevenzione e alla repressione delle malversazioni, integri giusta causa di rivelazione di notizie coperte dall’obbligo di segreto d’ufficio, aziendale, professionale, scientifico ed industriale.[38]

La deroga di cui sopra non si applica nel caso in cui l’obbligo di segreto professionale gravi su chi sia venuto a conoscenza della notizia in ragione di un rapporto di consulenza professionale o di assistenza con l’ente, l’impresa o la persona fisica interessata.[39]

Il legislatore infine chiarisce che quando il contenuto della segnalazione sia oggetto di segreto aziendale, professionale o d’ufficio, costituisce comunque violazione del relativo obbligo di segreto, la rivelazione che sia avvenuta “con modalità eccedenti rispetto alle finalità dell’eliminazione dell’illecito” e, in particolare, la rivelazione al di fuori del canale di comunicazione specificamente predisposto a tal fine.[40]

III. Suggerimenti pratici per il settore privato

Alla luce della nuova norma, le aziende dovranno aggiornare ed integrare i modelli organizzativi adottati ai sensi del Decreto 231, ove già esistenti, e disegnare delle procedure sulla gestione delle segnalazioni in linea con il dettato legislativo, nonché prevedere dei programmi di formazione sulle segnalazioni, definendone contenuti, limiti e modalità.

Particolare attenzione dovrà essere posta dalle imprese italiane che fanno parte di gruppi internazionali per assicurare che le spesso già esistenti procedure di gruppo per le segnalazioni rispettino i requisiti della Legge sulle Segnalazioni. Di converso, le capogruppo italiane di gruppi con società estere dovranno verificare che eventuali sistemi di segnalazione delle proprie controllate straniere siano tali – ove le circostanze di fatto e il profilo di rischio lo richiedano – da poter essere coerenti con i sistemi di segnalazione della capogruppo.

Le società che operano nei settori in cui sia già presente l’obbligo di introduzione di un sistema di segnalazione dovranno verificare che i meccanismi già adottati rispondano ai requisiti dettati dalla Legge sulle Segnalazioni, e siano pertanto idonei a soddisfare i requisiti di efficacia del modello organizzativo di cui al riformato Decreto 231.

La scelta del legislatore di promuovere l’introduzione dei sistemi di segnalazione nell’ambito del Decreto 231 (e quindi confinandoli alla prevenzione dei c.d. reati presupposto elencati nel Decreto 231) a nostro avviso non esime il Consiglio di Amministrazione di ciascuna società dal valutare se – in base al profilo di rischio della propria azienda – non sia opportuna l’introduzione di sistemi di segnalazione per la prevenzione di altri illeciti di natura penale o amministrativa, quali ad esempio violazioni delle norme anti-mafia, di sanzioni internazionali, o della normativa a tutela della concorrenza.

Il sistema delle segnalazioni che verrà introdotto in ottemperanza alla Legge sulle Segnalazioni non potrà poi non tener conto delle garanzie poste a tutela dei dati personali da parte della normativa applicabile, incluso il Codice della Privacy italiano[41] ed il  GDPR che si applicherà a decorrere dal 25 maggio 2018.[42]

Le aziende dovranno valutare ad esempio se il trattamento dei dati personali che deriverà dalla gestione delle segnalazioni sarà tale da richiedere di essere inserito nell’eventuale registro delle attività dei trattamenti di cui al GDPR,[43] o ancora se il sistema delle segnalazioni sarà da includere nell’ambito della c.d. valutazione di impatto sulla protezione dei dati e valutazione del rischio connesso previsti dal GDPR.[44]

L’introduzione di un sistema strutturato di segnalazioni non potrà infine prescindere da valutazioni specifiche in termini di adozione di misure di sicurezza adeguate a garanzia dei dati personali eventualmente trattati tramite le segnalazioni e pertanto su dove ad esempio collocare server e fascicoli per archiviare le segnalazioni, e le relative modalità e tempistiche.

Nel caso di imprese italiane (ed europee) che fanno parte di gruppi internazionali dette valutazioni andranno condotte in uno con l’adozione di regole in conformità al GDPR[45] che consentano l’eventuale trasferimento dei dati personali extra UE senza ledere le garanzie richieste in materia di dati personali.

IV. Considerazioni conclusive

La Legge sulle Segnalazioni rappresenta un importante passo in avanti nel percorso dell’Italia verso la creazione di un regime omogeneo ed uniforme, superando il quadro frammentato finora esistente in materia di segnalazioni delle violazioni. Ciò in similitudine con quanto da tempo ampiamente in uso in vari paesi, e in particolare nei sistemi di common law come gli USA.[46]

La nuova disciplina del whistleblowing scioglie molti dubbi interpretativi ed applicativi in materia di segnalazioni, quali l’ambito di applicazione della normativa, l’interesse tutelato e le finalità perseguite, introduce chiari strumenti di tutela a favore del segnalante e sanzioni in caso di violazioni.[47]
Nel richiedere che i modelli organizzativi di cui al Decreto 231 prevedano un sistema di segnalazione, il testo in commento denota la volontà del legislatore di allinearsi agli standard internazionali in materia (e con quanto già previsto in sede di autodisciplina per le maggiori società quotate), che considerano la presenza di canali di segnalazione strutturati fra i requisiti di un sistema di controllo interno e gestione dei rischi efficace.[48]

La riforma lascia tuttavia aperte alcune problematiche in sede applicativa, quali ad esempio la definizione dei confini tra la segnalazione lecita e la violazione del segreto e l’interpretazione che verrà data al criterio di finalità e non eccedenza, nonché le implicazioni connesse alle tutela dei dati personali anche ai sensi del GDPR, ad esempio in relazione al diritto di accesso,[49] alle denunce anonime,[50] alla tenuta ed archiviazione delle informazioni raccolte in sede di segnalazione e la garanzia della sicurezza dei dati personali nelle stesse contenute,[51] tematiche connesse all’eventuale gestione delle segnalazioni in Paese diverso rispetto a quello dove sono state raccolte, l’eventuale trasferimento dei dati extra UE.[52]

Inoltre la nuova normativa è priva di un meccanismo premiante o di tutela economica per il segnalante, un elemento che è stato alla base del successo di analoghe normative in altre giurisdizioni. Una mancanza che secondo alcuni commentatori è censurabile e depotenzia l’efficacia delle norme appena introdotte.

Del resto, nel settore pubblico l’incremento di segnalazioni atteso a valle della introduzione dell’54 bis del D.lgs. n. 165/2001 e della L. n. 114/2014 (che ha attribuito all’ANAC la competenza per ricevere le segnalazioni) non si è verificato. Basti pensare che la recente relazione dell’ANAC sul monitoraggio dell’applicazione del sistema delle segnalazioni,[53] indica in 731 le segnalazioni ad essa pervenute da agosto 2014 a maggio 2017.

Così pure il sistema di segnalazioni istituito in seno all’Agenzia delle Entrate ha consentito di fare pervenire dal 2015 ad oggi 223 segnalazioni.[54]

La legge sul whistleblowing impegna le aziende e la pubblica amministrazione a porre in essere dei sistemi di controllo efficaci e dovrebbe contribuire ad un miglioramento della credibilità ed affidabilità dell’Italia e delle sue aziende nel contesto internazionale della lotta agli illeciti.


[1]   Artt. 52 bis e 52 ter, d. lgs. n. 385/1993 (Testo Unico Bancario); Circolare della Banca d’Italia n. 285 del 2013 ed aggiornamento del 2015.

[2]   Artt. 8, 8 bis e 8 ter, d. lgs. n. 58/1998 (Testo Unico sugli Intermediari Finanziari).

[3]   Artt. 20 e 59, d.lgs. 81/2008 (Testo Unico in materia di sicurezza sui luoghi di lavoro).

[4]   Art. 7, Codice di Autodisciplina (Comitato per la Corporate Governance).

[5]   Disponibile sul sito http://eur-lex.europa.eu.

[6]   Art. 2, Legge sulle Segnalazioni.

[7]  Il Decreto 231 disciplina la responsabilità degli enti e prevede l’imputabilità all’ente dei reati tra quelli previsti nel Decreto 231, commessi nell’interesse o a vantaggio dell’ente (i) da persone che rivestono funzioni di rappresentanza, di amministrazione, di direzione o di gestione e controllo, anche di fatto, ovvero (ii) dai soggetti sottoposti alla direzione o alla vigilanza di uno dei soggetti di cui al punto (i). A determinate condizioni, il Decreto 231 attribuisce ai modelli di organizzazione e gestione efficacia esimente o di mitigazione delle conseguenze previste dal Decreto 231.

[8]  Art. 6, Decreto 231.

[9]   Art 5, Decreto 231.

[10]   Art. 2, Legge sulle Segnalazioni.

[11]   Art. 2, Legge sulle Segnalazioni.

[12]  Art. 2, Legge sulle Segnalazioni.

[13]  Art. 2, Legge sulle Segnalazioni.

[14]  Art. 2, Legge sulle Segnalazioni.

[15]  Art 2, co. 1, 2 ter, Legge sulle Segnalazioni.

[16]  Art 2, co. 1, 2 quarter,  Legge sulle Segnalazioni.

[17]  Art 2, co. 1, 2 quater, Legge sulle Segnalazioni.

[18] Art. 54 bis, d.lgs. 165/2001.

[19]  Art. 1, co. 7, l. n. 190/2012.

[20]  Art. 1, art. 54 bis, co.1, Legge sulle Segnalazioni.

[21]  Ai sensi dell’art. 2359 c.c..

[22]  Art. 1, art. 54 bis, co. 2, Legge sulle Segnalazioni.

[23] Art. 1, art. 54 bis, co. 1, Legge sulle Segnalazioni.

[24] Art. 1, 54 bis, co. 3, Legge sulle Segnalazioni.

[25] Art. 1, art. 54 bis, co. 7, Legge sulle Segnalazioni.

[26] Da € 10.000 ad € 50.000, art. 1, art. 54 bis, co. 6, Legge sulle Segnalazioni.

[27] Da € 10.000 ad €  50.000, art. 1, art. 54 bis, co. 6, Legge sulle Segnalazioni.

[28] Da € 10.000 ad € 50.000, art 1, art. 54 bis, co. 6, Legge sulle Segnalazioni.

[29] Art. 1, art 54 bis, co. 5, Legge sulle Segnalazioni.

[30] Art. 1, art 54 bis, co. 4, Legge sulle Segnalazioni.

[31] Artt. 22 e ss. l. n. 241/1990.

[32] Art. 326 c.p..

[33] Art. 2105 c.c..

[34]         Art. 622 c.p..

[35] Art. 623 c.p..

[36]         Art. 54 bis d.lgs. 165/2001, come riformato.


[37]         Art. 6, Decreto 231, come riformato.

[38]        Art. 3, co. 1, Legge sulle Segnalazioni.

[39]         Art. 3, co. 2, Legge sulle Segnalazioni.

[40]   Art. 3, co. 3, Legge sulle Segnalazioni.

[41]  D. lgs. n. 196/2003.

[42]  Art. 99, GDPR.

[43]  Art. 30, GDPR.

[44]  Artt. 35 e 36, GDPR.

[45]  Artt. 44 – 50, GDPR.

[46]  Serbanes Oxley 2002 e regolamenti applicativi.

[47] Cfr. la Segnalazione al Parlamento e al Governo da parte del Garante per la protezione dei dati personali italiano del 10 dicembre 2009, doc. web n. 1693019.

[48] Ex multis, The Practical Guide on Anti-Corruption Ethics and Compliance Programme for Business, United Nations Office for Drugs and Crime  2013 (p. 29); The Rules on Combating Corruption, International Chamber of Commerce 2011 (p. 12); Summary of Integrity Compliance Guidelines, World Bank Group 2010 (p. 4).

[49]  Art. 15, GDPR.

[50]   Cfr. ad esempio, Legal opinion n. 117, Art. 29 EU Working Party.

[51]   Art. 32, GDPR.

[52]   Capo V, GDPR.

[53]   Rapporto sul monitoraggio sull’applicazione dell’istituto per la segnalazione di illeciti nella PA, ANAC, 22 giugno 2017, disponibile sul sito www.anticorruzione.it.

[54]  Agenzia delle Entrate, Comunicato stampa del 5 maggio 2017, disponibile sul sito http://www.agenziaentrate.gov.it/

Click here for a PDF of the full text

Get In Touch With Us

Contact Us