Non si tratta di proteggere le spie, ma di adempiere a precisi obblighi di legge che possono essere utilizzati per migliorare la gestione aziendale e garantire quei requisiti di trasparenza richiesti dalle normative, in particolare per chi vuole trattare con le Pubbliche amministrazioni.

Whistleblower: chi sono

I whistleblower, così come definiti ai sensi della Direttiva europea da cui scaturiscono gli attuali obblighi, sono le persone che segnalano condotte illecite relative alla violazione del diritto comunitario di cui sono venute a conoscenza nella propria organizzazione. Nella definizione rientrano non solo i dipendenti, ma anche una serie di soggetti quali consulenti, membri dei consigli direttivi, ex dipendenti e candidati a posizioni lavorative, liberi professionisti, volontari e, infine, anche i tirocinanti re i collaboratori esterni. L’obbligo di adeguarsi era già scattato lo scorso 15 luglio per le aziende con più di 250 dipendenti: il prossimo 17 Dicembre scatterà anche per quelle che ne hanno fino a 50.

Che cosa dovranno fare le aziende?

Cosa dovrà quindi fare un’azienda per adeguarsi a questa sfida etica e farsi promotrice di un ambiente lavorativo sano e responsabile?

Il primo passo è quello di prevedere l’adozione di strumenti idonei alla segnalazione di violazioni di alcuni diritti fondamentali UE. Tale procedura è già in uso nelle aziende pubbliche e private che applicano il Modello Organizzativo 231 e hanno adottato un codice etico in tal senso.

Ovviamente, proprio come per l’adeguamento al GDPR, la norma non indica modalità precise ed univoche valide per ogni azienda o, quantomeno, misure da adottare.
Tutto è demandato alla discrezionalità dell’imprenditore che dovrà mettere i soggetti deputati a denunciare comportamenti, atti od omissioni che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato. In particolare, i comportamenti da attenzionare e oggetto della normativa, tra gli altri, sono tutti gli illeciti amministrativi, contabili, civili o penali, le condotte illecite ai sensi del D. Lgs. 231/2001 e tutte le violazioni dei modelli di organizzazione e gestione nonché, come ampia categoria, tutti gli atti che ledono gli interessi e gli scopi dell’Unione.

Ma che cosa dovranno fare in concreto le aziende interessate? Sei piccoli passi sono indispensabili:

• implementare appositi canali di segnalazione interni per consentire di inviare segnalazioni scritte (tramite software che prevedono la crittografia dei dati) o orali (in presenza, tramite hotline o un sistema di segreteria);
• individuare il gestore delle segnalazioni (persona o ufficio);
• predisporre la documentazione necessaria alla ricezione e analisi delle segnalazioni;
• predisporre misure per la cancellazione dei dati dopo il decorso del termine di conservazione;
• formare adeguatamente tutte le risorse aziendali sul Decreto e sulle modalità di segnalazione;
• definire i KPI (Key Performance Indicators o Indicatori Chiave di Prestazione), per misurare l’efficacia del sistema adottato.

Ovviamente le aziende preferiranno orientarsi su canali di segnalazione online ed è questo il primo step da porre in essere, usando possibilmente sistemi di crittografia e, ovviamente, non trascurando che, tutto ciò, deve essere fatto anche nel rispetto del GDPR.