Desideriamo sottoporre alla tua attenzione la nuova "Guida Operativa per gli enti privati" pubblicata da Confindustria lo scorso 14 maggio in materia di gestione delle segnalazioni whistleblowing.
Il documento, che segue l’aggiornamento delle Linee Guida emanate dall’ANAC in materia Whistleblowing lo scorso dicembre (vd. news di Sicurdata del 23 marzo 2026), offre una preziosa "check-list" per la corretta attuazione, nell’ambito degli enti privati, della normativa sancita dal D.lgs. 24/2023 a protezione e tutela dei soggetti segnalanti.
Ecco gli adempimenti chiave e le raccomandazioni pratiche da implementare tempestivamente:
1. Atto organizzativo e identikit del Gestore
Atto ufficiale: l'azienda deve definire le procedure per il ricevimento e la gestione delle segnalazioni in un "atto organizzativo", di norma approvato dal CdA.
Ruolo del Gestore:
- deve necessariamente disporre di requisiti di autonomia, indipendenza, imparzialità ed essere stato formato;
- deve essere nominato in anticipo un "sostituto" che possa intervenire nei casi in cui il Gestore ufficiale sia coinvolto in una segnalazione o sia assente);
- sconsigliato far coincidere il Gestore con il Responsabile della Protezione dei Dati (DPO/RPD), perché i due ruoli richiedono autonomie e carichi complessi di lavoro difficilmente sovrapponibili.
2. Impatto diretto sul Modello 231
Aggiornamento obbligatorio: il Modello 231 e il sistema disciplinare vanno tassativamente integrati inserendo i canali adottati, il divieto di ritorsione e le sanzioni contro i trasgressori e i segnalanti in malafede.
Il ruolo dell'OdV: l'Organismo di Vigilanza è il candidato perfetto a cui affidare il ruolo di Gestore, godendo già di autonomia e competenze istruttorie; in questo scenario, il canale per le segnalazioni ordinarie 231 e il canale whistleblowing devono coincidere.
Flussi informativi: qualora l'OdV non fosse stato nominato Gestore, deve comunque essere informato tempestivamente di ogni segnalazione con rilevanza 231, così da permettergli di adempiere al suo compito di verifica.
3. Piattaforme IT e gestione nei Gruppi (Stop alle e-mail!)
Stop alle e-mail: le normali caselle di posta elettronica (e-mail e PEC) non garantiscono l'anonimato del segnalante, a causa della creazione automatica dei log tracciabili; la soluzione standard è l'adozione di piattaforme software crittografate.
Semplificazione per i Gruppi: per le società che non superano la soglia dei 249 dipendenti, è ammessa la condivisione del canale e la sua gestione associata, nelle forma di una piattaforma unica che si "ramifica" in sotto-canali autonomi per le varie aziende del Gruppo.
Esternalizzazione: per i gruppi con società over 249 dipendenti, è espressamente consentito delegare la gestione delle segnalazioni alla Capogruppo, che agirà come un soggetto esterno; tale situazione deve essere regolata con appositi contratti di servizio intercompany.
4. Privacy, ritorsioni e formazione
DPIA e tracciabilità: l'attivazione del canale informatico di segnalazione deve essere sempre preceduta da una Valutazione d'Impatto Privacy (DPIA) ex GDPR.
Nuovo concetto di ritorsione: tutto l'organico aziendale deve comprendere che la "ritorsione", assolutamente vietata, non è solo il licenziamento o la sanzione disciplinare, ma anche atti subdoli quali l'ostracismo, i demansionamenti, il cambio di scrivania o le note negative di performance.
Formazione diffusa: si deve prevedere un'adeguata formazione, non solo per il gestore delle segnalazioni, ma diffusa a tutto il personale aziendale e alle terze parti coinvolte (fornitori, consulenti, ecc.), predisponendo informative facilmente reperibili sui siti istituzionali.
L'ANAC prevede sanzioni fino a 50.000€ per procedure assenti o non conformi .
Il nostro Team è a vostra disposizione per un audit efficiente e per supportarvi operativamente nell'aggiornamento della procedura di whistleblowing, nell'aggiornamento del Modello 231 e nella stesura della DPIA sul canale di segnalazione.