Già dal 15 luglio 2023 anche gli enti con meno di 250 dipendenti dovranno aver adempiuto ad alcune attività necessarie per conformarsi alla nuova normativa sul whistleblowing e per mantenere la Compliance con le altre normative cogenti o volontarie da essa impattate.
Ai sensi dell’art. 24 comma 1 le disposizioni del D.Lgs 24/2023 sul nuovo whistleblowing (pubblicato in G.U. il 15 marzo 2023) hanno effetto a decorrere dal 15 luglio 2023. Alle segnalazioni o alle denunce all’autorità giudiziaria o contabile effettuate precedentemente alla data di entrata in vigore del presente decreto (ossia 30 marzo 2023), nonché a quelle effettuate fino al 14 luglio 2023 continuano ad applicarsi le disposizioni di cui all’articolo 54-bis del decreto legislativo n. 165 del 2001, all’articolo 6, commi 2-bis, 2-ter e 2-quater, del decreto legislativo n. 231 del 2001 e all’articolo 3 della legge n. 179 del 2017 (norme che, in virtù dell’art. 23 con effetto, appunto, dal 15 luglio 2023 sono state abrogate)
Per tutti, soggetti sia del settore pubblico che del settore privato, non cambierà nulla fino al 14 luglio 2023.
Il comma 2 dell’art. 24 prevede, invece, che per i soggetti del settore privato che hanno impiegato, nell’ultimo anno, una media di lavoratori subordinati, con contratti di lavoro a tempo determinato o indeterminato, fino a duecentoquarantanove, l’obbligo di istituzione del canale di segnalazione interna ai sensi del presente decreto ha effetto a decorrere dal 17 dicembre 2023 e, fino ad allora, continua ad applicarsi l’articolo 6, comma 2-bis, lettere a) e b), del decreto legislativo n. 231 del 2001”
Quindi, dal 15 luglio gli obblighi previsti dal Decreto attuativo hanno effetto per tutti, tranne che – ma in relazione al solo obbligo di istituzione del canale di segnalazione interna conforme al Decreto – per i soggetti privati con meno di 250 dipendenti.
Questi ultimi avranno tempo fino al 17 dicembre per istituire il canale di segnalazione interna conforme al Decreto e, fino ad allora, i MOG da essi adottati possono continuare a prevedere i canali di segnalazione precedentemente istituiti ai sensi dell’articolo 6, comma 2-bis, lettere a) e b), del decreto legislativo n. 231 del 2001
La dilazione al 17 dicembre 2023 dell’obbligo di istituzione del canale di segnalazione interna conforme al Decreto 24/2023 vale per i soggetti privati che occupino fino a 249 dipendenti. Deve ritenersi che la dilazione sia concessa in ragione del solo limite dimensionale del soggetto privato e, quindi, a prescindere dal fatto che abbia o meno adottato un Modello di Gestione e Organizzazione.
Tuttavia, in considerazione della modifica dell’art. 2 bis del D.Lgs 231/01 come introdotta dall’art. 24 comma 5 del Decreto attuativo 24/2023 e con effetto dal 15 luglio 2023, l’adozione del MOG comporta che esso debba prevedere: i canali di segnalazione interna, il divieto di ritorsione e il sistema disciplinare, adottato ai sensi del comma 2, lettera e).
Pertanto, per gli enti che occupino fino a 249 dipendenti e che abbiano adottato un MOG, se da un lato in ragione del comma 2 dell’art. 24 potrà essere mantenuta fino al 17 dicembre la indicazione dei canali di segnalazione già in precedenza indicati nel MOG, dall’altro lato già dal 15 luglio 2023 nel MOG dovrebbe darsi conto:
– dell’ampliamento dei soggetti segnalanti;
– dell’ampliamento dei destinatari delle garanzie di protezione e del divieto di ritorsione;
– dell’ampliamento delle condotte segnalabili, che comprenderanno quelle rilevanti in ambito 231, ma non potranno esaurirsi in esse per gli enti con MOG con più di 49 dipendenti;
– del sistema disciplinare che, salvo che per gli enti con MOG fino a 49 dipendenti, dovrà ricomprendere non solo le violazioni del modello ma anche le altre violazioni oggetto del Decreto attuativo.
Riassumendo.
Fino al 14 luglio 2023: non cambia nulla.
Dal 15 luglio al 16 dicembre 2023:
- per gli enti con oltre 249 dipendenti, si applica l’intero Decreto attuativo;
- per gli enti fino a 249 dipendenti, si applica l’intero Decreto salvo il “nuovo” canale di segnalazione interno;
- per gli enti con MOG 231 ed un numero di dipendenti da 50 a 249 occorre che il MOG contenga le indicazioni relative a: ambito segnalanti; destinatari delle garanzie di protezione; ambito del divieto di ritorsione; sistema disciplinare; oggetto delle segnalazioni.
- per gli enti con MOG 231 ed un numero di dipendenti inferiore a 50 dipendenti occorre che il MOG contenga le indicazioni sopra descritte, salvo che per l’oggetto delle segnalazioni che continua ad essere relativo agli illeciti rilevanti 231 e alle violazioni del MOG.
Dal 17 dicembre: nuovo canale di segnalazione per tutti (compresi gli enti con MOG con meno di 50 dipendenti) “sentite le rappresentanze o le organizzazioni sindacali” e previa DPIA ex art 35 GDPR.
In conclusione, già dal 15 luglio 2023 anche gli enti con meno di 250 dipendenti dovranno aver adempiuto ad alcune attività necessarie per conformarsi alla nuova normativa sul whistleblowing.
Ma il recepimento delle disposizioni del Decreto 24/2023 impatta anche altri ambiti normativi in ordine ai quali deve essere mantenuta la Compliance.
E’ piuttosto evidente l’impatto in ambito di protezione dei dati personali, in quanto più volte nel Decreto si fa espresso riferimento al GDPR e alla necessità del rispetto delle relative disposizioni.
D’altra parte il Decreto espressamente prevede altresì l’obbligo di predisporre apposite procedure di segnalazione e ciò è suscettibile di incidere sulla Compliance aziendale ad eventuali standard ISO.
In fase di recepimento della nuova normativa sul Whistleblowing dovrebbe valutarsi l’opportunità di un apporto consulenziale professionalmente orientato alla Compliance in ogni ambito aziendale e con metodologia risk based (come ad es. Lean Compliance) in grado di supportare l’individuazione di soluzioni su misura in relazione allo specifico contesto.
