Il whistleblowing interno è uno strumento essenziale per prevenire illeciti e tutelare l’integrità delle organizzazioni. Canali sicuri, riservatezza e protezione del segnalante sono condizioni indispensabili per un sistema efficace, supportato da organismi di vigilanza e procedure operative chiare.
Normativa sul whistleblowing e ambito soggettivo di applicazione
Il sistema di whistleblowing interno si fonda su una cornice normativa che impone a molte organizzazioni l’obbligo di predisporre canali di segnalazione sicuri. Il riferimento principale, in ambito europeo, è la Direttiva UE sul whistleblowing, recepita negli ordinamenti nazionali con norme che definiscono chi è tutelato, come vanno gestite le segnalazioni e quali obblighi gravano su aziende ed enti pubblici.
L’ambito soggettivo è oggi molto esteso. Non riguarda più solo i dipendenti a tempo indeterminato, ma anche lavoratori a termine, collaboratori, tirocinanti, consulenti esterni, fornitori e, in alcuni casi, persino ex dipendenti o candidati che abbiano conosciuto informazioni rilevanti durante la selezione. Chiunque si trovi in una posizione che consenta di venire a conoscenza di illeciti, irregolarità o violazioni delle norme interne può potenzialmente essere un segnalante.
Il perimetro di applicazione, inoltre, varia in base alle dimensioni dell’organizzazione, al settore e alla presenza di specifici regimi (per esempio in ambito finanziario, sanitario o dei servizi pubblici essenziali). Una società sportiva professionistica, una banca o un’azienda farmaceutica avranno regole più strutturate rispetto a una piccola impresa, ma tutte sono spinte verso un modello comune: creare un ambiente in cui segnalare non sia un atto eroico, bensì una procedura normale e protetta.
Canali interni di segnalazione e requisiti di riservatezza obbligatori
Il cuore operativo del whistleblowing è rappresentato dai canali interni di segnalazione. La normativa richiede che siano facilmente accessibili, chiaramente comunicati e strutturati in modo da proteggere l’identità del segnalante. Non basta un generico indirizzo email: servono procedure, strumenti e controlli.
I canali possono essere piattaforme informatiche dedicate, caselle di posta interne, numeri telefonici, colloqui diretti con funzioni preposte. L’elemento chiave è la riservatezza: l’identità del segnalante, delle persone coinvolte e di eventuali terzi deve essere tutelata dall’inizio alla fine del processo. Questo implica limitare l’accesso alle informazioni solo a soggetti autorizzati, adottare misure tecniche di sicurezza (crittografia, autenticazione forte, tracciamento degli accessi) e definire regole precise sul trattamento dei dati personali.
Anche la comunicazione interna conta. I lavoratori devono sapere a chi rivolgersi, con quali modalità e che tipo di fatti segnalare. In alcune realtà, come nei grandi gruppi multisede o nelle federazioni sportive nazionali, viene previsto un portale unico di segnalazione per omogeneizzare il processo. Qualunque sia la soluzione, la capacità di generare fiducia è decisiva: se il canale è percepito come controllato dalla stessa struttura che si teme di denunciare, difficilmente verrà utilizzato.
Quando la registrazione può rafforzare la segnalazione di illecito
Le registrazioni – audio, video, di schermate o di conversazioni – possono talvolta costituire un elemento di prova importante a sostegno di una segnalazione di illecito. Tuttavia il loro utilizzo è delicato, perché si colloca all’incrocio tra tutela del segnalante, diritto alla privacy e limiti alle registrazioni occulte fissati dalla legge.
In generale, una registrazione può rafforzare la credibilità della segnalazione quando documenta in modo puntuale comportamenti, ordini illeciti, pressioni indebite o minacce. Pensiamo a un responsabile che, in riunione, imponga di alterare sistematicamente i dati di performance o di “aggiustare” la contabilità, oppure a un dirigente sportivo che solleciti pratiche di doping “di squadra”. In questi casi, l’avere un riscontro oggettivo può fare la differenza nella fase di verifica.
Occorre però considerare i limiti. Non tutte le registrazioni sono lecite e non tutto ciò che è tecnicamente possibile è anche giuridicamente utilizzabile. Gli organismi interni incaricati di ricevere le segnalazioni devono quindi valutare attentamente il materiale ricevuto, alla luce delle norme sulla protezione dei dati personali, sul controllo a distanza dei lavoratori e sul diritto alla difesa delle persone coinvolte. La raccolta sistematica e indiscriminata di registrazioni, per esempio, rischia di trasformarsi in un contro-controllo non compatibile con un ambiente di lavoro sano.
Tutele del segnalante contro ritorsioni e discriminazioni
Il vero banco di prova di un sistema di whistleblowing è la capacità di evitare che il segnalante subisca ritorsioni. La normativa prevede una protezione ampia: sono vietati licenziamenti, demansionamenti, mancati rinnovi, mobbing, trasferimenti punitivi, ma anche forme più sottili di discriminazione come l’esclusione da progetti rilevanti o la penalizzazione nelle valutazioni di performance.
La tutela opera a condizione che la segnalazione sia effettuata in buona fede, su elementi che il segnalante ritiene ragionevolmente veri. Non serve avere certezza assoluta dell’illecito; è sufficiente un fondato sospetto. Le organizzazioni devono predisporre misure interne di protezione, come la tracciatura delle decisioni che riguardano il segnalante dopo la denuncia, in modo da poter dimostrare che eventuali provvedimenti hanno motivazioni indipendenti.
Anche il clima culturale gioca un ruolo cruciale. In molte realtà, denunciare viene ancora percepito come “tradire il gruppo” o infrangere la regola non scritta del silenzio. Questo accade in azienda come negli spogliatoi di una squadra professionistica. Un quadro chiaro di tutele legali, unito a messaggi coerenti da parte del top management, è spesso l’unico antidoto alla paura di esporsi.
Ruolo dell’organismo di vigilanza e del comitato etico interno
Nelle organizzazioni più strutturate, la gestione delle segnalazioni coinvolge attori dedicati: organismo di vigilanza, comitato etico interno, funzioni di compliance e internal audit. Ognuno con un ruolo distinto, ma complementare.
L’organismo di vigilanza (OdV), tipico dei modelli organizzativi ispirati al d.lgs. 231, ha il compito di monitorare l’efficacia dei controlli interni e di verificare che i processi di gestione delle segnalazioni funzionino davvero. Riceve spesso le denunce più delicate, soprattutto quando riguardano possibili reati presupposto di responsabilità amministrativa dell’ente.
Il comitato etico, invece, tende a concentrarsi sugli aspetti valoriali e di codice etico. Non sempre ha poteri sanzionatori, ma può proporre raccomandazioni, rivedere le policy, suggerire percorsi formativi. In un club sportivo, per esempio, potrebbe intervenire su segnalazioni legate a conflitti di interesse tra procuratori, staff tecnico e dirigenza.
Determinante è la definizione di procedure chiare di coordinamento tra questi organismi e il management. Occorre evitare sovrapposizioni, fughe di notizie o, peggio, conflitti di interesse quando la segnalazione coinvolge figure apicali. Da qui l’importanza di composizioni miste (interni ed esterni), rotazione periodica dei membri e adeguata indipendenza funzionale.
Linee guida operative per gestire segnalazioni e registrazioni
Un sistema di whistleblowing efficace richiede linee guida operative precise, comprensibili a chi le utilizza ogni giorno. Non bastano policy astratte: occorrono istruzioni pratiche che indichino passo dopo passo come ricevere, analizzare e archiviare una segnalazione e le eventuali registrazioni allegate.
In genere, una buona procedura prevede: ricezione tramite canali dedicati, registrazione tracciata della segnalazione, analisi preliminare per verificarne ammissibilità e rilevanza, eventuale richiesta di chiarimenti al segnalante (anche tramite sistemi che consentano il dialogo anonimo), istruttoria interna, decisione sulle misure correttive o disciplinari e risposta motivata, nei limiti del possibile, a chi ha segnalato.
Sul fronte delle registrazioni, le linee guida dovrebbero indicare cosa è ammissibile presentare, come trattare i file ricevuti (cifratura, accessi limitati, tempi di conservazione) e quando sia necessario coinvolgere l’ufficio legale o il data protection officer. Un dettaglio spesso trascurato riguarda la formazione di chi gestisce i canali: non basta conoscere la norma, serve capacità di ascolto, gestione del conflitto, comprensione delle dinamiche organizzative. Un po’ come per un arbitro esperto: non deve solo conoscere il regolamento, ma anche saper leggere la partita e prevenire gli incidenti prima che esplodano.
