Presentazione a supporto dell'intervento di Alessandro Foti, Vice-Presidente AIAS al webinar "15 ANNI DAL D.LGS.81/2008 E
L’EVOLUZIONE DELLA FIGURA DEL RSPP: PROFESSIONISTI DELLA PRIVACY, DEL TRATTAMENTO E DELLA PROTEZIONE DEI DATI PERSONALI, SICUREZZA DELLE INFORMAZIONI E WHISTLEBLOWING" del 31 gennaio 2024
1. IL DECRETO LEGISLATIVO 24/2023 E LE RELAZIONI
CON GLI STANDARD UNI E ISO
Dott. Alessandro Foti
2. Evoluzione legislativa
Con il Decreto Legislativo 10 marzo 2023, n. 24, pubblicato sulla Gazzetta Ufficiale n.
63 del 15 marzo 2023, è stata recepita la direttiva UE 2019/1937, riguardante la
protezione delle persone che segnalano violazioni del diritto dell’Unione e delle
disposizioni normative nazionali. (c.d. disciplina whistleblowing).
Tale decreto, entrato in vigore il 15 luglio 2023, amplia le tutele in caso di segnalazioni
di illeciti, estendendo l’ambito applicativo soggettivoe le procedure per preservare i
soggetti segnalanti da possibili ritorsioni.
I soggetti del settore privato che hanno impiegato nell’ultimo anno una media di
lavoratori subordinati fino a 249 hanno l’obbligo di istituire un canale interno di
segnalazione a decorrere dal 17 dicembre 2023
3. Implicazioni in ambito normativo
• Un nuovo adempimento che si inserisce nel contesto della
Governance e della Compliance delle aziende
• Gestione dei whistleblowing
• Organizzazione dell’investigazione interna sulle segnalazioni
ricevute
• Valutazione delle interazioni e correlazioni con i Modelli 231 e il
dialogo con l’OdV
6. 8.3 Far emergere le preoccupazioni
• L'organizzazione deve stabilire, attuare e mantenere un processo per
incoraggiare e consentire il reporting (nei casi in cui vi siano
fondamenti ragionevoli circa la veridicità delle informazioni) di
violazioni tentate, sospette o effettive della politica per la compliance
o degli obblighi di compliance.
7. 8.3 Far emergere le preoccupazioni
• Il processo deve:
✓ essere visibile e accessibile in tutta l'organizzazione;
✓ trattare i rapporti di segnalazione in modo riservato;
✓ accettare rapporti di segnalazione anonimi;
✓ proteggere gli estensori dei rapporti di segnalazione da ritorsioni;
✓ consentire al personale di ricevere assistenza.
• L'organizzazionedeve assicurare che tutto il personale sia a conoscenza delle
procedure di reporting, dei loro diritti e protezioni e che essi siano in grado di
utilizzarli.
8. A.8.3 Far emergere le preoccupazioni
• Ove appropriato, la escalation dovrebbe arrivare all'alta direzione e all'organismo di governo,
compresi i comitati pertinenti.
• Anche quando non richiesto dalla legislazione locale, le organizzazioni dovrebbero
considerare di sviluppare un meccanismo di whistleblowing per consentire anonimato e
riservatezza, laddove i collaboratori e gli operatori dell'organizzazione possano riferire o
cercare guida circa la non compliance, senza timore di ritorsioni.
• Per una guida più approfondita sui sistemi di gestione del whistleblowing, si rimanda alla ISO
37002.
9. 8.4 Processi di indagine
• L'organizzazione deve sviluppare, stabilire, attuare e mantenere processi per valutare,
ponderare, esaminare e chiudere i rapporti relativi a istanze di non compliance sospette o
effettive.
• […] I processi di indagine devono essere condotti in modo indipendente e senza conflitto di
interessi, da parte di personale competente.
• L'organizzazione deve utilizzare l'esito delle indagini per il miglioramento del sistema di
gestione per la compliance, per quanto appropriato.
• L'organizzazione deve riferire, su base regolare, all'organismo di governo o all'alta direzione,
circa il numero e gli esiti delle indagini.
• L'organizzazione deve conservare informazioni documentate sulle indagini.
10. A.8.4 Processi di indagine
• […] Un meccanismo efficace di indagine identifica le cause radice di condotte
scorrette, vulnerabilità del sistema di gestione per la compliance e mancanze a livello
di accountability, da parte di manager, alta direzione e organismo di governo. Una
ponderata analisi delle cause radice affronta il grado e la pervasività delle non
compliance, il numero e livello del personale coinvolto e la severità, durata e
frequenza delle non compliance.
• […] Anche quando la legge non richiede di riferire la non compliance, le organizzazioni
possono considerare la divulgazione volontaria di quest'ultima alla autorità in ambito
legislativo, al fine di mitigare le conseguenze della non compliance stessa.
11. Gestione dei whistleblowing
UNI ISO 37002:2021 - Sistemi di gestione per il whistleblowing - Linee guida
Data disponibilità: 29 August 2023
13. Compliance e Modelli 231
In elaborazione la norma nazionale per
leggere in combinato disposto la UNI ISO
37301:2021 e il D.Lgs.231/2001
14. Ringraziamenti e contatti
Alessandro Foti
AIAS – Vicepresidente, Coordinatore Regione Lombardia; Coordinatore
GTS «Sistemi di gestione e Compliance»; referente rapporti con UNI
UNI - Coordinatore organi tecnici "Governance delle organizzazioni» e
“Figura professionale in ambito HSE”
ISO - Capo-delegazione italiana presso ISO/TC 309 "Governance of
organizations»
https://www.linkedin.com/in/alessandro-foti-0874901b
afoti@networkaias.it - a.foti@studio-aeffe.com
www.aias-sicurezza.it - www.studio-aeffe.com