Siete ancora insicuri riguardo gli obblighi derivanti dal nuovo regolamento UE in materia di Whistleblower Protection e le implicazioni per la vostra società? Pronti per il nuovo regolamento europeo in materia di protezione degli informatori? La soluzione al vostro problema è semplice: qualora la vostra società impieghi 50 dipendenti o più, ha l'obbligo di adeguarsi. Questo blog vi aiuterà a determinare le azioni da intraprendere per restare al passo con le normative.

Lo scopo della legge è quello di proteggere i cosiddetti "whistleblower" (o informatori) che, all'interno di un Paese Membro, denunciano gli illeciti avvenuti sul luogo di lavoro, incoraggiando così chiunque a riportare a chi di dovere potenziali irregolarità. I whistleblower possono svolgere un ruolo fondamentale nello scoprire e scardinare frode, corruzione e altre attività dannose, con gran benefici per la società, a tutti i livelli.

Come adeguarsi alla normativa per la protezione degli informatori: tutti i passi da intraprendere

Avete già implementato un sistema per riportare gli illeciti?

Sì: Molto bene, chi ben comincia è a metà dell'opera. Proseguite pure al controllo dei vostri obblighi legali qui sotto.
No: Contattate WhistleB per scoprire le offerte in materia di sistemi di segnalazione più adatte ai vostri bisogni per essere pronti per il nuovo regolamento europeo in materia di protezione degli informatori.

Protezione dell'identità dei whistleblower

In base alla nuova legge: Le procedure per la segnalazione e quelle per le attività successive devono includere canali protetti appositamente realizzati e utilizzati in maniera sicura, così da garantire l'anonimato di chi denuncia e di chi viene chiamato in causa, oltre a prevenire la diffusione di informazioni a persone non autorizzate.

  1. Il sistema da voi utilizzato protegge davvero l'identità degli informatori?
  2. Potete garantire l'utilizzo del sistema da parte di terzi, così da garantire anche il loro anonimato?
  3. Siete sicuri che l'identità degli informatori sia protetta per tutta la durata del processo, dall'apertura di un caso alla sua archiviazione?
  4. Potete accedere in sicurezza al vostro sistema di gestione dei casi, ad esempio con l'autenticazione a più fattori?
  5. Avete commissionato a parti terze il "penetration testing", ovvero la verifica delle vulnerabilità del vostro sistema?

Tempi di reazione

In base alla legge: 7 giorni è il massimo tempo di reazione per la società che riceve una segnalazione, lasso di tempo entro cui bisogna produrre una nota di avvenuta ricezione della comunicazione da inviare all'informatore.

  1. Il vostro sistema di comunicazione permette di notificare immediatamente l'informatore dell'avvenuta ricezione, garantendone allo stesso tempo l'anonimato?
  2. Gli addetti ai lavori nella vostra società ricevono immediatamente notizia quando un informatore effettua una segnalazione?
  3. Il vostro sistema di segnalazione vi permetterebbe di gestire, se necessario, un numero elevato di casi?
  4. Potete generare messaggi di risposta standard?
  5. Avete un team o un dipendente preposto alla ricezione delle segnalazioni?

I contatti di riferimento

In base alla legge: Le procedure a seguito di una segnalazione devono inoltre prevedere l'assegnazione di un soggetto imparziale o un dipartimento di competenza per seguire i casi (...). Spetta a questi il compito di mantenere la comunicazione con l'informatore e, se necessario, richiedere ulteriori informazioni o rispondere a eventuali domande.

  1. La vostra organizzazione ha destinato risorse competenti per seguire le segnalazioni in maniera appropriata?
  2. Il vostro sistema vi permette di aggiungere le risorse di cui abbiate bisogno caso per caso?
  3. Avete in funzione un sistema con le risorse e le procedure necessarie per gestire le investigazioni?
  4. Il vostro canale di comunicazione vi permette di aggiungere esperti esterni in maniera sicura nella gestione dei casi?

Azioni supplementari per essere pronti per il nuovo regolamento europeo in materia di protezione degli informatori

In base alla legge: Le procedure in atto a seguito delle segnalazioni devono includere azioni supplementari a cura dei soggetti preposti, con la necessaria diligenza prevista dalle leggi nazionali in materia di segnalazioni anonime, oltre a un tempo di risposta ragionevole per riportare all'informatore in merito agli esiti.

  1. Avete un canale di comunicazione che permette agli informatori di inviare immagini, video, documenti di testo e altri formati, cancellandone i "metadata" – ovvero qualsiasi informazione che potrebbe ricondurre all'autore o al proprietario del documento in questione?
  2. Il vostro sistema di segnalazione in uso al momento include uno strumento di gestione dei casi integrato con il canale di comunicazione?
  3. Il vostro sistema di segnalazione vi permette di dialogare sia con un informatore anonimo che con uno non anonimo?
  4. Il vostro sistema di segnalazione vi offre gli strumenti per tradurre le comunicazioni in maniera sicura?

Comunicazione e informazione

In base alla legge: Le procedure per segnalare irregolarità e quelle a seguito di una segnalazione devono comprendere istruzioni facili e accessibili riguardo l'eventuale presentazione di un esposto alle autorità competenti e, qualora necessario, alle istituzioni e/o agli organi dell'Unione Europea.

  1. Avete preparato informazioni chiare e facilmente accessibili per i vostri dipendenti riguardo come e dove riportare eventuali preoccupazioni, includendo la possibilità di rivolgersi a organi esterni alla vostra società?
  2. Le informazioni di cui sopra sono state tradotte e adattate a ogni singolo paese nel quale operate?
  3. Queste informazioni sono disponibili automaticamente ogni volta che si effettua l'accesso al vostro sistema di segnalazione?
  4. Avete aggiornato la vostra documentazione interna per informare i vostri dipendenti su comportamenti che sarebbero ora in violazione della nuova direttiva UE sulla protezione dei whistleblower?

Conformità al regolamento GDPR

In base alla legge: Il trattamento di dati personali ai fini della direttiva per la protezione dei whistleblower deve essere conforme al regolamento europeo per la protezione dei dati (GDPR).

  1. Il vostro sistema di segnalazione è pienamente conforme al regolamento GDPR in tutti i paesi UE in cui operate?
  2. Il vostro sistema permette la cancellazione automatica dei dati nel momento in cui un caso è chiuso?
  3. State informando correttamente i vostri potenziali utenti riguardo le differenze tra paesi in materia di denuncia di illeciti?

Tracciabilità

In base alla legge: le autorità, le entità pubbliche e quelle private sono obbligate a tenere traccia di ogni denuncia ricevuta, conformandosi alle leggi in materia di protezione dell'identità degli informanti. I casi denunciati devono essere archiviati per un periodo di tempo non superiore al necessario.

  1. Il vostro sistema tiene un registro degli utenti e di ciascun caso?
  2. Il vostro sistema vi permette di eliminare i dati in conformità con il regolamento GDPR?

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.